SCAPコンプライアンス

Nexpose は、認証されていないスキャナ製品に関するセキュリティ設定共通化手順（SCAP）に準拠しています。SCAPは、セキュリティデータを標準化された方法で表現・操作するための規格の集合体です。これは米国政府により義務付けられており、米国国立標準技術研究所（NIST）により維持されています。

本付録では、認証されていないスキャナのためのSCAP規格実装方法についての情報を提供します。

• ユニフォームリソース識別子（URI）の一般的シンタックスに基づく共通プラットフォーム一覧（CPE）命名スキームは、オペレーティング・システムおよびソフトウェア・アプリケーションを識別する方法です。
• 共通脆弱性識別子（CVE）規格は、製品による脆弱性識別方法を規定しています。同規格により、セキュリティ製品間での脆弱性データのやりとりが容易となっています。
• 共通脆弱性評価システム（CVSS）は、脆弱性リスク・スコアを計算するためのオープンフレームワークです。
• 共通セキュリティ設定一覧（CCE）は、CCEと呼ばれる固有の識別子を設定制御に割り当てて、異なる環境内でのこれらの制御の一貫した識別を可能とするための規格です。

CPE実装の方法

スキャン中、Nexposeはフィンガープリント技術を利用して、ターゲットであるプラットフォームおよびアプリケーションを認識します。スキャンを完了しスキャン・データベースに新規獲得したスキャンデータを投入したら、対応するCPE名を利用可能である場合はいつでも、フィンガープリントしたプラットフォーム/アプリケーションにCPE名を適用します。

CPE名は、米国標準技術局（NIST）CPEディクショナリへの変更に応じて、データベース内で常に最新の情報へと更新されます。ディクショナリに改訂があるごとに、本アプリケーションは新規に利用可能なCPE名を以前はCPE名を持たなかったアプリケーション説明へとマッピングします。

セキュリティ・コンソール・ウェブ・インターフェースに、スキャンデータ内のCPE名が表示されます。これらの名前は、アセット、ソフトウェア、およびオペレーティング・システムのリストに、さらには特定アセットのページに表示可能です。またCPE名は、XMLエクスポート形式のレポートにも表示されます。

CVE実装の方法

Nexpose がスキャンデータベースに発見された脆弱性を投入する場合、共通脆弱性識別子（CVE）を利用可能な場合はいつでも、同識別子をこれらの脆弱性に適用します。

CVE識別子は、セキュリティ・コンソール・ウェブ・インターフェースの脆弱性詳細ページ上で閲覧可能です。リストされた各識別子は、CVEオンライン・データベース（nvd.nist.gov）へとハイパーテキスト・リンクされており、そこで追加の関連情報およびリンクを見つけることができます。

CVE識別子を検索基準として使用して、本アプリケーションインターフェース内で脆弱性を検索可能です。

またCVE識別子は、レポートの発見された脆弱性セクションにも表示されます。

本アプリケーションは、CVEメーリングリストおよび変更ログからの最新のCVEリストを使用しています。本アプリケーションは常に最新のCVEリストを使用しますので、CVEバージョン番号をリストする必要はありません。本アプリケーションは、既存の定義およびリンクを維持し新しいものを随時追加するサブスクリプション・サービスを利用して、6時間おきに脆弱性定義をアップデートします。

CVSS実装の方法

Nexpose は発見する各脆弱性について、共通脆弱性評価システム（CVSS）バージョン2スコアを算出します。セキュリティ・コンソール・ウェブ・インターフェースに、各脆弱性がCVSSスコア付きでリストされます。本スコア、深刻度ランキング、および時間的または加重的評価モデルのいずれか（設定プリファレンスにより異なる）に基づくリスク・スコアを利用して、脆弱性改善タスクを優先順位付けできます。

本アプリケーションはPCIエクゼクティブサマリーレポートおよびPCI脆弱性詳細レポートにCVSSスコアを組み込み、詳細なペイメントカード業界（PCI）コンプライアンス結果を提供します。発見された脆弱性は、それぞれのCVSSスコアに従ってランキングされます。Rapid7は認定済みのスキャンベンダー（ASV）であり、Nexposeはペイメントカード業界（PCI）認可のコンプライアンス監査実行用ツールです。CVSSスコアは深刻度ランキングに対応しており、任意のアセットがPCI規格に準拠しているかどうかを判定するため、ASVにより使用されます。

また本アプリケーションでは、さまざまなレポート・テンプレートに現れるレポート・セクションにもCVSSスコアが含まれます。最高リスク脆弱性の詳細セクションには最もリスクの高い脆弱性がリストされており、それらのカテゴリ、リスク・スコア、CVSSスコアが含まれています。脆弱性のインデックスセクションには、各脆弱性の深刻度レベルおよびCVSS評価が記載されています。

PCI脆弱性の詳細セクションには、PCI監査（レガシー）レポートに含まれる各脆弱性についての深遠な情報が含まれています。深刻度レベルおよびCVSS評価に従い脆弱性を定量化します。

CCE実装の方法

Nexpose は、設定ポリシーを利用し、コンプライアンスについてアセットをテストします。テストされた各アセットのスキャン結果ページに、コンプライアンステストの結果が表示されます。このページのポリシーリスト表には、アセットのテストの対象であった各ポリシーが表示されます。

リストされている各ポリシーは、当該ポリシーについてのページへのハイパーリンクとなっており、その構成要素ルールの表が記載されています。リストされている各ルールは、当該ルールについてのページへのハイパーリンクとなっています。ルールのページには、当該ルールの詳細な技術的情報が記載されており、そのCCE識別子がリストされています。

CCEエントリは、検索機能経由で見つけることが可能です。ユーザーガイドの検索機能を使用するをご参照ください。

SCAPアップデート情報およびOVALファイルの参照先

Nexpose には、新規のSCAPコンテンツが各コンテンツ・アップデートと共に自動的に含まれます。SCAPアップデート情報は、SCAPページで閲覧可能です。同ページには、セキュリティ・コンソール・ウェブ・インターフェースの管理ページからアクセスできます。

SCAPページには4つの表が表示されます：

• CPEデータ
• CVEデータ
• CVSSデータ
• CCEデータ

各表には、新規SCAPデータを含む、最新のコンテンツ・アップデートおよびNISTが新規データを生成した一番最近の日付がリストされています。

またSCAPページでは、設定ポリシーチェック中にインポートされたセキュリティ検査言語（OVAL）ファイルを閲覧することもできます。FDCC要件に応じて、リストされた各ファイル名はハイパーリンクとなっており、クリックするとXML構造のチェックコンテンツをダウンロードできます。