SCAPは何を意味しますか?
SCAPはSecurity Content Automation Protocolの略語です。 その目的は、現在実装されていないか、実装の弱い組織にすでに受け入れられているセキュリティ標準を適用することです。
つまり、セキュリティ管理者は、あらかじめ決められたセキュリティベースラインに基づいてコンピュータ、ソフトウェア、およびその他のデバイスをスキャンして、構成パッチとソフトウェアパッチが比較対象の標準に実装されているかどうかを判断できます。
National Vulnerability Database(NVD)はSCAPの米国政府のコンテンツリポジトリです。
注: SCAPに類似したセキュリティ標準には、SACM(セキュリティ自動化と継続監視)、CC(コモンクライテリア)、SWID(ソフトウェアID)タグ、FIPS(連邦情報処理標準)などがあります。
SCAPには2つの主要コンポーネントがあります
セキュリティコンテンツ自動化プロトコルには、大きく分けて2つの部分があります。
SCAPコンテンツ
SCAPコンテンツモジュールは、米国国立標準技術研究所(NIST)およびその業界パートナーによって開発された自由に入手可能なコンテンツです。コンテンツモジュールは、NISTとそのSCAPパートナーが合意した「安全な」構成で作られています。
Federal Desktop Core Configurationは、 Microsoft Windowsの一部のバージョンのセキュリティ強化された構成です。 このコンテンツは、SCAPスキャンツールによってスキャンされるシステムの比較のベースラインとして機能します。
SCAPスキャナ
SCAPスキャナは、ターゲットコンピュータまたはアプリケーションの構成および/またはパッチレベルをSCAPコンテンツベースラインのものと比較するツールです。
このツールは偏差に気づき、レポートを作成します。 一部のSCAPスキャナには、ターゲットコンピュータを修正して標準ベースラインに準拠させる機能もあります。
多くの商用およびオープンソースSCAPスキャナが、所望の機能セットに応じて利用可能である。 一部のスキャナはエンタープライズレベルのスキャン用であり、その他のスキャナは個々のPCでの使用を目的としています。
NVDでSCAPツールのリストを見つけることができます。 SCAP製品の例としては、ThreatGuard、Tenable、Red Hat、IBM BigFixなどがあります。
SCAPに準拠していると検証された製品を必要とするソフトウェアベンダーは、NVLAP認定のSCAP検証ラボに問い合わせることができます。