CYBEXはサイバーセキュリティ情報を各機関の間で交換するための国際標準であり、ITU-T勧告X.1500にて規定されています。ここでは、何故現在、CYBEXが求められているのか、CYBEXが実際、どこにフォーカスしているのか、そして、具体的にCybexがどのような機能を持っているのかについて、説明していきます。
国際標準CYBEXが現在求められている理由
ウィルスなどの悪意のあるソフトウェアによる被害は国境を越えて、瞬時に広がります。インターネットの普及・拡大に従い、これらのサイバーセキュリティーへの脅威が大きな問題として顕在化してきました。当然、これらの問題に対処する機関も各所に存在しますが、各国ごと、また各機関ごとに独立して活動しており、相互に連携を取ることが充分できていません。その結果、例えばA国ではすでにセキュリティ対策が実現できているものがB国ではできていないために、マルウェアに侵されるなどの被害が多発しています。
ここで、本問題を解決するために登場したのが国際標準CYBEXです。CYBEXでは、サイバーセキュリティー情報の表現・格納方法を標準化することにより、国境を越えた、全世界規模でのサイバーセキュリティー情報の共有を実現するのです。
CYBEXがフォーカスする領域
CYBEXが標準化しようとしているのは、サイバーセキュリティ機関の間での情報のやり取りです。サイバーセキュリティ機関がどうやって情報を取得するのか、またどうやってそれを活用するかについては、Cybexの範囲外です。
より具体的には、Cybexは下記4つのクラスタを規定しています。
X.1500の中では、このクラスタ自体の定義がされており、それを実現する個別技術については、Appendixに記述されています。そうすることにより、新たな技術が登場した際には、X.1500自体ではなく、Appendixのみを修正すればよいように工夫がなされています。 これら4クラスタ自体、またその実現技術の現状については、上記各項目をクリックしてご覧ください。
CYBEX技術規格内容の解説
CYBEX自体について、下記のとおり各種文献にてより詳しく解説しています。新たに文書を起こすより、これらの文献へのポインタを提供いたしますので、CYBEX自体の概要に関するより詳しい解説は、そちらをご覧ください。但し、X.1500は勧告が凍結される直前まで発展をつづけ、改善が重ねられたため、X.1500が凍結された2011年4月以前に出版された文献については、X.1500と一部内容に差異が存在する点にご注意下さい。
CYBEXの概要- "ITU-T勧告X.1500: サイバーセキュリティ情報交換フレームワーク," ITUジャーナル, 2012年2月 [出版社の公式Web] [camera-ready version]
- "Cybersecurity Information Exchange Techniques: Cybersecurity Information Ontology and CYBEX," Journal of the National Institute of Information and Communications Technology, 2012年3月
- "CYBEX – The Cybersecurity Information Exchange Framework (X.1500)," Computer Communication Review, ACM, 2010年10月
情報表現技術
本カテゴリでは、Cybexは様々ななサイバーセキュリティ情報を構造化し、その構造を標準化することを目指しています。サイバーセキュリティ情報とはいっても、さまざまな種類のものが存在するため、サイバーセキュリティ情報は脆弱性/状態クラスタ、イベントクラスタ、情報交換条件クラスタの3つに分類されます。上記3つのクラスタそれぞれについて、下記に詳述します。
脆弱性/状態クラスタ
脆弱性クラスタでは、脆弱性/状態に関する情報を構造化すべく、下記の10の標準化文書が検討されています。CVE: Common Vulnerabilities and Exposures |
既知の脆弱性情報をXMLベースで構造化したディレクトリを構築するための規格であり、各脆弱性にCVE識別子を付与し、その識別子ごとに脆弱性情報を登録したディレクトリをXMLベースで作成する。各脆弱性について、以下の4つの情報を格納する。
CVEは元々Mitreの規格ですが、ITU-TではそれをimportしたX.1520を既に制定済です。 尚、X.1520(X.cve)のEditorはRobert. A. Martin(Mitre)です。 参考Web |
CVSS : Common Vulnerability Scoring System |
CVSSはソフトウェアの脆弱性の深刻さを数値化する手法である。数値化することにより、対処すべき脆弱性の優先順位付けが可能となる。例えば、複数のソフトウェアが存在し、それらがそれぞれセキュリティの問題を抱えている場合に、どのソフトウェアから着手すべきかという優先付けをすることなどが可能となる。
元々米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで 2004年10月に原案が作成され、現在はFIRSTがCVSSの管理母体となっており、version 2が最新です。ITU-TではそれをimportしたX.1521をすでに制定済みです。 EditorはGabin Reid(FIRST)です。 参考Web |
CWE : Common Weakness Enumeration |
CWEはソフトウェアの弱点を表現するための規格であり、各弱点、またそのタイプにIDを付与し、一意に特定可能にする。脆弱性よりは、それを生じる原因に直接対策を講じようという思想から本規格は制定されている。多種多様な弱点の種類を弱点タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化している。上位層に近いほど抽象的な弱点タイプを表し、下位層にいくほど具体的な弱点タイプや個々の弱点そのものを表す。 CVEとCWEは近い関係にあるため、その関連性についても、記載できるようになっている。 CWEは現在Mitreの管理する規格であるが、ITU-TではそれをimportしたX.1524を制定済みです。 EditorはRobert. A. Martin(MITER)です。 参考Web |
CWSS : Common Weakness Scoring System |
CWSSはソフトウェアの弱点の深刻度をスコアリングする手法を規定する規格である。脆弱性のスコアリングをするCVSS同様、CWSSはソフトウェアの弱点の深刻度をスコアリングし、それにより対処すべきソフトウェアの弱点の優先順位付けを実施する。具体的には、下記3つのメトリックグループ別にスコアを算出し、それらを掛け合わせることで最終評価値とする。
EditorはMitreのRobert. A. Martinです。 参考Web |
OVAL : Open Vulnerability and Assessment Language |
OVALは機器の設定やステートなどの情報の記述言語であり、これにより、脆弱性の有無を確認する手続きを機械処理可能なXMLベースの文書で記述することが可能となる。このOVALで書かれた脆弱性確認情報文書のことをOVAL定義データと呼び、本データとOVALを正しく理解して処理を実施するOVALインタプリタを用いることにより、脆弱性対策のための確認作業の自動化を促進する。 より具体的には、OVALは システムにインストールされているOSやアプリケーションの情報を収集し、脆弱性を確認するための言語で、同じくMitreが公開しているCVEとも連動しています。XCCDFはプラットフォームに依存しないベンチマークについて定め、それをOVALによって各プラットフォームに応じた脆弱性定義に落とし込んでいく、というイメージである。 これにより、管理が効率化されると同時に、人間により生じるミスも低減する。2002年の発表直後はSQLベースであったが、現在はXMLベースで定義される形式を採用している。 実際には、OVALはMitreが定めたものですが、Cybexにもこれをそのままインポートする形で採用しようとしています。尚、OVALは2002年の発表直後はSQLベースでしたが、現在はXMLベースで定義される形式を採用している。 EditorはMitreのRobert. A. Martinである。 参考Web |
CPE : Common Platform Enumeration |
CPEはソフトウェアなどのIT資産を一意に特定するための識別子を規定する規格である。ITに関する技術、機器、プラットフォーム、パッケージを構造的に記述し、一意に特定可能にする。新しいぜい弱性が公開されたとき,「どのシステムがぜい弱なのか」「どのシステムが影響を受けるのか」を尋ねるが、ぜい弱性対策でできるだけ自動化,標準化を進めるには,情報システム,プラットフォーム,ソフトウエア・パッケージを照合するための識別情報が必要になる。そこで,これらに一意の名称を付与するCPEが整備されてきた。 version 2.3では複数のスタックに分けられている。各スタックに別々の規格が存在するが、それらすべてを合わせてCPE規格を形成している。これらのうちの最下位のスタックにはIT資産の命名法が規定されているが、ここでは人間が理解しやすい形式とコンピュータが処理しやすいURI形式の両方で識別子が定義されており、その双方の変換も可能となっている。この識別子は製品種別(ハードウエア/OS/アプリケーション)を含んでおり、そのそれぞれの部位は主にベンダ名と製品名の連結から生成される。また、最上位のスタックには、CPEの識別子を集めた辞書を記述する手法が定義されており、これを用いて、各識別子について、詳しい情報を集めた辞書が構築されている。 CPEは,SCAPの識別子仕様の一環としてMitre、NISTで検討が進められており,2007年1月30日にCPE 1.0が,2007年9月14日にはCPE 2.0がリリースされた。 ITU-TではそれをimportしたX.1528、1528.1-4を制定済みです。 参考Web |
CCE : Common Configuration Enumeration |
CCEは,コンピュータの「設定上のセキュリティ問題」を解決するための仕様であり、セキュリティと関連する設定項目に一意の番号(CCE-ID)を付与する。 CCEはセキュリティと関連する設定項目に,実際に問題のない設定が施されているかどうかをチェックするためのものである。各CCE-ID毎に、設定内容の概要、設定の対象となるパラメータ値、レジストリなどの詳細情報と共に外部情報源(NIST,DISA,NSA,マイクロソフト,Center for Internet Securityなどの情報源)へのリファレンスが一緒に保存される。 そして、そのそれぞれのID毎にコンピュータの設定情報を列挙したディレクトリを構築する。 尚、設定情報は単純に番号順に登録されているのではなく,分類項目に分けた一覧表になっている。 本ディレクトリにより、コンピュータの設定にセキュリティ問題を生じる問題がないかをチェック可能となる。一覧表には、 Mitreが中心となって定めた規格であるが、それをそのままCYBEXにインポートしています。 参考Web |
XCCDF : eXtensible Configuratiion Checklist Description Format |
XCCDFはセキュリティのチェックリストとその関連情報を記述するための言語である。チェックリスト自体は、各組織のポリシや準拠すべき法令などにより異なるが、XCCDFを利用することにより、それらをXMLにて記述することができる。 XCCDFで記述したチェックリストに従い、実際に脆弱性が存在しないかなどをチェックするためには、下記のOVALを利用する。 セキュリティ対策を継続していく上で、システムにパッチがきちんと適用され最新の状態に保たれているかどうか、あるいは設定がポリシーどおりになっているかどうかを確認する作業は欠かせないが、手作業でこうした確認を行うとなると、管理者の負担が大きくなるだけでなく、ミスや見逃しが生じる可能性がある。これを解決するのがXCCDFとOVALである。XCCDFは、OVALより上位のレベルの「ガイダンス」を定義する言語という位置付けで、設定情報などをチェックするだけでなく、企業内での重要度を加味しながら、システムがどの程度基準やガイダンスに準拠しているかを把握可能にする。 XCCDFはNSA/NISTが定めたものである。ITU-Tではなく別の標準化機関にて規格化されることになったが、CYBEXの関連技術として、ここに記載する。 参考Web |
ARF : Assessment Results Format |
IT資産のセキュリティレベルの評価結果の記述を構造化することを目指しています。元々はCRF(Common Result Format)という名前でしたが、この略語が他の機関の略語とバッティングする可能性から、2010年1月のInterim
Meetingにて、ARFへと名称変更されました。 Mitreが現在制定作業中のCRFをそのままインポートする方向で、進んでいる。 尚、似て非なるものに、Asset Reporting Format=ARFが存在するが、こちらは、組織内、そして組織間のIT資産に関する情報を記述する。組織内外にて分散しているIT資産に関する情報を効率的に収集し、把握することを可能とする。これを実現すべく、ARFには4つのモジュールが存在する。assetモジュールはIT資産の情報を記述手法を定義し、report-requestモジュールは問い合わせ内容を記述し、reportモジュールは問い合わせ結果を記述し、relationshipモジュールはそれら3つのモジュールを関連付ける。尚、ARF自身は細かい記述手法を規定せず、上述のOVALやXCCDF、その他OCILやAIなどの各種規格と組み合わせて利用される。 2つのARFの件は、今後の議論の行く末を見て、上記も書き換えていく。 参考Web |
イベントクラスタ
イベントクラスタでは、下記の6の標準化文書が検討されています。
CEE: Common Event Expression |
CEEはコンピュータイベントの記録、ログ、交換方法を規定しており、これにより組織内でのログ管理、インシデント対策業務、監査の効率化を実現する。CEEは複数のモジュールから構築されており、その中には、コンピュータイベントの分類とその辞書を定義するもの、ログすべき推奨イベントガイドライン、ログの構造化記述手法、当該ログの交換方法が定められている。 Mitreの規格をCybexにそのままインポートしている。 参考Web |
IODEF : Incident Object Description Exchange Format |
IODEFはCERT/CSIRT間で、セキュリティインシデント情報を交換するためのXMLフォーマットを定義したIETF規格である。インシデントID、コンタクト情報、攻撃・侵入手法情報、その攻撃の影響に関する情報など、多岐にわたる情報が記載できる構造になっている。現在、本IODEFの有効性が再認識され、より詳細なタグを定義する拡張技術や、これらの情報をセキュアに転送する連携技術などが提案されている。ITU-Tでは本規格をimportしたX.1541を制定済みです。 参考Web |
IODEF :Extensions to IODEF for reporting Phishing |
上記IODEFを拡張子、Phishingに関するレポートを扱えるようにしたものです。IETFにてRFC化されています。 参考Web |
CAPEC : Common Attack Pattern Enumeration and Classification |
CAPECは攻撃パターン情報の識別子の記述方法を規定し、攻撃パターンを特定、記述、列挙するための表現をXML/XSDベースで規定したものである。これにより攻撃パターンのカタログをわかりやすい構文と分類に沿って、広く公開できるようにすることを目的としている。具体的には、各攻撃パターンごとに、その攻撃の識別情報、内容説明、対処情報、影響の甚大度、コンタクト情報などの事務的情報が記載されている 参考Web |
MAEC : Malware Attribution Enumeration and Characterization |
MAECはマルウェアの表現方法を規定した規格である。マルウェアに関する攻撃パターンなどの属性に基づいてマルウェアの情報を情報を忠実にエンコードし、通信するための標準化された言語である。マルウェア関連のオペレーション、コミュニケーションを効率化することが可能となる。MAECで表現できるものは多岐にわたり、例えば、Conflickerにてサービスが中断する挙動なども記載可能である。 MAECは現在、Mitreにて制定がすすめられており、Cybexには、それをインポートする形で採用しようとしています。 EditorはRobert Martin(Mitre)です。 参考Web |
情報識別・発見・問い合わせ技術
本カテゴリでは、Cybexはサイバーセキュリティー情報及びサイバーセキュリティ機関を特定し、また、発見する方法の標準化を目指しています。そのために下記4つの標準化文書が検討されています。
X.1570 : Discovery mechanism in the exchange of cybersecurity information |
サイバーセキュリティ情報を特定・発見するための手法について、その概念及び必要な技術手順を述べています。その中で、RDFを用いる手法とOIDを用いる手法をそれぞれ規定しています。尚、本提案はNICTが提案し、X.1570として確立しました。 尚、NICTでは現在、X.1570に基づくサイバーセキュリティ情報の検索エンジンをテスト実装しています。本実装により、インターネット上に散在している各種サイバーセキュリティ情報のリポジトリを有機的に結合し、一括して情報検索ができるようになります。現在、既にテスト実装を終了しており、近日中にその詳細を公開する予定です。一部、画面のスナップショットやソースコードについては、先行して本サイトにて既に公開してあります。 |
X.1500.1 : Guidelines for Administering the OID arc for cybersecurity information exchange |
グローバルなサイバーセキュリティ識別子の名前空間と、OID arcやそのほかのサイバーセキュリティ関連の識別子の管理上の必要条件についても述べています。 |
アイデンティティ検証
本クラスタは、サイバーセキュリティ情報の信頼性を担保する手法を提供します。CYBEXに欠かせない技術群ですが、現時点では、CYBEXコミュニティでは本分野の発展は限定的です。本クラスタでは以下の3つの文書が検討されています。
X.eaa : Entity authentication assurance |
各エンティティの同一性(アイデンティティ)を維持するための認証ライフサイクルのフレームワークを規定しています。 |
X.evcert : Extended Validation Certificate Framework |
ある特定期間の拡張認証証明書(Extended Validation Certificates, EVC)を発行し、維持するのに最低限必要な技術、プロトコル、証明、ライフサイクルマネジメント、監査のコンビネーションを規定しています。 |
TS102042 V2.0 |
証明書発行機関が公開鍵証明書やEVCを発行するのに必要なポリシーを規定しています。ETSIの標準です。 |
情報交換技術
本クラスタは、サイバーセキュリティ情報を交換する手法を提供します。CYBEXに欠かせない技術群ですが、現時点では、CYBEXコミュニティでは本分野の発展は限定的です。情報交換クラスタでは以下の3つの文書が検討されています。
X.1580 :Real-time internetwork defense (RID) |
インシデント情報の交換プロトコルで、IODEFのwrapperである。これによりエンティティ間にてメッセージのセキュアな交換を実現する。IETFにおいてRFC化されており、それをITU-TにてX.1580としてimportしたものである。 |
X.1581 Transport of rReal-time internetwork defense (RID) messages |
HTTPSを利用してRIDを利用する場合の詳細を規定したものです。IETFにてRFC化されており、それをITU-TにてX.1581としてimportしたものです。 |
X.cybex-beep : Blocks eXtensible eXchange Protocol Framework for CYBEX |
コネクションベースの非対称通信を実現するプロトコルBEEPを用い、各機関の間で構造化されたサイバーセキュリティ情報を交換するためのプロファイルを定義しています。BEEP自体はIETFにてRFC3080として定義されています。 |