継続的なセキュリティ改善を支援する2つの言語RSA Conference 2006

OVALとXCCDFという2つのXMLベースの言語により、脆弱性の検査から修正、ガイドラインの適合状況のチェックといった作業を自動化できるという。

» 2006年02月16日 21時22分 公開
[高橋睦美,ITmedia]

 セキュリティ対策を継続していく上で、システムにパッチがきちんと適用され最新の状態に保たれているかどうか、あるいは設定がポリシーどおりになっているかどうかを確認する作業は欠かせない。しかし手作業でこうした確認を行うとなると、管理者の負担が大きくなるだけでなく、ミスや見逃しが生じる可能性もある。

 米Mitreの「Open Vulnerability Assessment Language」(OVAL)とNSA/NISTが定めた「Extensible Configuration Checklist Description Format」(XCCDF)というXMLベースの2つの言語は、そうした問題を解決するために開発された。まだ知名度は低いが、うまくこれらを脆弱性検査ツールやパッチ管理ツールと組み合わせていくことで、企業の継続的なセキュリティ改善につなげることができるという。

 OVALは、システムにインストールされているOSやアプリケーションの情報を収集し、脆弱性を確認するための言語で、同じくMitreが公開している脆弱性リスト「Common Vulnerabilities and Exposures」(CVE)とも連動している。2002年の発表直後はSQLベースだったが、現在はXMLベースで定義される形式を採用している。

 一方XCCDFは、より上位のレベルの「ガイダンス」を定義する言語という位置付けだ。設定情報などをチェックするだけでなく、企業内での重要度を加味しながら、システムがどの程度基準やガイダンスに準拠しているかを把握できるようにする。XCCDFはプラットフォームに依存しないベンチマークについて定め、それをOVALによって各プラットフォームに応じた脆弱性定義に落とし込んでいく、というイメージだ。

Mitreのブース MitreのブースではCVEやマルウェア定義言語の「CME」とともにOVALの説明もなされた

 RSA Conference 2006のセッション「OVAL and XCCDF: Open XML Formats for Security Guidance and Remediation」において、NSAのテクニカルディレクターを務めるニール・ジリン氏は、現状の問題点を次のように語った。

 「セキュリティを改善するためのガイドラインやベンチマークは多数提供されているが、システムがそれらに適合しているかどうか、準拠しているかどうかの確認作業は手作業に頼っている。このため、時間がかかるだけでなく、(自然言語をポリシーとして)各ツール向けに翻訳する際にずれが生じる。OVALとXCCDFはこうした作業を自動的に行えるようにするものだ」(同氏)

 たとえば、さまざまな業界団体から提示されるガイダンスやベストプラクティスを、XCCDFやOVAL形式で定義し、対応した脆弱性検査ツールに流し込むことで、自社のシステムがこれらガイドラインに沿っているかどうかを自動的に把握できる。また、得られた結果をパッチ管理システムなどに連動させることで、「修正」のフェーズまでを支援できるという。

 これまでにArcSight、Qualysといった脆弱性検査ツールベンダーがOVALをサポートした。他に、eEye Digital SecurityやnCircleなどがサポートの予定を表明しているという。一方ユーザー側では、米国防総省がシステムの脆弱性検査と修復、レポートにOVALとXCCDFを活用しているということだ。

 ただし「これらは評価のためのスコアリングツールではない。企業全体のセキュリティがどの程度向上しているのかを把握しやすくし、継続的な改善につなげるための仕組みだ」(CIS:Center for Internet Securityのデビッド・ウォルターミル氏)。SOX法やHIPAA、GLBといったさまざまな法規制へのコンプライアンスにも寄与できるという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ