連載
» 2018年09月05日 05時00分 公開

OpenSCAPで脆弱性対策はどう変わる?(2):SCAPの構成要素、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)とは (1/2)

本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。

[面和毅,OSSセキュリティ技術の会]

 OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱(ぜいじゃく)性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱性の検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSCAP」や、その周辺の技術、用語などを紹介しています。

 前回から数回にかけて、SCAPの歴史的背景と用語定義を見ています。

SCAP(Security Content Automation Protocol)の構成要素(続き)

 SCAPは現在、下記のような要素で構成されています。

  1. CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)
  2. CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)
  3. CPE(Common Platform Enumeration:共通プラットフォーム一覧)
  4. CWE(Common Weakness Enumeration:共通脆弱性タイプ)
  5. CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)
  6. XCCDF(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)
  7. OVAL(Open Vulnerability and Assessment Language:セキュリティ検査言語)

 今回は、CVE、CVSS、CPEを取り上げた前回の続きです。CWEから見ていきましょう。

CWE(Common Weakness Enumeration:共通脆弱性タイプ)

 CWEはソフトウェアの脆弱性の種類を識別するためのユニークなIDです。MITREが中心になって1999年ごろから使用策定が行われ、AppleやRational(IBM)、OWASP、日本のIPAが協力して2008年9月9日にバージョン1.0が公開されました。それ以降もメンテナンスが継続しており、現在のバージョンは2.10になっています。

 CWEは、SQLインジェクションやCSRF、XSS、バッファオーバーフローなど多種多様の脆弱性を識別するために、脆弱性の種類(脆弱性タイプ)を体系化して提供しています。CWEはツリー構造になっており、MITREのサイトから大きく2つの見方で確認できます(図1)。

図1
  • View by Research Concept
  • View by Development Concept

 「View by Research Concept」で見ていくと、図2のようになっており、「View by Development Concept」で見ていくと、図3のようになっています。

図2
図3

 それぞれツリーを展開していくと、カテゴリーから各CWEになっていき、それぞれ親子関係ができていて、最終的なCWEに行き着くことができます。

 例えば図4を見ると、「Heap-based Buffer Overflow」は「CWE CATEGORY: Data Handling(データハンドリング)」→「CWE-118: Improper Access of Indexable Resource ('Range Error')(インデックス可能なリソースへの不正なアクセス('範囲エラー'))」→「CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer(メモリバッファーの境界への操作制限の不足)」→「CWE-788: Access of Memory Location After End of Buffer(バッファーの境界以降のメモリへのアクセス)」の下にあることが分かります。

図4

 CWE-122の「Heap Based Buffer Overflow」をクリックすると、この脆弱性の詳しい説明が表示されます(図5)。

図5
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。