Upload
duonghanh
View
271
Download
5
Embed Size (px)
Citation preview
Copyright © 2012 独立行政法人 情報処理推進機構
脆弱性対策の標準仕様SCAPの仕組み ~MyJVNバージョンチェッカのカスタマイズ入門~
独立行政法人 情報処理推進機構 (IPA) 技術本部 セキュリティセンター
2012年2月28日
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 2
講義内容
脆弱性対策の標準仕様SCAP概要
オフライン版MyJVNバージョンチェッカのカスタマイズ
IPAの脆弱性対策に関する取り組み紹介
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 3
脆弱性対策の標準仕様SCAP概要
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
2011年に起こったサイバー攻撃:
2011年は、サイバー攻撃に関する報道が目立った
4
時期 報道
2011/2 中国から欧米エネルギー5社攻撃 (毎日新聞等)
2011/3 韓国で大規模ハッカー攻撃 大統領府や銀行など40機関 (朝日新聞等)
2011/3 仏財務省にサイバー攻撃、G20情報盗まれる (読売新聞等)
2011/4-5 A社にサイバー攻撃、個人情報流出1億件超 (朝日新聞等)
2011/6 米B社:中国からサイバー攻撃 米韓政府関係者ら被害 (毎日新聞等)
2011/9 C社にサイバー攻撃、80台感染…防衛関連も (読売新聞等)
2011/9 D社にもサイバー攻撃 日本の防衛・原発産業に狙いか (産経新聞等)
2011/10 衆議院にサイバー攻撃 議員のパスワード盗まれる (朝日新聞等)
2011/11 サイバー攻撃:参議院会館のPC、ウイルス感染は数十台に (毎日新聞等)
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
昔と今のサイバー攻撃の絵姿変化...
攻撃者ひとり
体系化(Botnet) 不正侵入・改竄
攻撃組織基盤化
多段化 正規サービスの攻撃基盤利用
2006~
(Botnet技術基盤利用)
PCとホームページ改竄がターゲット
?
e-マーケットビジネス、決済等への影響 決済関連情報窃取等、サプライチェーン
PCの破壊・HP改竄
対象:PC、サーバ 対象:情報システム(組織・ビジネス)
情報窃取等
1脆弱性=1攻撃の時代
攻撃組織間連携
多様な意図性(情報窃取攻撃)
2000~ 2004~ 2009~ 2006~
影響(業務インパクト)の変化
出展:亀山社中
攻撃の変容
2010~11
戦術的攻撃
ウイルス亜種の大量出現
シーケンシャルマルウエア(多段型攻撃)
0-Day脆弱性利用
toolによるウイルス生産
情報システムがターゲット
対象:制御システム・社会インフラ
国家安全保障問題 製造業者における死活問題
正規サイト・サービス利用
組織を跨った新しいタイプの攻撃
5
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
増え続ける脆弱性対策情報 ~ PCで使用するソフトウェアの脆弱性が増加~
1 17 29 2473 84
133 152
271
355
461 450
0
100
200
300
400
500
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
件数
図2. PCで広く利用されている定番ソフトウェアの登録件数の年別推移
一太郎
Adobe Flash PlayerAdobe AcrobatAdobe ReaderJDKJREMicrosoft Internet ExplorerMozilla Firefox
(出典)IPA:脆弱性対策情報データベースJVN iPediaの登録状況 2011第4四半期
2007年頃からAcrobat Reader、JRE、Adobe Flash Playerの脆弱性対策情報が飛躍的に増加
一般利用者において、常にセキュリティパッチを適用し続けなければならない状況
6
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
管理対象機器の増大
PCだけではなく、あらゆるものが、ネットワークにつながり、 機器の管理が困難
PDA(Personal Digital Assistants) HDD(Hard Disk Drive) LAN(Local Area Network) 7
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
まとめ
8
どのように対策 すればよいのだろうか?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
米国における脆弱性対策
増大する脆弱性、管理対象システム。次に、米国での取組みを見てみよう
9
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
米国における脆弱性対策の歩み
1999年iCAT(脆弱性対策メタデータベース)構築からはじまり、2002年のFISMA (Federal Information Security Management Act: 連邦情報セキュリティマネジメント法) の施行以降、各種活動が統合されはじめた。
NVD
SCAP
NCP
1999年
2002年
2004年
2006年
2010年
脆弱性対策管理やコンプライアンス管理 ⇒情報セキュリティ管理の技術面での 機械化(自動化)と標準化
プログラムが稼動するための 設定に内在するセキュリティ問題 ⇒チェックリスト
プログラム自身に内在する コード上のセキュリティ問題 ⇒脆弱性対策メタデータベース
FDCC 連邦政府システムの共通のデスクトップ基準
10
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
米国での脆弱性対策の取組み
米国では、 2002年のFISMA(Federal Information Security Management Act: 連邦情報セキュリティマネジメント法)の施行以降、セキュリティ規格やガイドラインに従い、情報システムにセキュリティ要件を反映する活動を推進している。
作業の機械化(自動化)による対処 ⇒SCAP (Security Content Automation Protocol)
共通のデスクトップ基準制定による対処 ⇒ FDCC(Federal Desktop Core Configuration)
【 解決策 】
共通基準制定による(自動化)の普及 ⇒Making Security Measurable
共通の基準制定による対処 ⇒ USGCB(United States Government Configuration Baseline)
セキュリティ設定に関する作業を手作業で行なうと、設定ミスや設定者のセキュリティ知識の程度や判断の相違などによりセキュリティ要件を損なう可能性
連邦政府システムのベースラインのセキュリティを確保しつつ、ヘルプデスクおよび パッチ検証にかかる費用を削減
【 課題 】
コンプライアンス対応に膨大な時間とリソースの消費
【 背景 】
11
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
SCAP =FDCC推進を支援するための技術仕様
2007年、米OMB(Office of Management and Budget:行政予算管理局)では、Windowsソフトウエアを『共通セキュリティ設定』に準拠させるFDCC(Federal Desktop Core Configuration:連邦政府共通デスクトップ基準)を定めた。
NISTでは、FDCC推進にあたり、FDCC準拠の確認手段の一つとしてSCAPを普及展開している。
ポリシー・・・
FISMA スタンダード・・・
FDCC などの共通セキュリティ設定
共通技術仕様・・・
SCAP、Making Security Measurable
ツール・・・ NVD、SCAP準拠ツール
(米国には民間で開発されたSCAPツール有)
JVN脆弱性対策機械処理基盤 (MyJVN API、MyJVN XMLフォーマットなど
IPA提供ツール 注意喚起など緊急時対応 基盤を普及させるための先行実装
12
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
米国政府の推進するSCAPとは
脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群である。6つの標準仕様から構成されている。
脆弱性管理
構成管理 資産管理
プログラム自身に内在する プログラム上のセキュリティ問題に 一意の番号を付与する
脆弱性自体の特性、パッチの提供状況、 ユーザ環境での影響度などを 考慮し影響度を評価する仕様
プログラム上のセキュリティ問題や 設定上のセキュリティ問題をチェック するための手続き仕様
セキュリティチェックリストやベンチマークなどの 文書を記述するための仕様
プログラムが稼働するための設定上の セキュリティ問題に一意の番号を付与する 情報システムを構成する、
ハードウェア、ソフトウェアなどに 一意の名称を付与する
SCAP(Security Content Automation Protocol)
13
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 14
MyJVNバージョンチェッカとSCAPの関係
MyJVNバージョンチェッカではSCAPの要素のうち、OVAL、XCCDF、CPEを利用しています。
脆弱性管理
構成管理 資産管理
プログラム自身に内在する プログラム上のセキュリティ問題に 一意の番号を付与する
脆弱性自体の特性、パッチの提供状況、 ユーザ環境での影響度などを 考慮し影響度を評価する仕様
プログラム上のセキュリティ問題や 設定上のセキュリティ問題をチェック するための手続き仕様
セキュリティチェックリストやベンチマークなどの 文書を記述するための仕様
プログラムが稼働するための設定上の セキュリティ問題に一意の番号を付与する 情報システムを構成する、
ハードウェア、ソフトウェアなどに 一意の名称を付与する
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
何故MyJVNを利用するのか?(その1)
脆弱性対策情報を追い続けることは大変 稼働中のシステムに対して「影響のある脆弱性が存在するか」を追い続けることにはユーザ企業にとって必要不可欠
文書による脆弱性対策情報だけで影響有無を判定する手法は抜け漏れが発生する可能性がある
15
問題有無? 稼動中の システム
検査 修正・変更の 実施
問題なし
問題あり
文書による 脆弱性の注意喚起
文書による 影響有無の確認
文書による 指示で修正
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
MyJVNによる機械処理の部分
作業漏れ防止、早期対応、負荷軽減といったことを実現するためには手作業ではなく機械処理が有効
16
問題有無? 稼動中の システム
検査 修正・変更の 実施
問題なし
問題あり
手順データによる 脆弱性の注意喚起
手順データによる 影響有無の確認
手順データによる 指示で修正
011010 111101 110101
手順データ
何故MyJVNを利用するのか?(その2)
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 17
オフライン版MyJVNバージョンチェッカのカスタマイズ
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
本章の流れ
本章では下記の流れで説明を進めます。
18
1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
本章の流れ
本章では下記の流れで説明を進めます。
19
1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 20
MyJVNバージョンチェッカとは
PCにインストールされているソフトウェア製品(Adobe Flash Player、Adobe Reader、JRE等)が最新かを簡単な操作で確認するツール
サービス開始は2009年11月末。チェック対象アプリは随時追加中。
(2009/11時点のアプリ数は8 → 2011/8時点のアプリ数は17)
公開URL
http://jvndb.jvn.jp/apis/myjvn/index.html (クイック起動) または
http://jvndb.jvn.jp/apis/myjvn/vccheck.html
最新バージョンでない場合には「×」と表示します
MyJVNはSCAPの要素OVAL、CPE、XCCDFを利用しています。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
MyJVNバージョンチェッカの仕組み
MyJVNバージョンチェッカの仕組み
IPA内でバージョン判定用定義データを作成する
MyJVNバージョンチェッカでバージョン判定用の定義データとシステムの情報を対比させる
21
定義ファイルと システムと対比
結果表示
ユーザ側
MyJVNバージョンチェッカ
MyJVNの管理ツールで作成した判定用の定義データ
IPA側
インターネット
バージョン判定用の定義データ ダウンロード
判定用の定義データ
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
バージョン判定用の定義データとは
バージョン判定用定義データは主に2種類のデータで構成されます。
22
定義ファイルと システムと対比
結果表示
ユーザ側
MyJVNバージョンチェッカ
MyJVNの管理ツールで作成した判定用の定義データ
IPA側
インターネット
バージョン判定用の定義データ ダウンロード
判定用定義データ
・セキュリティ検査言語OVALのデータ ・セキュリティチェックリストXCCDFのデータ
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ソフトウェアのバージョンチェック用OVALには、チェック対象のアプリケーション毎に、
インベントリとバルネラビリティの2種類のファイルが存在する
MyJVNバージョンチェッカでは、インベントリとバルネラビリティのOVALを読込んで処理を行う
23
セキュリティ検査言語OVAL
OVAL種別 説明 インベントリ (Inventory)
チェック対象のソフトウェア製品がインストールされているかを検査する方法を記述
バルネラビリティ (Vulnerability)
チェック対象のソフトウェア製品が、最新のバージョンであるかを検査する方法を記述
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 24
セキュリティ設定チェックリストXCCDFとは
XCCDFとは? ・英名:eXtensible Configuration Checklist Description Format
・和名:セキュリティ設定チェックリスト記述形式
・意味:セキュリティチェックリストなどを記述するための仕様言語のこと
XCCDF定義データ OVAL定義データ
チェックリスト No チェック項目
1 ソフトウェアAのバージョンチェック
2 ソフトウェアBのバージョンチェック
3 PCのセキュリティ設定Xの設定状況
… … …… …… ……… …
ソフトウェアAの バージョンチェックを行う OVALファイル
ソフトウェアBの バージョンチェックを行う OVALファイル
セキュリティ設定Xの 設定状況を確認する OVALファイル
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
アプリケーションのバージョン確認方法
25
○○○○
○○○○
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
アプリケーションのバージョン確認方法 (その1)
Windowsのアプリケーションはレジストリでバージョンを管理していることが多い
26
レジストリを確認すればインストールの有無 / 最新バージョンかどうかが確認可能
MyJVNでは
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
アプリケーションのバージョン確認方法 (その2)
レジストリでアプリケーションのバージョンを管理していない場合
27
アプリケーションを構成しているファイルの情報を確認すれば イントールの有無 / 最新版バージョンかどうか が確認可能
ファイルハッシュ: EADCE51C・・・・
ファイルプロパティの バージョン: 8.0.0・・・
MyJVNでは
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 28
MyJVNバージョンチェッカをカスタマイズ
オフライン版MyJVNバージョンチェッカ
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 29
オフライン版MyJVNバージョンチェッカとは
オフライン環境で動作可能なMyJVNバージョンチェッカのこと
利用者側ではオフライン版ダウンロードのパッケージを使用することでオフライン環境でもバージョンチェックの実施が可能
URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html
実行例
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 30
オフライン版MyJVNバージョンチェッカとは
オフライン版MyJVNバージョンチェッカ 配布パッケージ内容
URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html
配布パッケージの展開例)
バージョン判定用の定義データを格納
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 31
オフライン版MyJVNバージョンチェッカとは
オフライン版MyJVNバージョンチェッカを実行してみよう
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 32
オフライン版MyJVNバージョンチェッカと オンライン版MyJVNバージョンチェッカの違い
オンライン版MyJVNバージョンチェッカ
定義ファイルと システムと対比
結果表示
ユーザ側 IPA側
インターネット
定義ファイルと システムと対比
結果表示
ユーザ側
判定用の定義データ
オフライン版MyJVNバージョンチェッカ
バージョン判定用の定義データ
ダウンロード
MyJVNの管理ツールで作成した判定用の定義データ
MyJVNの管理ツールで作成した判定用の定義データ
MyJVNバージョンチェッカ
MyJVNバージョンチェッカ
判定用の定義データ
バージョン判定用の定義データ
ダウンロード
【オフライン】 データは ローカル
【オンライン】 データは
ネットワーク
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
MyJVNのカスタマイズ
33
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
本章の流れ
本章では下記の流れで説明を進めます。
34
1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
カスタマイズの流れ
35
1.対象のアプリケーションの情報を確認
3.定義データの設定
4.動作確認
2.チェック方法の決定
アプリケーションはどこにバージョン情報を管理し
ているのだろう
どの情報でチェックしたらいいだろうか
定義データを変更してみよう
判定用 定義データ
実際に動かしてみよう
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
カスタマイズの流れ 1.対象のアプリケーションの情報を確認
対象のアプリケーションがどこにバージョン情報を持っているかを確認します。
36
・レジストリのバージョン値 例) HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 ⇒ 1.2.3.4
・ファイルのプロパティのバージョン値 例) 1.2.3.4
・特定のファイルのハッシュ値 例) C5051FE22・・・(全40字)
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
カスタマイズの流れ 2.チェック方法の決定 アプリケーションのバージョンチェックの方法を決定します。
37
レジストリ
• 推奨するチェック方法
ファイルプロパティ
【制限事項】
• アプリケーションのインストール場所に依存
ファイルハッシュ
【制限事項】
• アプリケーションのインストール場所に依存
• バージョン情報の取得不可
■チェック方法の決定例(異なるチェック方法でも判定可能) インストールの有無(インベントリ)は ファイルハッシュ 最新バージョンの判定(バルネラビリティ)は レジストリ
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
カスタマイズの流れ 3.バージョン判定用定義データの設定
判定用定義データの4つのファイルを変更していきます。
38
・OVALファイル(インベントリ) ・OVALファイル(バルネラビリティ) ・XCCDFファイル ・oval_indexファイル ※変更方法の詳細はこのあとの
実演時に説明します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
カスタマイズの流れ 4.動作確認
カスタマイズしたオフライン版MyJVNバージョンチェッカを起動し、動作を確認します。
39
アプリケーションのバージョンに応じて判定結果が出力されます。 ○:最新のバージョンがインストールされている ×:古いバージョンがインストールされている ―:対象のアプリケーションがインストールされていない
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
本章の流れ
本章では下記の流れで説明を進めます。
40
1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
41
オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について-
Windows上で動作する独自アプリをバージョンチェックする場合の具体的な設定方法例について講師側PCの実演とあわせて概説します。
概説内容の一覧
1. レジストリによるチェック 事例1
2. ファイルプロパティ(バージョン情報)によるチェック 事例2
3. ファイルハッシュによるチェック 事例3
独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
41
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
42
オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について-
Windows上で動作する独自アプリをバージョンチェックする場合の具体的な設定方法例について講師側PCの実演とあわせて概説します。
概説内容の一覧
1. レジストリによるチェック 事例1
2. ファイルプロパティ(バージョン情報)によるチェック 事例2
3. ファイルハッシュによるチェック 事例3
独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
42
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
レジストリによるチェック
43
カスタマイズ実演 【事例1】 レジストリによるチェック
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
参考
設定 修正準備 調査
43 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
レジストリによるチェック
44
カスタマイズ実演 【事例1】 レジストリによるチェック
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
44 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 45
【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査
チェック対象アプリのバージョン確認方法を調査します。
調査方法 その1)
・ regedit コマンド等を使用してレジストリ情報にバージョン情報が存在するかを
確認してください。
参考) HKEY_LOCAL_MACHINE¥SOFTWARE¥ベンダ名¥アプリ名 等
の配下にバージョン情報が格納されていることがあります。
レジストリによるチェック
設定 修正準備 調査
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 46
【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査
チェック対象アプリのバージョン確認方法を調査します。
調査方法 その2)
・ ファイルプロパティにバージョン情報が存在するかを確認してください。
レジストリによるチェック
設定 修正準備 調査
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 47
【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査
チェック対象アプリのバージョン確認方法を調査します。
調査方法 その3)
・ バージョン更新と同じタイミングで更新がされるファイルが存在するか確認
してください。更新ファイルが存在する場合にはハッシュ値を確認してください。
レジストリによるチェック
設定 修正準備 調査
参考) ハッシュ値を確認するためのフリーソフトウェアを使用しています。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 48
【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査
調査結果のまとめ例
レジストリによるチェック
設定 修正準備 調査
対象OS チェック方法 チェック場所 値
Windows系 レジストリ HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ)
1.2.3.4
ファイル 情報
ファイルプロパティ(バージョン情報)
ファイルパス:C:¥IPA ファイル名:IPA.exe
1.2.3.4
ファイル ハッシュ値
ファイルパス:C:¥IPA ファイル名:IPA.exe ハッシュタイプ: SHA-1
C5051FE22・・・ (全40字)
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 49
【事例1】 レジストリによるチェック [手順1]バージョン確認方法の決定
調査結果のまとめ例
レジストリによるチェック
設定 修正準備 調査
対象OS チェック方法 チェック場所 値
Windows系 レジストリ HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ)
1.2.3.4
ファイル 情報
ファイルプロパティ(バージョン情報)
ファイルパス:C:¥IPA ファイル名:IPA.exe
1.2.3.4
ファイル ハッシュ値
ファイルパス:C:¥IPA ファイル名:IPA.exe ハッシュタイプ: SHA-1
C5051FE22・・・ (全40字)
インストール有無確認、最新バージョン確認、 のそれぞれのチェック方法をレジストリと決定した場合の例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
レジストリによるチェック
50
【事例1】 レジストリによるチェック [手順2]テンプレートファイルのコピー
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
50 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 51
【事例1】 レジストリによるチェック [手順2]テンプレートファイルのコピー
IPAでは、独自のアプリケーションの追加を容易にするためのテンプレートを用意しています。(近日Webで配布予定)
レジストリによるチェック
設定 修正準備 調査
オフライン版MyJVN(webで公開済) セミナー向けテンプレート
実演 説明
1-1-before-registry (レジストリチェック用) のテンプレートファイルをコピーします。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 52
【事例1】 レジストリによるチェック [手順2]コピーファイルの一覧
コピーをしたテンプレートは以下①~④の4ファイルです。
レジストリによるチェック
設定 修正準備 調査
6_Reference
CONF
oval_index
OVAL
INVENTORY
OVAL_INV_APP_A.xml
VULNERABILITY
OVAL_VUL_APP_A.xml
XCCDF
TEST-IPA.xml
① 修正は不要
②修正必要
③ 修正必要
④ 修正必要
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
レジストリによるチェック
53
【事例1】 レジストリによるチェック [手順3]バージョン判定の設定
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
53 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 54
【事例1】 レジストリによるチェック [手順3]「①定義ファイル」の修正
レジストリによるチェック
設定 修正準備 調査
コピー後の修正は不要です。
① oval_index (定義ファイルのマッピングを記載)
OVALファイルとOVAL IDのマッピングが記載されています。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 55
【事例1】 レジストリによるチェック [手順3]「②チェックリスト」の修正
レジストリによるチェック
設定 修正準備 調査
修正後のファイル内容例
② TEST-IPA.xml (チェックリストを記載したファイル)
アプリケーションの名称を設定します。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
③ OVAL_INV_APP_A.xml (インストール有無の判定)
56
【事例1】 レジストリによるチェック [手順3]「③インストール有無」の修正
レジストリによるチェック
設定 修正準備 調査
レジストリのチェック場所を設定します。
インストール有無を判定する条件を設定します。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
④ OVAL_VUL_APP_A.xml (最新バージョンの判定)
57
【事例1】 レジストリによるチェック [手順3]「④最新バージョン判定」の修正
レジストリによるチェック
設定 修正準備 調査
レジストリのチェック場所を 設定します。
最新バージョンを判定する条件 を設定します。
最新のバージョン情報を設定します。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
58
【事例1】 レジストリによるチェック [手順3]参考:修正後のファイル例
レジストリによるチェック
設定 修正準備 調査
セミナー向けテンプレート(後日Webで配布予定)
1-2-after-registry (レジストリチェック用) は修正後の事例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
講師側PCでは以下のファイルを修正してツールを実行します。
1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat
チェック結果が「○ 最新のバージョンです」に
なります。
59
【事例1】 レジストリによるチェック 動作確認 その1
レジストリによるチェック
設定 修正準備 調査
ベンチマークIDに「TEST-IPA」 を指定します。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
レジストリ内容を旧バージョンの値に設定して、チェック結果を確認します。
チェック結果が
「× 最新のバージョンではありません」
になります。
60
【事例1】 レジストリによるチェック 動作確認 その2
レジストリによるチェック
設定 修正準備 調査
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
61
オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について-
Windows上で動作する独自アプリをバージョンチェックする場合の具体的な設定方法例について講師側PCの実演とあわせて概説します。
概説内容の一覧
1. レジストリによるチェック 事例1
2. ファイルプロパティ(バージョン情報)によるチェック 事例2
3. ファイルハッシュによるチェック 事例3
独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
61
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルプロパティによるチェック
62
カスタマイズ実演 【事例2】 ファイルプロパティによるチェック
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
62 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 63
【事例2】 ファイルプロパティによるチェック [手順1]バージョン確認方法の決定
調査結果のまとめ例
ファイルプロパティによるチェック
設定 修正準備 調査
対象OS チェック方法 チェック場所 値
Windows系 レジストリ HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ)
1.2.3.4
ファイル 情報
ファイルプロパティ(バージョン情報)
ファイルパス:C:¥IPA ファイル名:IPA.exe
1.2.3.4
ファイル ハッシュ値
ファイルパス:C:¥IPA ファイル名:IPA.exe ハッシュタイプ: SHA-1
C5051FE22・・・ (全40字) インストール有無確認、最新バージョン確認、
のそれぞれのチェック方法をファイルプロパティ(バージョン情報)と決定した場合の例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルプロパティによるチェック
64
【事例2】 ファイルプロパティによるチェック [手順2]テンプレートファイルのコピー
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
64 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 65
【事例2】 ファイルプロパティによるチェック [手順2]テンプレートファイルのコピー
IPAでは、独自のアプリケーションの追加を容易にするためのテンプレートを用意しています。(近日Webで配布予定)
ファイルプロパティによるチェック
設定 修正準備 調査
オフライン版MyJVN(webで公開済) セミナー向けテンプレート
2-1-before-fileversion (ファイルプロパティのバージョン情報のチェック用) のテンプレートファイルをコピーします。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 66
【事例2】 ファイルプロパティによるチェック [手順2]コピーファイルの一覧
コピーをしたテンプレートは以下①~④の4ファイルです。
ファイルプロパティによるチェック
設定 修正準備 調査
6_Reference
CONF
oval_index
OVAL
INVENTORY
OVAL_INV_APP_B.xml
VULNERABILITY
OVAL_VUL_APP_B.xml
XCCDF
TEST-IPA.xml
②修正必要
③ 修正必要
④ 修正必要
① 修正は不要
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルプロパティによるチェック
67
【事例2】 ファイルプロパティによるチェック [手順3]バージョン判定の設定
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
67 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
② TEST-IPA.xml (チェックリストを記載したファイル)
68
【事例2】 ファイルプロパティによるチェック [手順3]「②チェックリスト」の修正
ファイルプロパティによるチェック
設定 修正準備 調査
実演 説明
アプリケーションの名称を設定します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
③ OVAL_INV_APP_B.xml (インストール有無の判定)
69
【事例2】 ファイルプロパティによるチェック [手順3]「③インストール有無」の修正
ファイルプロパティによるチェック
設定 修正準備 調査
実演 説明
ファイルプロパティのチェック場所を設定します。
インストール有無を判定する条件を設定します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
④ OVAL_VUL_APP_B.xml (最新バージョンの判定)
70
【事例2】 ファイルプロパティによるチェック [手順3]「④最新バージョン判定」の修正
ファイルプロパティによるチェック
設定 修正準備 調査
実演 説明
ファイルプロパティのチェック場所を設定します。
最新バージョンを判定する条件 を設定します。
最新のバージョン情報を設定します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
71
【事例2】 ファイルプロパティによるチェック [手順3]参考:修正後のファイル例
ファイルプロパティによるチェック
設定 修正準備 調査
セミナー向けテンプレート(後日Webで配布予定)
2-2-after-fileversion (ファイルプロパティのバージョン情報のチェック用)は修正後の事例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
講師側PCでは以下のファイルを修正してツールを実行します。
1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat
チェック結果が「○ 最新のバージョンです」に
なります。
72
【事例2】 ファイルプロパティによるチェック 動作確認 その1
ファイルプロパティによるチェック
設定 修正準備 調査
ベンチマークIDに「TEST-IPA」 を指定します。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルプロパティのバージョン値が古いものに入れ替えて、チェック結果を確認します。
チェック結果が
「× 最新のバージョンではありません」
になります。
73
【事例2】 ファイルプロパティによるチェック 動作確認 その2
ファイルプロパティによるチェック
設定 修正準備 調査
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
74
オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について-
Windows上で動作する独自アプリをバージョンチェックする場合の具体的な設定方法例について講師側PCの実演とあわせて概説します。
概説内容の一覧
1. レジストリによるチェック 事例1
2. ファイルプロパティ(バージョン情報)によるチェック 事例2
3. ファイルハッシュによるチェック 事例3
独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
74
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルハッシュによるチェック
75
カスタマイズ実演 【事例3】 ファイルハッシュによるチェック
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
75 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 76
【事例3】 ファイルハッシュによるチェック [手順1]バージョン確認方法の決定
調査結果のまとめ例
ファイルハッシュによるチェック
設定 修正準備 調査
対象OS チェック方法 チェック場所 値
Windows系 レジストリ HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ)
1.2.3.4
ファイル 情報
ファイルプロパティ(バージョン情報)
ファイルパス:C:¥IPA ファイル名:IPA.exe
1.2.3.4
ファイル ハッシュ値
ファイルパス:C:¥IPA ファイル名:IPA.exe ハッシュタイプ: SHA-1
C5051FE22・・・ (全40字)
インストール有無確認、最新バージョン確認、 のそれぞれのチェック方法をファイルハッシュと決定した場合の例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルハッシュによるチェック
77
【事例3】 ファイルハッシュによるチェック [手順2]テンプレートファイルのコピー
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
77 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 78
【事例3】 ファイルハッシュによるチェック [手順2]テンプレートファイルのコピー
IPAでは、独自のアプリケーションの追加を容易にするためのテンプレートを用意しています。(近日Webで配布予定)
ファイルハッシュによるチェック
設定 修正準備 調査
オフライン版MyJVN(webで公開済) セミナー向けテンプレート
実演 説明
3-1-before-filehash (ファイルハッシュのチェック用) のテンプレートファイルをコピーします。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 79
【事例3】 ファイルハッシュによるチェック [手順2]コピーファイルの一覧
コピーをしたテンプレートは以下①~④の4ファイルです。
ファイルハッシュによるチェック
設定 修正準備 調査
6_Reference
CONF
oval_index
OVAL
INVENTORY
OVAL_INV_APP_C.xml
VULNERABILITY
OVAL_VUL_APP_C.xml
XCCDF
TEST-IPA.xml
②修正必要
③ 修正必要
④ 修正必要
① 修正は不要
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルハッシュによるチェック
80
【事例3】 ファイルハッシュによるチェック [手順3]バージョン判定の設定
作業の流れ
1. バージョン確認方法の調査 (調査)
2. テンプレートファイルのコピー (修正準備)
3. バージョン判定の設定 (設定)
設定 修正準備 調査
80 独自アプリのバージョンチェックをするにはどうしたらいいんだろう?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
② TEST-IPA.xml (チェックリストを記載したファイル)
81
【事例3】 ファイルハッシュによるチェック [手順3]「②チェックリスト」の修正
ファイルハッシュによるチェック
設定 修正準備 調査
実演 説明
アプリケーションの名称を設定します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
③ OVAL_INV_APP_C.xml (インストール有無の判定)
82
【事例3】 ファイルハッシュによるチェック [手順3]「③インストール有無」の修正
ファイルハッシュによるチェック
設定 修正準備 調査
実演 説明
ファイルハッシュのチェック場所とハッシュタイプを設定します。
インストール有無を判定する条件を設定します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
修正後のファイル内容例
④ OVAL_VUL_APP_C.xml (最新バージョンの判定)
83
【事例3】 ファイルハッシュによるチェック [手順3]「④最新バージョン判定」の修正
ファイルハッシュによるチェック
設定 修正準備 調査
実演 説明
ファイルハッシュのチェック場所とハッシュタイプを設定します。
最新バージョンを判定する条件 を設定します。
最新のバージョン情報を設定します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
84
【事例3】 ファイルハッシュによるチェック [手順3]参考:修正後のファイル例
ファイルハッシュによるチェック
設定 修正準備 調査
セミナー向けテンプレート(後日Webで配布予定)
3-2-after-fileversion (ファイルハッシュのチェック用) は修正後の事例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
講師側PCでは以下のファイルを修正してツールを実行します。
1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat
チェック結果が「○ 最新のバージョンです」に
なります。
85
【事例3】 ファイルハッシュによるチェック 動作確認 その1
ファイルハッシュによるチェック
設定 修正準備 調査
ベンチマークIDに「TEST-IPA」 を指定します。
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
ファイルハッシュ値が異なるファイルに入れ替えて、チェック結果を確認します。
チェック結果が
「× 最新のバージョンではありません」
になります。
86
【事例3】 ファイルハッシュによるチェック 動作確認 その2
ファイルハッシュによるチェック
設定 修正準備 調査
実演 説明
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 87
【おまけ】 3アプリの一括チェック
IPAでは、独自のアプリケーションの追加を容易にするためのテンプレートを用意しています。(近日Webで配布予定)
オフライン版MyJVN(webで公開済) セミナー向けテンプレート
実演 説明
4-2-after-3type-check (3種類のチェック用) は修正後のテンプレート例です。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 88
まとめ
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
オフライン版MyJVNバージョンチェッカではカスタマイズによる独自アプリのチェックが実現可能です
セミナー向けテンプレート(※後日Webで配布予定)を使用することで容易なカスタマイズが可能です
※配布予定 http://www.ipa.go.jp/security/vuln/index.html#seminar
89
脆弱性対策の機械処理のために
オフライン版MyJVNバージョンチェッカでOVALを使ってみませんか?
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
OVALカスタマイズマニュアルを以下のURLで提供しています。オフライン版MyJVNバージョンチェッカと合わせてご利用ください。
http://jvndb.jvn.jp/apis/myjvn/ovaltool.html
ご意見、ご要望等は以下のメールアドレスで受け付けております。適用事例などの情報があればぜひお寄せください。
メールアドレス:[email protected]
90
補足 (セミナー参加者の方へのお知らせ)
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 91
補足 (OVALカスタマイズマニュアル) ~さらにカスタマイズを行う方のために~
OVALカスタマイズマニュアル一式 配布内容
http://jvndb.jvn.jp/apis/myjvn/ovaltool.html
(ovalmanual.zipをダウンロードして使用してください。)
・「OVALカスタマイズマニュアル(PDF版)」 ・修正例(本セミナー内容とは異なります) を同梱しています。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
IPAの脆弱性対策に関する
取り組み紹介
92
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
IPAでは、脆弱性対策の取組みとして、脆弱性対策情報提供および脆弱性対策を有効に活用される仕組みを推進
2004年 7月 情報セキュリティ早期警戒パートナーシップの開始 2004年7月 脆弱性対策情報ポータルサイト JVN 開設
2007年 4月 脆弱性対策情報データベース JVN iPedia 開設
2008年 5月 JVN 英語サイト、JVN iPedia 英語サイトの開設
脆弱性対策の取り組み
第1期 対策情報 充実期
2008年10月 脆弱性対策情報共有フレームワーク “MyJVN” の開始
2009年 4月 製品開発者の発信する 脆弱性対策情報の自動収集の試行開始
2009年11月 MyJVNバージョンチェッカのリリース
2009年12月 MyJVNセキュリティ設定チェッカのリリース 2010年 2月 MyJVN API 公開
2011年 8月 MyJVN バージョンチェッカのリリース
2011年11月 サイバーセキュリティ注意喚起サービス「icat」開始
第2期 利活用 基盤整備 ・ 共通基準 導入期
現在は、脆弱性対策情報を有効に活用される為の利活用基盤の整備に注力 脆弱性対策を機械処理的に行うSCAPの仕組みを取り入れた対応
93
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
脆弱性対策についての活動概念
• IPAではセキュリティ情報の収集、対策手段の提供、情報の発信等の活動を行っています。
セキュリティ情報 /対策情報の集約
NVD
製品ベンダ 公開情報
バージョン チェッカ
セキュリティ設定 チェッカ
脆弱性対策 情報収集ツール
MyJVN ツールボックス
サイバーセキュリティ 注意喚起サービス
「icat」
予兆
Twitter発信 サービス
新たな攻撃の 情報
独自開発のシステム・ プログラム
MyJVN API モジュール 連携
94
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 95
脆弱性対策情報DB JVN iPedia http://jvndb.jvn.jp/
• 日本国内の地域性を考慮した脆弱性対策情報を蓄積するデータベースを整備する。
– 日本国内で利用されている製品に対する脆弱性対策情報を掲載
– 日本語版の公開件数は、13,000件以上(2012年2月)
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
MyJVN API http://jvndb.jvn.jp/apis/
IPA
開発者
MyJV
N A
PI
モジュール
XMLデータ
利用者
プログラム
API
96
• 脆弱性対策情報データベース(JVN iPedia)の 情報を、Webを通じて利用するためのソフトウェアインタフェース
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 97
MyJVN API http://jvndb.jvn.jp/apis/
• 以下のAPIを公開しています。 API名 メソッド名 概要
ベンダ一覧の取得 getVendorList フィルタリング条件にあてはまるベンダ名リストを取得します。
製品一覧の取得 getProductList フィルタリング条件にあてはまる製品名リストを取得します。
脆弱性対策概要情報一覧の取得
getVulnOverviewList フィルタリング条件にあてはまる脆弱性対策の概要情報リストを取得します。
脆弱性対策詳細情報の取得
getVulnDetailInfo フィルタリング条件にあてはまる脆弱性対策の詳細情報を取得します。
統計データの取得 getStatics 脆弱性対策情報を、登録件数(脆弱性統計情報)、深刻度(CVSS統計情報)、脆弱性種別(CWE統計情報)で集計したデータを取得します。
OVAL定義データの取得
getOvalData フィルタリング条件にあてはまるOVAL定義データを取得します。(2012年3月公開予定)
OVAL定義データ一覧の取得
getOvalList フィルタリング条件にあてはまるOVAL定義データ一覧を取得します。(2012年3月公開予定)
脆弱性対策情報関連API 統計関連API OVAL関連API
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 98
MyJVNセキュリティ設定チェッカ http://jvndb.jvn.jp/apis/myjvn/sccheck.html
• 設定に関する脆弱性対策チェックのフレームワークを整備する。
– 利用者のPCの設定を簡単な操作で確認するツール
– チェックリストに基づき、設定が適切かどうかのチェックを手作業ではなく、ツールにより作業を自動化する。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 99
MyJVNバージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/
• マルチベンダ環境において、ソフトウェア製品の脆弱性対策チェックの フレームワークを整備する。
– 利用者のPCにインストールされているソフトウェア製品のバージョンが最新であるかを、 簡単な操作で確認するツール
– チェックリストに基づき、バージョンが最新であるかどうかの チェックを手作業ではなく、ツールにより作業を自動化する。
– サーバーソフトやサーバOS(Windows,Linux)でも動作可能
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 100
MyJVN脆弱性対策情報収集ツール http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
• 製品視点から脆弱性対策情報を選別可能なフレームワークを整備する。
– JVN iPediaの情報を、利用者が効率的に活用できるように、製品視点のフィルタリング条件設定機能を有した脆弱性対策情報収集ツール
– 利用者に関係する製品視点の脆弱性対策情報のみの表示する。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
MyJVN API 活用事例 http://jvndb.jvn.jp/apis/
• MyJVN APIを活用しているサービスの事例を紹介します。 ■株式会社リクルート様 「SEfeed(エス・イー・フィード)」の事例
システム管理者などが自社で 利用するソフトウェア製品につ いて、ベンダ名や製品名で脆 弱性対策情報を検索・閲覧で きるサービス。 MyJVN API を利用して「脆弱 性対策情報データベース JVN iPedia」に登録されている情報 を「SEfeed」の利用者に提供し ています。
101
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー
MyJVN API まとめ http://jvndb.jvn.jp/apis/
• MyJVN APIを利用することで・・・
13,000件以上(※)の脆弱性対策情報を活用することが できます。
MyJVN API を使って 開発してみませんか?
※2012年2月末時点 102
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 103
サイバーセキュリティ注意喚起サービス icat http://www.ipa.go.jp/security/vuln/icat.html
迅速なセキュリティ対策情報の入手により、ユーザへの対策適用を促進します。 IPAから発信する緊急対策情報を、 リアルタイムで企業や団体のウェブサイト上に表示します。
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 104
利用方法 ウェブサイトに下記の HTML タグを挿入してください。
表示サイズ:幅 190ピクセル 高さ 350ピクセル 重要な注意喚起については、オレンジの背景色で強調されます。 IPAの注意喚起情報と同期して自動更新します。
<script type="text/javascript" src="http://www.ipa.go.jp/security/announce/ICATalerts.js"> </script>
サイバーセキュリティ注意喚起サービス icat http://www.ipa.go.jp/security/vuln/icat.html
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 105
最後に
IPAでは、今後も共通基準/仕様の導入を進めながら、国際性(イ
ンターネットにおける脆弱性対策情報の情報源)と地域性(日本国
内向けの脆弱性対策情報データベース)とを両立させたグローバル
なJVN(世界に冠たるJVN)を実現していく予定です。
http://jvndb.jvn.jp/apis/myjvn/ http://jvndb.jvn.jp/
Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 106
Q & A