脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み

Copyright © 2012 独立行政法人情報処理推進機構

脆弱性対策の標準仕様SCAPの仕組み～MyJVNバージョンチェッカのカスタマイズ入門～

独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター

2012年2月28日

Copyright © 2012 独立行政法人情報処理推進機構「脆弱性対策の標準仕様SCAPの仕組み」セミナー 2

講義内容

脆弱性対策の標準仕様SCAP概要

オフライン版MyJVNバージョンチェッカのカスタマイズ

IPAの脆弱性対策に関する取り組み紹介


脆弱性対策の標準仕様ＳＣＡＰ概要

Copyright © 2012 独立行政法人情報処理推進機構「脆弱性対策の標準仕様SCAPの仕組み」セミナー

2011年に起こったサイバー攻撃：

2011年は、サイバー攻撃に関する報道が目立った

4

時期報道

2011/2 中国から欧米エネルギー５社攻撃（毎日新聞等）

2011/3 韓国で大規模ハッカー攻撃大統領府や銀行など４０機関（朝日新聞等）

2011/3 仏財務省にサイバー攻撃、Ｇ２０情報盗まれる（読売新聞等）

2011/4-5 Ａ社にサイバー攻撃、個人情報流出１億件超（朝日新聞等）

2011/6 米Ｂ社：中国からサイバー攻撃米韓政府関係者ら被害（毎日新聞等）

2011/9 Ｃ社にサイバー攻撃、８０台感染…防衛関連も（読売新聞等）

2011/9 Ｄ社にもサイバー攻撃日本の防衛・原発産業に狙いか（産経新聞等）

2011/10 衆議院にサイバー攻撃議員のパスワード盗まれる（朝日新聞等）

2011/11 サイバー攻撃：参議院会館のＰＣ、ウイルス感染は数十台に（毎日新聞等）


昔と今のサイバー攻撃の絵姿変化...

攻撃者ひとり

体系化（Botnet) 不正侵入・改竄

攻撃組織基盤化

多段化正規サービスの攻撃基盤利用

２００６～

（Botnet技術基盤利用）

PCとホームページ改竄がターゲット

？

e-マーケットビジネス、決済等への影響決済関連情報窃取等、サプライチェーン

PCの破壊・HP改竄

対象：PC、サーバ対象：情報システム（組織・ビジネス）

情報窃取等

１脆弱性＝１攻撃の時代

攻撃組織間連携

多様な意図性（情報窃取攻撃）

２０００～２００４～２００９～２００６～

影響（業務インパクト）の変化

出展：亀山社中

攻撃の変容

２０１０～１１

戦術的攻撃

ウイルス亜種の大量出現

シーケンシャルマルウエア（多段型攻撃）

0-Day脆弱性利用

toolによるウイルス生産

情報システムがターゲット

対象：制御システム・社会インフラ

国家安全保障問題製造業者における死活問題

正規サイト・サービス利用

組織を跨った新しいタイプの攻撃

5


増え続ける脆弱性対策情報～ PCで使用するソフトウェアの脆弱性が増加～

1 17 29 2473 84

133 152

271

355

461 450

0

100

200

300

400

500

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

件数

図2. PCで広く利用されている定番ソフトウェアの登録件数の年別推移

一太郎

Adobe Flash PlayerAdobe AcrobatAdobe ReaderJDKJREMicrosoft Internet ExplorerMozilla Firefox

（出典）IPA：脆弱性対策情報データベースJVN iPediaの登録状況 2011第4四半期

2007年頃からAcrobat Reader、JRE、Adobe Flash Playerの脆弱性対策情報が飛躍的に増加

一般利用者において、常にセキュリティパッチを適用し続けなければならない状況

6


管理対象機器の増大

ＰＣだけではなく、あらゆるものが、ネットワークにつながり、機器の管理が困難

PDA（Personal Digital Assistants） HDD（Hard Disk Drive） LAN（Local Area Network） 7


まとめ

8

どのように対策すればよいのだろうか？


米国における脆弱性対策

増大する脆弱性、管理対象システム。次に、米国での取組みを見てみよう

9


米国における脆弱性対策の歩み

1999年iCAT(脆弱性対策メタデータベース)構築からはじまり、2002年のFISMA (Federal Information Security Management Act：連邦情報セキュリティマネジメント法) の施行以降、各種活動が統合されはじめた。

NVD

SCAP

NCP

1999年

2002年

2004年

2006年

2010年

脆弱性対策管理やコンプライアンス管理 ⇒情報セキュリティ管理の技術面での機械化(自動化)と標準化

プログラムが稼動するための設定に内在するセキュリティ問題 ⇒チェックリスト

プログラム自身に内在するコード上のセキュリティ問題 ⇒脆弱性対策メタデータベース

FDCC 連邦政府システムの共通のデスクトップ基準

10


米国での脆弱性対策の取組み

米国では、 2002年のFISMA(Federal Information Security Management Act：連邦情報セキュリティマネジメント法)の施行以降、セキュリティ規格やガイドラインに従い、情報システムにセキュリティ要件を反映する活動を推進している。

作業の機械化(自動化)による対処 ⇒SCAP (Security Content Automation Protocol)

共通のデスクトップ基準制定による対処 ⇒ FDCC(Federal Desktop Core Configuration)

【解決策】

共通基準制定による(自動化)の普及 ⇒Making Security Measurable

共通の基準制定による対処 ⇒ USGCB(United States Government Configuration Baseline)

セキュリティ設定に関する作業を手作業で行なうと、設定ミスや設定者のセキュリティ知識の程度や判断の相違などによりセキュリティ要件を損なう可能性

連邦政府システムのベースラインのセキュリティを確保しつつ、ヘルプデスクおよびパッチ検証にかかる費用を削減

【課題】

コンプライアンス対応に膨大な時間とリソースの消費

【背景】

11


SCAP ＝FDCC推進を支援するための技術仕様

2007年、米OMB(Office of Management and Budget：行政予算管理局)では、Windowsソフトウエアを『共通セキュリティ設定』に準拠させるFDCC（Federal Desktop Core Configuration：連邦政府共通デスクトップ基準)を定めた。

NISTでは、FDCC推進にあたり、FDCC準拠の確認手段の一つとしてSCAPを普及展開している。

ポリシー・・・

FISMA スタンダード・・・

FDCC などの共通セキュリティ設定

共通技術仕様・・・

SCAP、Making Security Measurable

ツール・・・ NVD、SCAP準拠ツール

(米国には民間で開発されたSCAPツール有)

JVN脆弱性対策機械処理基盤 (MyJVN API、MyJVN XMLフォーマットなど

IPA提供ツール注意喚起など緊急時対応基盤を普及させるための先行実装

12


米国政府の推進するSCAPとは

脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群である。6つの標準仕様から構成されている。

脆弱性管理

構成管理資産管理

プログラム自身に内在するプログラム上のセキュリティ問題に一意の番号を付与する

脆弱性自体の特性、パッチの提供状況、ユーザ環境での影響度などを考慮し影響度を評価する仕様

プログラム上のセキュリティ問題や設定上のセキュリティ問題をチェックするための手続き仕様

セキュリティチェックリストやベンチマークなどの文書を記述するための仕様

プログラムが稼働するための設定上のセキュリティ問題に一意の番号を付与する情報システムを構成する、

ハードウェア、ソフトウェアなどに一意の名称を付与する

SCAP（Security Content Automation Protocol）

13


MyJVNバージョンチェッカとSCAPの関係

MyJVNバージョンチェッカではSCAPの要素のうち、OVAL、XCCDF、CPEを利用しています。

脆弱性管理

構成管理資産管理

プログラム自身に内在するプログラム上のセキュリティ問題に一意の番号を付与する

脆弱性自体の特性、パッチの提供状況、ユーザ環境での影響度などを考慮し影響度を評価する仕様

プログラム上のセキュリティ問題や設定上のセキュリティ問題をチェックするための手続き仕様

セキュリティチェックリストやベンチマークなどの文書を記述するための仕様

プログラムが稼働するための設定上のセキュリティ問題に一意の番号を付与する情報システムを構成する、

ハードウェア、ソフトウェアなどに一意の名称を付与する


何故MyJVNを利用するのか？（その１）

脆弱性対策情報を追い続けることは大変稼働中のシステムに対して「影響のある脆弱性が存在するか」を追い続けることにはユーザ企業にとって必要不可欠

文書による脆弱性対策情報だけで影響有無を判定する手法は抜け漏れが発生する可能性がある

15

問題有無? 稼動中のシステム

検査修正・変更の実施

問題なし

問題あり

文書による脆弱性の注意喚起

文書による影響有無の確認

文書による指示で修正


MyJVNによる機械処理の部分

作業漏れ防止、早期対応、負荷軽減といったことを実現するためには手作業ではなく機械処理が有効

16

問題有無? 稼動中のシステム

検査修正・変更の実施

問題なし

問題あり

手順データによる脆弱性の注意喚起

手順データによる影響有無の確認

手順データによる指示で修正

011010 111101 110101

手順データ

何故MyJVNを利用するのか？（その２）


オフライン版MyJVNバージョンチェッカのカスタマイズ


本章の流れ

本章では下記の流れで説明を進めます。

18

１．MyJVNバージョンチェッカとは２．カスタマイズの概要３．カスタマイズ実演


本章の流れ


19



MyJVNバージョンチェッカとは

PCにインストールされているソフトウェア製品（Adobe Flash Player、Adobe Reader、JRE等）が最新かを簡単な操作で確認するツール

サービス開始は2009年11月末。チェック対象アプリは随時追加中。

（2009/11時点のアプリ数は8 → 2011/8時点のアプリ数は17）

公開URL

http://jvndb.jvn.jp/apis/myjvn/index.html （クイック起動）または

http://jvndb.jvn.jp/apis/myjvn/vccheck.html

最新バージョンでない場合には「×」と表示します

MyJVNはSCAPの要素OVAL、CPE、XCCDFを利用しています。


MyJVNバージョンチェッカの仕組み

MyJVNバージョンチェッカの仕組み

IPA内でバージョン判定用定義データを作成する

MyJVNバージョンチェッカでバージョン判定用の定義データとシステムの情報を対比させる

21

定義ファイルとシステムと対比

結果表示

ユーザ側

MyJVNバージョンチェッカ

MyJVNの管理ツールで作成した判定用の定義データ

IPA側

インターネット

バージョン判定用の定義データダウンロード

判定用の定義データ


バージョン判定用の定義データとは

バージョン判定用定義データは主に2種類のデータで構成されます。

22


結果表示

ユーザ側



IPA側


バージョン判定用の定義データダウンロード

判定用定義データ

・セキュリティ検査言語OVALのデータ・セキュリティチェックリストXCCDFのデータ


ソフトウェアのバージョンチェック用OVALには、チェック対象のアプリケーション毎に、

インベントリとバルネラビリティの２種類のファイルが存在する

MyJVNバージョンチェッカでは、インベントリとバルネラビリティのOVALを読込んで処理を行う

23

セキュリティ検査言語OVAL

OVAL種別説明インベントリ (Inventory)

チェック対象のソフトウェア製品がインストールされているかを検査する方法を記述

バルネラビリティ (Vulnerability)

チェック対象のソフトウェア製品が、最新のバージョンであるかを検査する方法を記述


セキュリティ設定チェックリストXCCDFとは

XCCDFとは？・英名：eXtensible Configuration Checklist Description Format

・和名：セキュリティ設定チェックリスト記述形式

・意味：セキュリティチェックリストなどを記述するための仕様言語のこと

XCCDF定義データ OVAL定義データ

チェックリスト No チェック項目

1 ソフトウェアAのバージョンチェック

2 ソフトウェアＢのバージョンチェック

3 PCのセキュリティ設定Ｘの設定状況

… … …… …… ……… …

ソフトウェアAのバージョンチェックを行う OVALファイル

ソフトウェアＢのバージョンチェックを行う OVALファイル

セキュリティ設定Ｘの設定状況を確認する OVALファイル


アプリケーションのバージョン確認方法

25

○○○○

○○○○


アプリケーションのバージョン確認方法（その１）

Windowsのアプリケーションはレジストリでバージョンを管理していることが多い

26

レジストリを確認すればインストールの有無 / 最新バージョンかどうかが確認可能

MyJVNでは


アプリケーションのバージョン確認方法（その２）

レジストリでアプリケーションのバージョンを管理していない場合

27

アプリケーションを構成しているファイルの情報を確認すればイントールの有無 / 最新版バージョンかどうかが確認可能

ファイルハッシュ： EADCE51C・・・・

ファイルプロパティのバージョン： 8.0.0・・・

MyJVNでは


MyJVNバージョンチェッカをカスタマイズ

オフライン版MyJVNバージョンチェッカ


オフライン版MyJVNバージョンチェッカとは

オフライン環境で動作可能なMyJVNバージョンチェッカのこと

利用者側ではオフライン版ダウンロードのパッケージを使用することでオフライン環境でもバージョンチェックの実施が可能

URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html

実行例



オフライン版MyJVNバージョンチェッカ配布パッケージ内容

URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html

配布パッケージの展開例）

バージョン判定用の定義データを格納



オフライン版MyJVNバージョンチェッカを実行してみよう


オフライン版MyJVNバージョンチェッカとオンライン版MyJVNバージョンチェッカの違い

オンライン版MyJVNバージョンチェッカ


結果表示

ユーザ側 IPA側



結果表示

ユーザ側


オフライン版MyJVNバージョンチェッカ

バージョン判定用の定義データ

ダウンロード






バージョン判定用の定義データ

ダウンロード

【オフライン】データはローカル

【オンライン】データは

ネットワーク


MyJVNのカスタマイズ

33


本章の流れ


34



カスタマイズの流れ

35

１．対象のアプリケーションの情報を確認

３．定義データの設定

４．動作確認

２．チェック方法の決定

アプリケーションはどこにバージョン情報を管理し

ているのだろう

どの情報でチェックしたらいいだろうか

定義データを変更してみよう

判定用定義データ

実際に動かしてみよう


カスタマイズの流れ 1.対象のアプリケーションの情報を確認

対象のアプリケーションがどこにバージョン情報を持っているかを確認します。

36

・レジストリのバージョン値例） HIVE：「HKEY_LOCAL_MACHINE」 KEY：「SOFTWARE¥IPA」 NAME：「Version」 ⇒ 1.2.3.4

・ファイルのプロパティのバージョン値例） 1.2.3.4

・特定のファイルのハッシュ値例） C5051FE22・・・(全40字)


カスタマイズの流れ 2.チェック方法の決定アプリケーションのバージョンチェックの方法を決定します。

37

レジストリ

• 推奨するチェック方法

ファイルプロパティ

【制限事項】

• アプリケーションのインストール場所に依存

ファイルハッシュ

【制限事項】

• アプリケーションのインストール場所に依存

• バージョン情報の取得不可

■チェック方法の決定例（異なるチェック方法でも判定可能）インストールの有無（インベントリ）はファイルハッシュ最新バージョンの判定（バルネラビリティ）はレジストリ


カスタマイズの流れ 3.バージョン判定用定義データの設定

判定用定義データの４つのファイルを変更していきます。

38

・OVALファイル(インベントリ) ・OVALファイル(バルネラビリティ) ・XCCDFファイル・oval_indexファイル ※変更方法の詳細はこのあとの

実演時に説明します。


カスタマイズの流れ 4.動作確認

カスタマイズしたオフライン版MyJVNバージョンチェッカを起動し、動作を確認します。

39

アプリケーションのバージョンに応じて判定結果が出力されます。 ○：最新のバージョンがインストールされている ×：古いバージョンがインストールされている ―：対象のアプリケーションがインストールされていない


本章の流れ


40



41

オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について-

Windows上で動作する独自アプリをバージョンチェックする場合の具体的な設定方法例について講師側PCの実演とあわせて概説します。

概説内容の一覧

1. レジストリによるチェック事例1

2. ファイルプロパティ（バージョン情報）によるチェック事例2

3. ファイルハッシュによるチェック事例3

独自アプリのバージョンチェックをするにはどうしたらいいんだろう？

41


42








42


レジストリによるチェック

43

カスタマイズ実演【事例1】レジストリによるチェック

作業の流れ

1. バージョン確認方法の調査（調査）

2. テンプレートファイルのコピー（修正準備）

3. バージョン判定の設定（設定）

参考

設定修正準備調査

43 独自アプリのバージョンチェックをするにはどうしたらいいんだろう？

実演説明



44

カスタマイズ実演【事例1】レジストリによるチェック

作業の流れ







【事例1】レジストリによるチェック [手順1]バージョン確認方法の調査

チェック対象アプリのバージョン確認方法を調査します。

調査方法その1）

・ regedit コマンド等を使用してレジストリ情報にバージョン情報が存在するかを

確認してください。

参考） HKEY_LOCAL_MACHINE¥SOFTWARE¥ベンダ名¥アプリ名等

の配下にバージョン情報が格納されていることがあります。







・ファイルプロパティにバージョン情報が存在するかを確認してください。







・バージョン更新と同じタイミングで更新がされるファイルが存在するか確認

してください。更新ファイルが存在する場合にはハッシュ値を確認してください。



参考）ハッシュ値を確認するためのフリーソフトウェアを使用しています。



調査結果のまとめ例



対象OS チェック方法チェック場所値

Windows系レジストリ HIVE：「HKEY_LOCAL_MACHINE」 KEY：「SOFTWARE¥IPA」 NAME：「Version」値のデータ型：文字列(REG_SZ)

1.2.3.4

ファイル情報

ファイルプロパティ（バージョン情報）

ファイルパス：C:¥IPA ファイル名：IPA.exe

1.2.3.4

ファイルハッシュ値

ファイルパス：C:¥IPA ファイル名：IPA.exe ハッシュタイプ： SHA-1

C5051FE22・・・ (全40字)


【事例1】レジストリによるチェック [手順1]バージョン確認方法の決定






1.2.3.4

ファイル情報



1.2.3.4



C5051FE22・・・ (全40字)

インストール有無確認、最新バージョン確認、のそれぞれのチェック方法をレジストリと決定した場合の例です。



50

【事例1】レジストリによるチェック [手順2]テンプレートファイルのコピー

作業の流れ







【事例1】レジストリによるチェック [手順2]テンプレートファイルのコピー

IPAでは、独自のアプリケーションの追加を容易にするためのテンプレートを用意しています。（近日Webで配布予定）



オフライン版MyJVN（webで公開済）セミナー向けテンプレート

実演説明

1-1-before-registry （レジストリチェック用）のテンプレートファイルをコピーします。


【事例1】レジストリによるチェック [手順2]コピーファイルの一覧

コピーをしたテンプレートは以下①～④の４ファイルです。



6_Reference

CONF

oval_index

OVAL

INVENTORY

OVAL_INV_APP_A.xml

VULNERABILITY

OVAL_VUL_APP_A.xml

XCCDF

TEST-IPA.xml

① 修正は不要

②修正必要

③ 修正必要

④ 修正必要



53

【事例1】レジストリによるチェック [手順3]バージョン判定の設定

作業の流れ







【事例1】レジストリによるチェック [手順3]「①定義ファイル」の修正



コピー後の修正は不要です。

① oval_index （定義ファイルのマッピングを記載）

OVALファイルとOVAL IDのマッピングが記載されています。


【事例1】レジストリによるチェック [手順3]「②チェックリスト」の修正



修正後のファイル内容例

② TEST-IPA.xml （チェックリストを記載したファイル）

アプリケーションの名称を設定します。

実演説明



③ OVAL_INV_APP_A.xml （インストール有無の判定）

56

【事例1】レジストリによるチェック [手順3]「③インストール有無」の修正



レジストリのチェック場所を設定します。

インストール有無を判定する条件を設定します。

実演説明



④ OVAL_VUL_APP_A.xml （最新バージョンの判定）

57

【事例1】レジストリによるチェック [手順3]「④最新バージョン判定」の修正



レジストリのチェック場所を設定します。

最新バージョンを判定する条件を設定します。

最新のバージョン情報を設定します。

実演説明


58

【事例1】レジストリによるチェック [手順3]参考：修正後のファイル例



セミナー向けテンプレート（後日Webで配布予定）

1-2-after-registry （レジストリチェック用）は修正後の事例です。


講師側PCでは以下のファイルを修正してツールを実行します。

1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat

チェック結果が「○ 最新のバージョンです」に

なります。

59

【事例1】レジストリによるチェック動作確認その1



ベンチマークIDに「TEST-IPA」を指定します。

実演説明


レジストリ内容を旧バージョンの値に設定して、チェック結果を確認します。

チェック結果が

「× 最新のバージョンではありません」

になります。

60

【事例1】レジストリによるチェック動作確認その2



実演説明


61








61


ファイルプロパティによるチェック

62

カスタマイズ実演【事例2】ファイルプロパティによるチェック

作業の流れ







【事例2】ファイルプロパティによるチェック [手順1]バージョン確認方法の決定






1.2.3.4

ファイル情報



1.2.3.4



C5051FE22・・・ (全40字) インストール有無確認、最新バージョン確認、

のそれぞれのチェック方法をファイルプロパティ（バージョン情報）と決定した場合の例です。



64

【事例2】ファイルプロパティによるチェック [手順2]テンプレートファイルのコピー

作業の流れ







【事例2】ファイルプロパティによるチェック [手順2]テンプレートファイルのコピー





2-1-before-fileversion （ファイルプロパティのバージョン情報のチェック用）のテンプレートファイルをコピーします。

実演説明


【事例2】ファイルプロパティによるチェック [手順2]コピーファイルの一覧




6_Reference

CONF

oval_index

OVAL

INVENTORY

OVAL_INV_APP_B.xml

VULNERABILITY

OVAL_VUL_APP_B.xml

XCCDF

TEST-IPA.xml

②修正必要

③ 修正必要

④ 修正必要

① 修正は不要



67

【事例2】ファイルプロパティによるチェック [手順3]バージョン判定の設定

作業の流れ









68

【事例2】ファイルプロパティによるチェック [手順3]「②チェックリスト」の修正



実演説明




③ OVAL_INV_APP_B.xml （インストール有無の判定）

69

【事例2】ファイルプロパティによるチェック [手順3]「③インストール有無」の修正



実演説明

ファイルプロパティのチェック場所を設定します。




④ OVAL_VUL_APP_B.xml （最新バージョンの判定）

70

【事例2】ファイルプロパティによるチェック [手順3]「④最新バージョン判定」の修正



実演説明

ファイルプロパティのチェック場所を設定します。




71

【事例2】ファイルプロパティによるチェック [手順3]参考：修正後のファイル例




2-2-after-fileversion （ファイルプロパティのバージョン情報のチェック用）は修正後の事例です。





なります。

72

【事例2】ファイルプロパティによるチェック動作確認その1




実演説明


ファイルプロパティのバージョン値が古いものに入れ替えて、チェック結果を確認します。



になります。

73

【事例2】ファイルプロパティによるチェック動作確認その2



実演説明


74








74


ファイルハッシュによるチェック

75

カスタマイズ実演【事例3】ファイルハッシュによるチェック

作業の流れ







【事例3】ファイルハッシュによるチェック [手順1]バージョン確認方法の決定






1.2.3.4

ファイル情報



1.2.3.4



C5051FE22・・・ (全40字)

インストール有無確認、最新バージョン確認、のそれぞれのチェック方法をファイルハッシュと決定した場合の例です。



77

【事例3】ファイルハッシュによるチェック [手順2]テンプレートファイルのコピー

作業の流れ







【事例3】ファイルハッシュによるチェック [手順2]テンプレートファイルのコピー





実演説明

3-1-before-filehash （ファイルハッシュのチェック用）のテンプレートファイルをコピーします。


【事例3】ファイルハッシュによるチェック [手順2]コピーファイルの一覧




6_Reference

CONF

oval_index

OVAL

INVENTORY

OVAL_INV_APP_C.xml

VULNERABILITY

OVAL_VUL_APP_C.xml

XCCDF

TEST-IPA.xml

②修正必要

③ 修正必要

④ 修正必要

① 修正は不要



80

【事例3】ファイルハッシュによるチェック [手順3]バージョン判定の設定

作業の流れ









81

【事例3】ファイルハッシュによるチェック [手順3]「②チェックリスト」の修正



実演説明




③ OVAL_INV_APP_C.xml （インストール有無の判定）

82

【事例3】ファイルハッシュによるチェック [手順3]「③インストール有無」の修正



実演説明

ファイルハッシュのチェック場所とハッシュタイプを設定します。




④ OVAL_VUL_APP_C.xml （最新バージョンの判定）

83

【事例3】ファイルハッシュによるチェック [手順3]「④最新バージョン判定」の修正



実演説明

ファイルハッシュのチェック場所とハッシュタイプを設定します。




84

【事例3】ファイルハッシュによるチェック [手順3]参考：修正後のファイル例




3-2-after-fileversion （ファイルハッシュのチェック用）は修正後の事例です。





なります。

85

【事例3】ファイルハッシュによるチェック動作確認その1




実演説明


ファイルハッシュ値が異なるファイルに入れ替えて、チェック結果を確認します。



になります。

86

【事例3】ファイルハッシュによるチェック動作確認その2



実演説明


【おまけ】 3アプリの一括チェック



実演説明

4-2-after-3type-check （3種類のチェック用）は修正後のテンプレート例です。


まとめ


オフライン版MyJVNバージョンチェッカではカスタマイズによる独自アプリのチェックが実現可能です

セミナー向けテンプレート（※後日Webで配布予定）を使用することで容易なカスタマイズが可能です

※配布予定 http://www.ipa.go.jp/security/vuln/index.html#seminar

89

脆弱性対策の機械処理のために

オフライン版MyJVNバージョンチェッカでOVALを使ってみませんか？


OVALカスタマイズマニュアルを以下のURLで提供しています。オフライン版MyJVNバージョンチェッカと合わせてご利用ください。

http://jvndb.jvn.jp/apis/myjvn/ovaltool.html

ご意見、ご要望等は以下のメールアドレスで受け付けております。適用事例などの情報があればぜひお寄せください。

メールアドレス：[email protected]

90

補足（セミナー参加者の方へのお知らせ）


補足（OVALカスタマイズマニュアル）～さらにカスタマイズを行う方のために～

OVALカスタマイズマニュアル一式配布内容

http://jvndb.jvn.jp/apis/myjvn/ovaltool.html

（ovalmanual.zipをダウンロードして使用してください。）

・「OVALカスタマイズマニュアル（PDF版）」・修正例（本セミナー内容とは異なります）を同梱しています。


IPAの脆弱性対策に関する

取り組み紹介

92


IPAでは、脆弱性対策の取組みとして、脆弱性対策情報提供および脆弱性対策を有効に活用される仕組みを推進

2004年 7月情報セキュリティ早期警戒パートナーシップの開始 2004年7月脆弱性対策情報ポータルサイト JVN 開設

2007年 4月脆弱性対策情報データベース JVN iPedia 開設

2008年 5月 JVN 英語サイト、JVN iPedia 英語サイトの開設

脆弱性対策の取り組み

第1期対策情報充実期

2008年10月脆弱性対策情報共有フレームワーク “MyJVN” の開始

2009年 4月製品開発者の発信する脆弱性対策情報の自動収集の試行開始

2009年11月 MyJVNバージョンチェッカのリリース

2009年12月 MyJVNセキュリティ設定チェッカのリリース 2010年 2月 MyJVN API 公開

2011年 8月 MyJVN バージョンチェッカのリリース

2011年11月サイバーセキュリティ注意喚起サービス「icat」開始

第2期利活用基盤整備・共通基準導入期

現在は、脆弱性対策情報を有効に活用される為の利活用基盤の整備に注力脆弱性対策を機械処理的に行うSCAPの仕組みを取り入れた対応

93


脆弱性対策についての活動概念

• ＩＰＡではセキュリティ情報の収集、対策手段の提供、情報の発信等の活動を行っています。

セキュリティ情報 /対策情報の集約

NVD

製品ベンダ公開情報

バージョンチェッカ

セキュリティ設定チェッカ

脆弱性対策情報収集ツール

MyJVN ツールボックス

サイバーセキュリティ注意喚起サービス

「icat」

予兆

Twitter発信サービス

新たな攻撃の情報

独自開発のシステム・プログラム

MyJVN API モジュール連携

94


脆弱性対策情報ＤＢ JVN iPedia http://jvndb.jvn.jp/

• 日本国内の地域性を考慮した脆弱性対策情報を蓄積するデータベースを整備する。

– 日本国内で利用されている製品に対する脆弱性対策情報を掲載

– 日本語版の公開件数は、13,000件以上（2012年2月）


MyJVN API http://jvndb.jvn.jp/apis/

IPA

開発者

MyJV

N A

PI

モジュール

XMLデータ

利用者

プログラム

API

96

• 脆弱性対策情報データベース（JVN iPedia）の情報を、Webを通じて利用するためのソフトウェアインタフェース


MyJVN API http://jvndb.jvn.jp/apis/

• 以下のAPIを公開しています。ＡＰＩ名メソッド名概要

ベンダ一覧の取得 getVendorList フィルタリング条件にあてはまるベンダ名リストを取得します。

製品一覧の取得 getProductList フィルタリング条件にあてはまる製品名リストを取得します。

脆弱性対策概要情報一覧の取得

getVulnOverviewList フィルタリング条件にあてはまる脆弱性対策の概要情報リストを取得します。

脆弱性対策詳細情報の取得

getVulnDetailInfo フィルタリング条件にあてはまる脆弱性対策の詳細情報を取得します。

統計データの取得 getStatics 脆弱性対策情報を、登録件数(脆弱性統計情報)、深刻度(CVSS統計情報)、脆弱性種別(CWE統計情報)で集計したデータを取得します。

OVAL定義データの取得

getOvalData フィルタリング条件にあてはまるOVAL定義データを取得します。(2012年3月公開予定)

OVAL定義データ一覧の取得

getOvalList フィルタリング条件にあてはまるOVAL定義データ一覧を取得します。(2012年3月公開予定)

脆弱性対策情報関連API 統計関連API OVAL関連API


MyJVNセキュリティ設定チェッカ http://jvndb.jvn.jp/apis/myjvn/sccheck.html

• 設定に関する脆弱性対策チェックのフレームワークを整備する。

– 利用者のPCの設定を簡単な操作で確認するツール

– チェックリストに基づき、設定が適切かどうかのチェックを手作業ではなく、ツールにより作業を自動化する。


MyJVNバージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/

• マルチベンダ環境において、ソフトウェア製品の脆弱性対策チェックのフレームワークを整備する。

– 利用者のPCにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認するツール

– チェックリストに基づき、バージョンが最新であるかどうかのチェックを手作業ではなく、ツールにより作業を自動化する。

– サーバーソフトやサーバOS(Windows,Linux)でも動作可能


MyJVN脆弱性対策情報収集ツール http://jvndb.jvn.jp/apis/myjvn/mjcheck.html

• 製品視点から脆弱性対策情報を選別可能なフレームワークを整備する。

– JVN iPediaの情報を、利用者が効率的に活用できるように、製品視点のフィルタリング条件設定機能を有した脆弱性対策情報収集ツール

– 利用者に関係する製品視点の脆弱性対策情報のみの表示する。


MyJVN API 活用事例 http://jvndb.jvn.jp/apis/

• ＭｙＪＶＮＡＰＩを活用しているサービスの事例を紹介します。 ■株式会社リクルート様「SEfeed（エス・イー・フィード）」の事例

システム管理者などが自社で利用するソフトウェア製品について、ベンダ名や製品名で脆弱性対策情報を検索・閲覧できるサービス。 MyJVN API を利用して「脆弱性対策情報データベース JVN iPedia」に登録されている情報を「SEfeed」の利用者に提供しています。

101


MyJVN API まとめ http://jvndb.jvn.jp/apis/

• ＭｙＪＶＮＡＰＩを利用することで・・・

13,000件以上（※）の脆弱性対策情報を活用することができます。

MyJVN API を使って開発してみませんか？

※2012年2月末時点 102


サイバーセキュリティ注意喚起サービス icat http://www.ipa.go.jp/security/vuln/icat.html

迅速なセキュリティ対策情報の入手により、ユーザへの対策適用を促進します。 IPAから発信する緊急対策情報を、リアルタイムで企業や団体のウェブサイト上に表示します。


利用方法ウェブサイトに下記の HTML タグを挿入してください。

表示サイズ：幅 190ピクセル高さ 350ピクセル重要な注意喚起については、オレンジの背景色で強調されます。 IPAの注意喚起情報と同期して自動更新します。

<script type="text/javascript" src="http://www.ipa.go.jp/security/announce/ICATalerts.js"> </script>

サイバーセキュリティ注意喚起サービス icat http://www.ipa.go.jp/security/vuln/icat.html


最後に

ＩＰＡでは、今後も共通基準／仕様の導入を進めながら、国際性(イ

ンターネットにおける脆弱性対策情報の情報源)と地域性(日本国

内向けの脆弱性対策情報データベース)とを両立させたグローバル

なＪＶＮ(世界に冠たるＪＶＮ)を実現していく予定です。

http://jvndb.jvn.jp/apis/myjvn/ http://jvndb.jvn.jp/


Q & A

Documents

脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要 オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み

脆弱性対策の標準仕様SCAPの仕組み · 脆弱性対策の標準仕様scap概要オフライン版myjvnバージョンチェッカのカスタマイズ ipaの脆弱性対策に関する取り組み