OVAL(Open Vulnerability and Assessment Language)|情報処理安全確保支援士 シラバス準拠予想問題2 問13
出典:3-4:セキュリティ監視並びにログの取得及び分析|脅威インテリジェンスの共有のための標準(STIX/TAXIIなど)に関する知識
分野:セキュリティ / セキュリティ技術評価
OVAL(Open Vulnerability and Assessment Language)の説明として,最も適切なものはどれか。
- ア:OS,アプリケーション,ハードウェアなどの製品名やバージョンを標準化された形式で識別し,脆弱性情報との照合に用いる仕様である。
- イ:脆弱性の深刻度を,攻撃元区分,攻撃条件,必要な権限,影響範囲などの評価基準に基づいて数値化する手法である。
- ウ:コンピュータの設定状態や脆弱性の有無を機械的に判定するための検査条件や判定ロジックを,XML形式で記述する仕様である。
- エ:セキュリティ設定基準やチェック項目を記述し,チェックリストやベンチマークとして利用するための仕様である。
TSUNAGARU-ADVICE
まず押さえたいこと
OVALは、コンピュータの設定状態や脆弱性の有無を機械的に判定するための検査条件や判定ロジックを、XML形式で記述する仕様です。人が目視で確認するのではなく、脆弱性や設定状態を自動的に判定するためのルールを表す点が重要です。
迷ったときの判断軸
製品名やバージョンを標準化して識別するものはCPE、脆弱性の深刻度を数値化するものはCVSS、セキュリティ設定基準やチェック項目を記述するものはXCCDFに近い説明です。OVALは、検査条件と判定ロジックを記述する仕様と判断しましょう。
科目Bにつなげるために
科目Bでは、脆弱性管理や構成管理において、端末やサーバの設定状態をどのように継続的に確認するかが問われることがあります。OVALは、CVE、CPE、CVSS、XCCDFなどとあわせて、脆弱性や設定不備を機械的に評価する仕組みとして整理しておきましょう。
OVALは、Open Vulnerability and Assessment Languageの略で、コンピュータの設定状態や脆弱性の有無を機械的に判定するための検査条件や判定ロジックを記述する仕様です。
例えば、特定のOSやアプリケーションに対して、どのファイル、設定値、レジストリ、パッケージの状態を確認すればよいかをXML形式で記述し、脆弱性管理や設定確認の自動化に利用します。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:OS,アプリケーション,ハードウェアなどの製品名やバージョンを標準化された形式で識別し,脆弱性情報との照合に用いる仕様である。
⇒CPEの説明です。CPEは、製品名やバージョンを標準化された形式で識別するための仕様です。OVALは製品を識別するための仕様ではなく、設定状態や脆弱性の有無を判定するための検査条件や判定ロジックを記述します。
イ:脆弱性の深刻度を,攻撃元区分,攻撃条件,必要な権限,影響範囲などの評価基準に基づいて数値化する手法である。
⇒CVSSの説明です。CVSSは、脆弱性の深刻度を数値化するための評価手法です。OVALは脆弱性の深刻度を評価するものではなく、対象システムが特定の脆弱性や設定状態に該当するかを機械的に判定するための仕様です。
エ:セキュリティ設定基準やチェック項目を記述し,チェックリストやベンチマークとして利用するための仕様である。
⇒XCCDFの説明です。XCCDFは、セキュリティ設定基準やチェックリスト、ベンチマークなどを記述するための仕様です。OVALは、そのチェック項目を実際に判定するための検査条件や判定ロジックを記述する仕様です。