「脆弱性対策の標準仕様SCAPの仕組み」

脆弱性対策の標準仕様SCAPの仕組み

～MyJVNバージョンチェッカのカスタマイズ入門～

独立行政法人 情報処理推進機構 (IPA)

技術本部 セキュリティセンター

2012年2月28日

講義内容



脆弱性対策の標準仕様SCAP概要



オフライン版MyJVNバージョンチェッカのカスタマイズ

2011年に起こったサイバー攻撃：



2011年は、サイバー攻撃に関する報道が目立った

時期

報道

2011/2

中国から欧米エネルギー５社攻撃 （毎日新聞等）

2011/3

韓国で大規模ハッカー攻撃 大統領府や銀行など４０機関 （朝日新聞等）

2011/3

仏財務省にサイバー攻撃、Ｇ２０情報盗まれる （読売新聞等）

2011/4-5

Ａ社にサイバー攻撃、個人情報流出１億件超 （朝日新聞等）

2011/6

米Ｂ社：中国からサイバー攻撃 米韓政府関係者ら被害 （毎日新聞等）

2011/9

Ｃ社にサイバー攻撃、８０台感染…防衛関連も （読売新聞等）

2011/9

Ｄ社にもサイバー攻撃 日本の防衛・原発産業に狙いか （産経新聞等）

2011/10

衆議院にサイバー攻撃 議員のパスワード盗まれる （朝日新聞等）

2011/11

サイバー攻撃：参議院会館のＰＣ、ウイルス感染は数十台に （毎日新聞等）

昔と今のサイバー攻撃の絵姿変化...

攻撃者ひとり

体系化（Botnet)

不正侵入・改竄

攻撃組織基盤化

多段化

正規サービスの

攻撃基盤利用

２００６～

（Botnet技術基盤利用）

PCとホームページ改竄がターゲット

？

e-マーケットビジネス、決済等への影響

決済関連情報窃取等、サプライチェーン

PCの破壊・HP改竄

対象：PC、サーバ

_{対象：情報システム（組織・ビジネス）}

情報窃取等

１脆弱性＝１攻撃の時代

攻撃組織間連携

多様な意図性（情報窃取攻撃）

２０００～

２００４～

２００６～

２００９～

影響（業務インパクト）の変化

出展：亀山社中

攻撃の変容

２０１０～１１

戦術的攻撃

ウイルス亜種の大量出現

シーケンシャルマルウエア（多段型攻撃）

0-Day脆弱性利用

toolによるウイルス生産

情報システムがターゲット

対象：制御システム・社会インフラ

国家安全保障問題

製造業者における死活問題

正規サイト・

サービス利用

組織を跨った新し

いタイプの攻撃

増え続ける脆弱性対策情報

～ PCで使用するソフトウェアの脆弱性が増加～

1

17

29

24

73

84

133

152

271

355

461

₄₅₀

0

100

200

300

400

500

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

件

数

図

2. PCで広く利用されている定番ソフトウェアの登録件数の年別推移

一太郎

Adobe Flash Player

Adobe Acrobat

Adobe Reader

JDK

JRE

Microsoft Internet Explorer

Mozilla Firefox

（出典）IPA：脆弱性対策情報データベースJVN iPediaの登録状況 2011第4四半期



2007年頃からAcrobat Reader、JRE、Adobe Flash Playerの脆

弱性対策情報が飛躍的に増加



一般利用者において、

常にセキュリティパッチを適用し続けなけれ

管理対象機器の増大

ＰＣだけではなく、あらゆるものが、ネットワークにつながり、

機器の管理が困難

まとめ

どのように対策

米国における脆弱性対策

増大する脆弱性、管理

対象システム。次に、

米国での取組みを見て

みよう

米国における脆弱性対策の歩み



1999年iCAT(脆弱性対策メタデータベース)構築からはじまり、2002年

のFISMA (Federal Information Security Management Act： 連邦情報セ

キュリティマネジメント法) の施行以降、各種活動が統合されはじめた。

NVD

SCAP

NCP

1999年

2002年

2004年

2006年

2010年

脆弱性対策管理やコンプライアンス管理

⇒情報セキュリティ管理の技術面での

機械化(自動化)と標準化

プログラムが稼動するための

設定に内在するセキュリティ問題

⇒チェックリスト

プログラム自身に内在する

FDCC

連邦政府システムの共通のデスクトップ基準

米国での脆弱性対策の取組み



米国では、 2002年のFISMA(Federal Information Security Management Act：

連邦情報セキュリティマネジメント法)の施行以降、セキュリティ規格やガイドライン

に従い、情報システムにセキュリティ要件を反映する活動を推進している。

作業の機械化(自動化)による対処

⇒

SCAP (Security Content Automation Protocol)

共通のデスクトップ基準制定による対処

⇒

FDCC(Federal Desktop Core Configuration)

【 解決策 】

共通基準制定による(自動化)の普及

⇒

Making Security Measurable

共通の基準制定による対処

⇒

USGCB(United States Government

Configuration Baseline)

セキュリティ設定に関する作業を手作業

で行なうと、

設定ミスや設定者のセキュ

リティ知識の程度や判断の相違

などによ

りセキュリティ要件を損なう可能性

連邦政府システムのベースラインのセ

キュリティを確保しつつ、ヘルプデスクお

よび パッチ検証にかかる費用を削減

【 課題 】

コンプライアンス対応に膨大な時間とリソース

の消費

【 背景 】

SCAP

＝FDCC推進を支援するための技術仕様



2007年、米OMB(Office of Management and Budget：行政予算管理局)では、

Windowsソフトウエアを『共通セキュリティ設定』に準拠させるFDCC（Federal

Desktop Core Configuration：連邦政府共通デスクトップ基準)を定めた。



NISTでは、FDCC推進にあたり、FDCC準拠の確認手段の一つとしてSCAPを普及

展開している。

ポリシー・・・

FISMA

スタンダード・・・

FDCC

などの共通セキュリティ設定

共通技術仕様・・・

SCAP

、Making Security Measurable

ツール・・・

NVD、SCAP準拠ツール

JVN脆弱性対策機械処理基盤

(MyJVN API、MyJVN XMLフォーマットなど

IPA提供ツール

注意喚起など緊急時対応

基盤を普及させるための先行実装

米国政府の推進するSCAPとは



脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情

報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の

両立を目的とした仕様群である。

6つの標準仕様

から構成されている。

脆弱性管理

構成管理

資産管理

プログラム自身に内在する

プログラム上のセキュリティ問題に

一意の番号を付与する

脆弱性自体の特性、パッチの提供状況、

ユーザ環境での影響度などを

考慮し影響度を評価する仕様

プログラム上のセキュリティ問題や

設定上のセキュリティ問題をチェック

するための手続き仕様

セキュリティチェックリストやベンチマークなどの

文書を記述するための仕様

プログラムが稼働するための設定上の

セキュリティ問題に一意の番号を付与する

情報システムを構成する、

ハードウェア、ソフトウェアなどに

一意の名称を付与する

MyJVNバージョンチェッカとSCAPの関係



MyJVNバージョンチェッカではSCAPの要素のうち、OVAL、

XCCDF、CPEを利用しています。

脆弱性管理

構成管理

資産管理

プログラム自身に内在する

プログラム上のセキュリティ問題に

一意の番号を付与する

脆弱性自体の特性、パッチの提供状況、

ユーザ環境での影響度などを

考慮し影響度を評価する仕様

プログラム上のセキュリティ問題や

設定上のセキュリティ問題をチェック

するための手続き仕様

セキュリティチェックリストやベンチマークなどの

文書を記述するための仕様

プログラムが稼働するための設定上の

セキュリティ問題に一意の番号を付与する

情報システムを構成する、

ハードウェア、ソフトウェアなどに

一意の名称を付与する

何故MyJVNを利用するのか？（その１）



脆弱性対策情報を追い続けることは大変

稼働中のシステムに対して「影響のある脆弱性が存在するか」を

追い

続けることにはユーザ企業にとって必要不可欠

文書による脆弱性対策情報だけで影響有無を判定する手法は

抜け

漏れが発生する可能性

がある

問題有無?

稼動中の

システム

検査

修正・変更の

実施

問題なし

問題あり

文書による

脆弱性の注意喚起

文書による

影響有無の確認

文書による

指示で修正

MyJVNによる機械処理の部分



作業漏れ防止、早期対応、負荷軽減といったことを実現する

ためには手作業ではなく

機械処理

が有効

問題有無?

稼動中の

システム

検査

修正・変更の

実施

問題なし

問題あり

手順データ

による

脆弱性の注意喚起

手順データ

による

影響有無の確認

手順データ

による

指示で修正

011010 111101 110101

手順データ

何故MyJVNを利用するのか？（その２）

オフライン版MyJVNバージョンチェッカの

カスタマイズ

本章の流れ



本章では下記の流れで説明を進めます。

１．MyJVNバージョンチェッカとは

２．カスタマイズの概要

本章の流れ



本章では下記の流れで説明を進めます。

１．MyJVNバージョンチェッカとは

２．カスタマイズの概要

MyJVNバージョンチェッカとは

PCにインストールされているソフトウェア製品（Adobe Flash Player、Adobe

Reader、JRE等）が最新かを簡単な操作で確認するツール

サービス開始は2009年11月末。チェック対象アプリは随時追加中。

（2009/11時点のアプリ数は8 → 2011/8時点のアプリ数は17）

公開URL

http://jvndb.jvn.jp/apis/myjvn/index.html （クイック起動） または

最新バージョンでない

場合には「×」と表示

します

MyJVNはSCAPの要素

OVAL

、

CPE

、

XCCDF

を

利用しています。

MyJVNバージョンチェッカの仕組み



MyJVNバージョンチェッカの仕組み

IPA内で

バージョン判定用定義データ

を作成する

MyJVNバージョンチェッカでバージョン判定用の定義デー

タとシステムの情報を対比させる

定義ファイルと

システムと対比

結果表示

ユーザ側

MyJVNバージョンチェッカ

MyJVNの管理ツールで作成

した判定用の定義データ

IPA側

インターネット

バージョン判定用

の定義データ

ダウンロード

判定用の定

義データ

バージョン判定用の定義データとは



バージョン判定用定義データは主に2種類のデータ

で構成されます。

定義ファイルと

システムと対比

結果表示

ユーザ側

MyJVNバージョンチェッカ

MyJVNの管理ツールで作成

した判定用の定義データ

IPA側

インターネット

バージョン判定用

の定義データ

ダウンロード

判定用定義

データ

・セキュリティ検査言語OVALのデータ

・セキュリティチェックリストXCCDFのデータ



ソフトウェアのバージョンチェック用OVALには、チェック対象のアプリケーション毎に、

インベントリ

と

バルネラビリティ

の２種類のファイルが存在する



MyJVNバージョンチェッカでは、インベントリとバルネラビリティのOVALを読込んで処

理を行う

セキュリティ検査言語OVAL

OVAL種別

説明

インベントリ

(Inventory)

チェック対象のソフトウェア製品が

インストールされている

かを検査する

方法を記述

バルネラビリティ

(Vulnerability)

チェック対象のソフトウェア製品が、

最新のバージョンであ

るかを検査する

方法を記述

セキュリティ設定チェックリストXCCDFとは



XCCDFとは？

・英名：e

X

tensible

C

onfiguration

C

hecklist

D

escription

F

ormat

・和名：セキュリティ設定チェックリスト記述形式

・意味：セキュリティチェックリストなどを記述するための仕様言語のこと

XCCDF定義データ

OVAL定義データ

チェックリスト

No チェック項目 1 ソフトウェアAのバージョンチェック 2 ソフトウェアＢのバージョンチェック 3 PCのセキュリティ設定Ｘの設定状況 … … …… …… ……… … ソフトウェアAの バージョンチェックを行う OVALファイル ソフトウェアＢの バージョンチェックを行う OVALファイル セキュリティ設定Ｘの 設定状況を確認する OVALファイル

アプリケーションのバージョン確認方法

○○○○ ○○○○

アプリケーションのバージョン確認方法

（その１）



Windowsのアプリケーションは

レジストリ

でバージョンを

管理していることが多い

レジストリ

を確認すれば

インストールの有無

/

最新バージョンかどうか

が確認可能

MyJVNでは

アプリケーションのバージョン確認方法

（その２）



レジストリでアプリケーションのバージョンを管理していな

い場合

アプリケーションを構成しているファイルの情報

を

確認すれば

イントールの有無

/

最新版バージョ

ンかどうか

が確認可能

ファイルハッシュ：

EADCE51C・・・・

ファイルプロパティの

バージョン：

8.0.0・・・

MyJVNでは

MyJVNバージョンチェッカをカスタマイズ

オフライン版MyJVNバージョンチェッカとは



オフライン環境で動作可能なMyJVNバージョンチェッカのこと

利用者側ではオフライン版ダウンロードのパッケージを使用することでオフ

ライン環境でもバージョンチェックの実施が可能

URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html

実行例

オフライン版MyJVNバージョンチェッカとは



オフライン版MyJVNバージョンチェッカ 配布パッケージ内容

URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html

_{配布パッケージの展開例）}

バージョン判定用の

定義データを格納

オフライン版MyJVNバージョンチェッカとは



オフライン版MyJVNバージョン

オフライン版MyJVNバージョンチェッカと

オンライン版MyJVNバージョンチェッカの違い



オンライン版MyJVNバージョンチェッカ

定義ファイルと

システムと対比

結果表示

ユーザ側

IPA側

インターネット

定義ファイルと

システムと対比

結果表示

ユーザ側

判定用の

定義データ



オフライン版MyJVNバージョンチェッカ

バージョン判定

用の定義データ

ダウンロード

MyJVNの管理ツールで作成

した判定用の定義データ

MyJVNの管理ツールで作成

MyJVNバージョンチェッカ

MyJVNバージョンチェッカ

判定用の

定義データ

バージョン判定

用の定義データ

ダウンロード

【オフライン】

データは

ローカル

【オンライン】

データは

ネットワーク

本章の流れ



本章では下記の流れで説明を進めます。

１．MyJVNバージョンチェッカとは

２．カスタマイズの概要

３．カスタマイズ実演

カスタマイズの流れ

１．対象のアプリケー

ションの情報を確認

３．定義データの設定

４．動作確認

２．チェック方法の決定

アプリケーションはどこに

バージョン情報を管理し

ているのだろう

どの情報でチェックしたら

いいだろうか

定義データを変更してみ

よう

判定用 定義データ

実際に動かしてみよう

カスタマイズの流れ

1.対象のアプリケーションの情報を確認



対象のアプリケーションがどこにバージョン情報を持

っているかを確認します。

・レジストリのバージョン値

例）

HIVE： 「HKEY_LOCAL_MACHINE」

KEY： 「SOFTWARE¥IPA」

NAME： 「Version」

⇒ 1.2.3.4

・ファイルのプロパティのバージョン値

例） 1.2.3.4

・特定のファイルのハッシュ値

例） C5051FE22・・・(全40字)

カスタマイズの流れ

2.チェック方法の決定



アプリケーションのバージョンチェックの方法を決定します。

レジストリ

• 推奨するチェック方

法

ファイルプロ

パティ

【制限事項】

• アプリケーションのイ

ンストール場所に依

存

ファイルハッ

シュ

【制限事項】

• アプリケーションのイ

ンストール場所に依

存

• バージョン情報の取

得不可

■チェック方法の決定例（異なるチェック方法でも判定可能）

インストールの有無（インベントリ）は

ファイルハッシュ

最新バージョンの判定（バルネラビリティ）は

レジストリ

カスタマイズの流れ

3.バージョン判定用定義データの設定



判定用定義データの４つのファイルを変更して

いきます。

・OVALファイル(インベントリ)

・OVALファイル(バルネラビリティ)

・XCCDFファイル

・oval_indexファイル

※変更方法の詳細はこのあとの

カスタマイズの流れ

4.動作確認



カスタマイズしたオフライン版MyJVNバージョ

ンチェッカを起動し、動作を確認します。

アプリケーションのバージョンに応じて判定結果が出力されます。

○：最新のバージョンがインストールされている

×：古いバージョンがインストールされている

―：対象のアプリケーションがインストールされていない

本章の流れ



本章では下記の流れで説明を進めます。

１．MyJVNバージョンチェッカとは

２．カスタマイズの概要

41

オフライン版MyJVNバージョンチェッカ

-カスタマイズ実演について-



Windows上で動作する独自アプリをバージョンチェックする場合

の具体的な設定方法例について講師側PCの実演とあわせて

概説します。



概説内容の一覧

1. レジストリによるチェック

事例1

2. ファイルプロパティ（バージョン情報）によるチェック

事例2

3. ファイルハッシュによるチェック

事例3

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

42

オフライン版MyJVNバージョンチェッカ

-カスタマイズ実演について-



Windows上で動作する独自アプリをバージョンチェックする場合

の具体的な設定方法例について講師側PCの実演とあわせて

概説します。



概説内容の一覧

1. レジストリによるチェック 事例1

2. ファイルプロパティ（バージョン情報）によるチェック 事例2

3. ファイルハッシュによるチェック

事例3

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

レジストリによるチェック

カスタマイズ実演

【事例1】 レジストリによるチェック



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

参考

設定

修正準備

調査

43

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

実演

説明

レジストリによるチェック

カスタマイズ実演

【事例1】 レジストリによるチェック



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

44

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例1】 レジストリによるチェック

[手順1]バージョン確認方法の調査



チェック対象アプリのバージョン確認方法を調査します。

調査方法 その1）

・ regedit コマンド等を使用してレジストリ情報にバージョン情報が存在するかを

確認してください。

参考） HKEY_LOCAL_MACHINE¥SOFTWARE¥ベンダ名¥アプリ名 等

の配下にバージョン情報が格納されていることがあります。

レジストリによるチェック

設定

修正準備

調査

【事例1】 レジストリによるチェック

[手順1]バージョン確認方法の調査



チェック対象アプリのバージョン確認方法を調査します。

調査方法 その2）

・ ファイルプロパティにバージョン情報が存在するかを確認してください。

レジストリによるチェック

設定

修正準備

調査

【事例1】 レジストリによるチェック

[手順1]バージョン確認方法の調査



チェック対象アプリのバージョン確認方法を調査します。

調査方法 その3）

・ バージョン更新と同じタイミングで更新がされるファイルが存在するか確認

してください。更新ファイルが存在する場合にはハッシュ値を確認してください。

レジストリによるチェック

設定

修正準備

調査

参考）

ハッシュ値を確認

するためのフリー

ソフトウェアを使

用しています。

【事例1】 レジストリによるチェック

[手順1]バージョン確認方法の調査



調査結果のまとめ例

レジストリによるチェック

設定

修正準備

調査

対象OS

チェック方法

チェック場所

値

Windows系 レジストリ

HIVE： 「HKEY_LOCAL_MACHINE」

KEY： 「SOFTWARE¥IPA」

NAME： 「Version」

値のデータ型：文字列(REG_SZ)

1.2.3.4

ファイル

情報

ファイルプロ

パティ（バー

ジョン情報）

ファイルパス：C:¥IPA

ファイル名：IPA.exe

1.2.3.4

ファイル

ハッシュ値

ファイルパス：C:¥IPA

ファイル名：IPA.exe

ハッシュタイプ： SHA-1

C5051FE22

・・・

(全40字)

【事例1】 レジストリによるチェック

[手順1]バージョン確認方法の決定



調査結果のまとめ例

レジストリによるチェック

設定

修正準備

調査

対象OS

チェック方法

チェック場所

値

Windows系 レジストリ

HIVE： 「HKEY_LOCAL_MACHINE」

KEY： 「SOFTWARE¥IPA」

NAME： 「Version」

値のデータ型：文字列(REG_SZ)

1.2.3.4

ファイル

情報

ファイルプロ

パティ（バー

ジョン情報）

ファイルパス：C:¥IPA

ファイル名：IPA.exe

1.2.3.4

ファイル

ハッシュ値

ファイルパス：C:¥IPA

ファイル名：IPA.exe

ハッシュタイプ： SHA-1

C5051FE22

・・・

(全40字)

インストール有無確認、最新バージョン確認、

のそれぞれのチェック方法を

レジストリ

と決定し

た場合の例です。

レジストリによるチェック

【事例1】 レジストリによるチェック

[手順2]テンプレートファイルのコピー



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

50

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例1】 レジストリによるチェック

[手順2]テンプレートファイルのコピー



IPAでは、独自のアプリケーションの追加を容易にするためのテ

ンプレートを用意しています。

（近日Webで配布予定）

レジストリによるチェック

設定

修正準備

調査

オフライン版MyJVN（webで公開済）

セミナー向けテンプレート

実演

説明

1-1-before-registry （レジ

ストリチェック用）

のテンプ

レートファイルをコピーします。

【事例1】 レジストリによるチェック

[手順2]コピーファイルの一覧



コピーをしたテンプレートは以下①～④の４ファイルです。

レジストリによるチェック

設定

修正準備

調査

6_Reference

CONF

oval_index

OVAL

INVENTORY

OVAL_INV_APP_A.xml

VULNERABILITY

OVAL_VUL_APP_A.xml

XCCDF

TEST-IPA.xml

① 修正は不要

②

修正必要

③

修正必要

④

修正必要

レジストリによるチェック

【事例1】 レジストリによるチェック

[手順3]バージョン判定の設定



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

53

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例1】 レジストリによるチェック

[手順3]「①定義ファイル」の修正

レジストリによるチェック

設定

修正準備

調査



コピー後の修正は不要です。

① oval_index （定義ファイルのマッピングを記載）

OVALファイルとOVAL IDのマッピングが記載

されています。

【事例1】 レジストリによるチェック

[手順3]「②チェックリスト」の修正

レジストリによるチェック

設定

修正準備

調査



修正後のファイル内容例

② TEST-IPA.xml （チェックリストを記載したファイル）

アプリケーションの名称を設定します。

実演

説明



修正後のファイル内容例

③ OVAL_INV_APP_A.xml （インストール有無の判定）

【事例1】 レジストリによるチェック

[手順3]「③インストール有無」の修正

レジストリによるチェック

設定

修正準備

調査

レジストリのチェック場所を設定します。

実演

説明



修正後のファイル内容例

④ OVAL_VUL_APP_A.xml （最新バージョンの判定）

【事例1】 レジストリによるチェック

[手順3]「④最新バージョン判定」の修正

レジストリによるチェック

設定

修正準備

調査

レジストリのチェック場所を

設定します。

最新バージョンを判定する条件

を設定します。

最新のバージョン情報を設定します。

実演

説明

【事例1】 レジストリによるチェック

[手順3]参考：修正後のファイル例

レジストリによるチェック

設定

修正準備

調査

セミナー向けテンプレート（

後日Webで配布予定

）

1-2-after-registry （レジストリチェック用）

は修正後の事例です。

講師側PCでは以下のファイルを修正してツールを実行します。

1_Script_GUI_Client¥

MyJVN_GUI_XP_x32.sample.bat

チェック結果が「○ 最新のバージョンです」に

なります。

【事例1】 レジストリによるチェック

動作確認 その1

レジストリによるチェック

設定

修正準備

調査

ベンチマークIDに「TEST-IPA」 を

指定します。

実演

説明

レジストリ内容を旧バージョンの値に設定して、

チェック結果を

確認します。

チェック結果が

「× 最新のバージョンではありません」

になります。

【事例1】 レジストリによるチェック

動作確認 その2

レジストリによるチェック

設定

修正準備

調査

実演

説明

61

オフライン版MyJVNバージョンチェッカ

-カスタマイズ実演について-



Windows上で動作する独自アプリをバージョンチェックする場合

の具体的な設定方法例について講師側PCの実演とあわせて

概説します。



概説内容の一覧

1. レジストリによるチェック 事例1

2. ファイルプロパティ（バージョン情報）によるチェック 事例2

3. ファイルハッシュによるチェック

事例3

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

ファイルプロパティによるチェック

カスタマイズ実演

【事例2】 ファイルプロパティによるチェック



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

62

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例2】 ファイルプロパティによるチェック

[手順1]バージョン確認方法の決定



調査結果のまとめ例

ファイルプロパティによるチェック

設定

修正準備

調査

対象OS

チェック方法

チェック場所

値

Windows系

レジストリ

HIVE： 「HKEY_LOCAL_MACHINE」

KEY： 「SOFTWARE¥IPA」

NAME： 「Version」

値のデータ型：文字列(REG_SZ)

1.2.3.4

ファイル

情報

ファイルプロ

パティ（バー

ジョン情報）

ファイルパス：C:¥IPA

ファイル名：IPA.exe

1.2.3.4

ファイル

ハッシュ値

ファイルパス：C:¥IPA

ファイル名：IPA.exe

ハッシュタイプ： SHA-1

C5051FE22

・・・

(全40字)

インストール有無確認、最新バージョン確認、

のそれぞれのチェック方法を

ファイルプロパティ

（バージョン情報）

と決定した場合の例です。

ファイルプロパティによるチェック

【事例2】 ファイルプロパティによるチェック

[手順2]テンプレートファイルのコピー



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

64

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例2】 ファイルプロパティによるチェック

[手順2]テンプレートファイルのコピー



IPAでは、独自のアプリケーションの追加を容易にするためのテ

ンプレートを用意しています。

（近日Webで配布予定）

ファイルプロパティによるチェック

設定

修正準備

調査

オフライン版MyJVN（webで公開済）

セミナー向けテンプレート

2-1-before-fileversion

（ファイルプロパティのバージョ

ン情報のチェック用）

のテン

プレートファイルをコピーします。

実演

説明

【事例2】 ファイルプロパティによるチェック

[手順2]コピーファイルの一覧



コピーをしたテンプレートは以下①～④の４ファイルです。

ファイルプロパティによるチェック

設定

修正準備

調査

6_Reference

CONF

oval_index

OVAL

INVENTORY

OVAL_INV_

APP_B

.xml

VULNERABILITY

OVAL_VUL_

APP_B

.xml

XCCDF

TEST-IPA.xml

②

修正必要

③

修正必要

④

修正必要

① 修正は不要

ファイルプロパティによるチェック

【事例2】 ファイルプロパティによるチェック

[手順3]バージョン判定の設定



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

67

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？



修正後のファイル内容例

② TEST-IPA.xml （チェックリストを記載したファイル）

【事例2】 ファイルプロパティによるチェック

[手順3]「②チェックリスト」の修正

ファイルプロパティによるチェック

設定

修正準備

調査

実演

説明

アプリケーションの名称を設定します。



修正後のファイル内容例

③ OVAL_INV_

APP_B

.xml （インストール有無の判定）

【事例2】 ファイルプロパティによるチェック

[手順3]「③インストール有無」の修正

ファイルプロパティによるチェック

設定

修正準備

調査

実演

説明

ファイルプロパティのチェック場所を設定します。

インストール有無を判定する条件を設定します。



修正後のファイル内容例

④ OVAL_VUL_

APP_B

.xml （最新バージョンの判定）

【事例2】 ファイルプロパティによるチェック

[手順3]「④最新バージョン判定」の修正

ファイルプロパティによるチェック

設定

修正準備

調査

実演

説明

ファイルプロパティのチェック場

所を設定します。

最新バージョンを判定する条件

を設定します。

最新のバージョン情報を設定します。

【事例2】 ファイルプロパティによるチェック

[手順3]参考：修正後のファイル例

ファイルプロパティによるチェック

設定

修正準備

調査

セミナー向けテンプレート（

後日Webで配布予定

）

2-2-after-fileversion （ファイルプ

ロパティのバージョン情報のチェック

用）

は修正後の事例です。

講師側PCでは以下のファイルを修正してツールを実行します。

1_Script_GUI_Client¥

MyJVN_GUI_XP_x32.sample.bat

チェック結果が「○ 最新のバージョンです」に

なります。

【事例2】 ファイルプロパティによるチェック

動作確認 その1

ファイルプロパティによるチェック

設定

修正準備

調査

ベンチマークIDに「TEST-IPA」 を

指定します。

実演

説明

ファイルプロパティのバージョン値が古いものに入れ替えて

、チェ

ック結果を確認します。

チェック結果が

「× 最新のバージョンではありません」

になります。

【事例2】 ファイルプロパティによるチェック

動作確認 その2

ファイルプロパティによるチェック

設定

修正準備

調査

実演

説明

74

オフライン版MyJVNバージョンチェッカ

-カスタマイズ実演について-



Windows上で動作する独自アプリをバージョンチェックする場合

の具体的な設定方法例について講師側PCの実演とあわせて

概説します。



概説内容の一覧

1. レジストリによるチェック 事例1

2. ファイルプロパティ（バージョン情報）によるチェック 事例2

3. ファイルハッシュによるチェック

事例3

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

ファイルハッシュによるチェック

カスタマイズ実演

【事例3】 ファイルハッシュによるチェック



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

75

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例3】 ファイルハッシュによるチェック

[手順1]バージョン確認方法の決定



調査結果のまとめ例

ファイルハッシュによるチェック

設定

修正準備

調査

対象OS

チェック方法

チェック場所

値

Windows系

レジストリ

HIVE： 「HKEY_LOCAL_MACHINE」

KEY： 「SOFTWARE¥IPA」

NAME： 「Version」

値のデータ型：文字列(REG_SZ)

1.2.3.4

ファイル

情報

ファイルプロ

パティ（バー

ジョン情報）

ファイルパス：C:¥IPA

ファイル名：IPA.exe

1.2.3.4

ファイル

ハッシュ値

ファイルパス：C:¥IPA

ファイル名：IPA.exe

ハッシュタイプ： SHA-1

C5051FE22

・・・

(全40字)

インストール有無確認、最新バージョン確認、

のそれぞれのチェック方法を

ファイルハッシュ

と決定した場合の例です。

ファイルハッシュによるチェック

【事例3】 ファイルハッシュによるチェック

[手順2]テンプレートファイルのコピー



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

77

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？

【事例3】 ファイルハッシュによるチェック

[手順2]テンプレートファイルのコピー



IPAでは、独自のアプリケーションの追加を容易にするためのテ

ンプレートを用意しています。

（近日Webで配布予定）

ファイルハッシュによるチェック

設定

修正準備

調査

オフライン版MyJVN（webで公開済）

セミナー向けテンプレート

実演

説明

3-1-before-filehash

（ファイルハッシュのチェッ

ク用）

のテンプレートファ

イルをコピーします。

【事例3】 ファイルハッシュによるチェック

[手順2]コピーファイルの一覧



コピーをしたテンプレートは以下①～④の４ファイルです。

ファイルハッシュによるチェック

設定

修正準備

調査

6_Reference

CONF

oval_index

OVAL

INVENTORY

OVAL_INV_

APP_C

.xml

VULNERABILITY

OVAL_VUL_

APP_C

.xml

XCCDF

TEST-IPA.xml

②

修正必要

③

修正必要

④

修正必要

① 修正は不要

ファイルハッシュによるチェック

【事例3】 ファイルハッシュによるチェック

[手順3]バージョン判定の設定



作業の流れ

1. バージョン確認方法の調査

（調査）

2. テンプレートファイルのコピー

（修正準備）

3. バージョン判定の設定

（設定）

設定

修正準備

調査

80

独自アプリのバージョンチェックをする

にはどうしたらいいんだろう？



修正後のファイル内容例

② TEST-IPA.xml （チェックリストを記載したファイル）

【事例3】 ファイルハッシュによるチェック

[手順3]「②チェックリスト」の修正

ファイルハッシュによるチェック

設定

修正準備

調査

実演

説明

アプリケーションの名称を設定します。



修正後のファイル内容例

③ OVAL_INV_

APP_C

.xml （インストール有無の判定）

【事例3】 ファイルハッシュによるチェック

[手順3]「③インストール有無」の修正

ファイルハッシュによるチェック

設定

修正準備

調査

実演

説明

ファイルハッシュのチェック場所とハッシュタイ

プを設定します。

インストール有無を判定する条件を設定します。



修正後のファイル内容例

④ OVAL_VUL_

APP_C

.xml （最新バージョンの判定）

【事例3】 ファイルハッシュによるチェック

[手順3]「④最新バージョン判定」の修正

ファイルハッシュによるチェック

設定

修正準備

調査

実演

説明

ファイルハッシュのチェック場所とハッシュタイ

プを設定します。

最新バージョンを判定する条件

を設定します。

最新のバージョン情報を設定します。

【事例3】 ファイルハッシュによるチェック

[手順3]参考：修正後のファイル例

ファイルハッシュによるチェック

設定

修正準備

調査

セミナー向けテンプレート（

後日Webで配布予定

）

3-2-after-fileversion （ファイルハッシュの

チェック用）

は修正後の事例です。

講師側PCでは以下のファイルを修正してツールを実行します。

1_Script_GUI_Client¥

MyJVN_GUI_XP_x32.sample.bat

チェック結果が「○ 最新のバージョンです」に

なります。

【事例3】 ファイルハッシュによるチェック

動作確認 その1

ファイルハッシュによるチェック

設定

修正準備

調査

ベンチマークIDに「TEST-IPA」 を

指定します。

実演

説明

ファイルハッシュ値が異なるファイルに入れ替えて

、チェック結果

を確認します。

チェック結果が

「× 最新のバージョンではありません」

になります。

【事例3】 ファイルハッシュによるチェック

動作確認 その2

ファイルハッシュによるチェック

設定

修正準備

調査

実演

説明

【おまけ】 3アプリの一括チェック



IPAでは、独自のアプリケーションの追加を容易にするためのテ

ンプレートを用意しています。

（近日Webで配布予定）

オフライン版MyJVN（webで公開済）

セミナー向けテンプレート

実演

説明

4-2-after-3type-check

（3種類のチェック用）

は修

正後のテンプレート例です。



オフライン版MyJVNバージョンチェッカではカスタマイ

ズによる独自アプリのチェックが実現可能です



セミナー向けテンプレート（※後日Webで配布予定）

を使用することで容易なカスタマイズが可能です

※配布予定 http://www.ipa.go.jp/security/vuln/index.html#seminar

脆弱性対策の機械処理のために

オフライン版MyJVNバージョンチェッ

カでOVALを使ってみませんか？



OVALカスタマイズマニュアルを以下のURLで提供し

ています。オフライン版MyJVNバージョンチェッカと合

わせてご利用ください。

http://jvndb.jvn.jp/apis/myjvn/ovaltool.html



ご意見、ご要望等は以下のメールアドレスで受け付

けております。適用事例などの情報があればぜひお

寄せください。

メールアドレス：[email protected]

補足

（セミナー参加者の方へのお知らせ）

補足 （OVALカスタマイズマニュアル）

～さらにカスタマイズを行う方のために～



OVALカスタマイズマニュアル一式 配布内容

http://jvndb.jvn.jp/apis/myjvn/ovaltool.html

（ovalmanual.zipをダウンロードして使用してください。）

・「OVALカスタマイズマニュアル（PDF版）」

・修正例

（本セミナー内容とは異なります）

を同梱しています。

IPAの脆弱性対策に関する

取り組み紹介

IPAでは、脆弱性対策の取組みとして、脆弱性対策情報提

供および脆弱性対策を有効に活用される仕組みを推進

2004年 7月

情報セキュリティ早期警戒パートナーシップの開始

2004年7月

脆弱性対策情報ポータルサイト

JVN 開設

2007年 4月

脆弱性対策情報データベース

JVN iPedia

開設

2008年 5月

JVN 英語サイト

、

JVN iPedia

英語サイトの開設

脆弱性対策の取り組み

第1期

対策情報

充実期

2008年10月

脆弱性対策情報共有フレームワーク “

MyJVN

” の開始

2009年 4月

製品開発者の発信する

脆弱性対策情報の自動収集の試行開始

2009年11月

MyJVNバージョンチェッカのリリース

2009年12月

MyJVNセキュリティ設定チェッカのリリース

2010年 2月

MyJVN API 公開

2011年 8月

MyJVN バージョンチェッカのリリース

2011年11月 サイバーセキュリティ注意喚起サービス「icat」開始

第2期

利活用

基盤整備

・

共通基準

導入期

現在は、脆弱性対策情報を有効に活用される為の利活用基盤の整備に注力

脆弱性対策を機械処理的に行う

SCAPの仕組みを取り入れた対応

脆弱性対策についての活動概念

•

ＩＰＡでは

セキュリティ情報の収集

、

対策手段の提供

、

情報の発

信

等の活動を行っています。

セキュリティ情報

/対策情報の集約

NVD

製品ベンダ

公開情報

バージョン

チェッカ

セキュリティ設定

チェッカ

脆弱性対策

情報収集ツール

MyJVN

ツールボックス

サイバーセキュリティ

注意喚起サービス

「icat」

予兆

Twitter発信

サービス

新たな攻撃の

情報

MyJVN API モジュール

連携

脆弱性対策情報ＤＢ JVN iPedia

http://jvndb.jvn.jp/

•

日本国内の地域性を考慮した脆弱性対策情報を蓄積するデータベースを

整備する。

–

日本国内で利用されている製品に対する脆弱性対策情報を掲載

–

日本語版の公開件数は、13,000件以上（2012年2月）

MyJVN API

http://jvndb.jvn.jp/apis/

IPA

開発者

M

yJVN

A

P

I

モ

ジ

ュ

ー

ル

XML

データ

プログラム

API

•

脆弱性対策情報データベース（JVN iPedia）の

情報を、Webを通じて利用するためのソフトウェアインタフェース

MyJVN API

http://jvndb.jvn.jp/apis/

•

以下のAPIを公開しています。

ＡＰＩ名

メソッド名

概要

ベンダ一覧の取得

getVendorList

フィルタリング条件にあてはまるベンダ名リストを

取得します。

製品一覧の取得

getProductList

フィルタリング条件にあてはまる製品名リストを取

得します。

脆弱性対策概要情報

一覧の取得

getVulnOverviewList

フィルタリング条件にあてはまる脆弱性対策の概

要情報リストを取得します。

脆弱性対策詳細情報

の取得

getVulnDetailInfo

フィルタリング条件にあてはまる脆弱性対策の詳

細情報を取得します。

統計データの取得

getStatics

脆弱性対策情報を、登録件数(脆弱性統計情

報)、深刻度(CVSS統計情報)、脆弱性種別

(CWE統計情報)で集計したデータを取得します。

OVAL定義データの取

得

getOvalData

フィルタリング条件にあてはまるOVAL定義データ

を取得します。

(2012年3月公開予定)

OVAL定義データ一覧

の取得

getOvalList

フィルタリング条件にあてはまるOVAL定義データ

一覧を取得します。

(2012年3月公開予定)

MyJVNセキュリティ設定チェッカ

http://jvndb.jvn.jp/apis/myjvn/sccheck.html

•

設定に関する脆弱性対策チェックのフレームワークを整備する

。

–

利用者のPCの設定を簡単な操作で確認するツール

–

チェックリストに基づき、設定が適切かどうかのチェックを手作業ではなく、ツールに

より作業を自動化する。

MyJVNバージョンチェッカ

http://jvndb.jvn.jp/apis/myjvn/

•

マルチベンダ環境において、ソフトウェア製品の脆弱性対策チェックの

フレームワークを整備する。

–

利用者のPCにインストールされているソフトウェア製品のバージョンが最新で

あるかを、 簡単な操作で確認するツール

–

チェックリストに基づき、バージョンが最新であるかどうかの

チェックを手作業ではなく、ツールにより作業を自動化する。

–

サーバーソフトやサーバOS(Windows,Linux)でも動作可能

MyJVN脆弱性対策情報収集ツール

http://jvndb.jvn.jp/apis/myjvn/mjcheck.html

•

製品視点から脆弱性対策情報を選別可能なフレームワークを整備する。

–

JVN iPediaの情報を、利用者が効率的に活用できるように、製品視点のフィ

ルタリング条件設定機能を有した脆弱性対策情報収集ツール

–

利用者に関係する製品視点の脆弱性対策情報のみの表示する。

MyJVN API 活用事例

http://jvndb.jvn.jp/apis/

•

ＭｙＪＶＮ ＡＰＩを活用しているサービスの事例を紹介します。

■株式会社リクルート様 「SEfeed（エス・イー・フィード）」の事例

システム管理者などが自社で

利用するソフトウェア製品につ

いて、ベンダ名や製品名で脆

弱性対策情報を検索・閲覧で

きるサービス。

MyJVN API を利用して「脆弱

性対策情報データベース JVN

iPedia」に登録されている情報

を「SEfeed」の利用者に提供し

ています。

MyJVN API まとめ

http://jvndb.jvn.jp/apis/

•

ＭｙＪＶＮ ＡＰＩを利用することで・・・

13,000件以上（※）の脆弱性対策情報を活用することが

できます。

MyJVN API を使って

開発してみませんか？

サイバーセキュリティ注意喚起サービス icat

http://www.ipa.go.jp/security/vuln/icat.html

迅速なセキュリティ対策情報の入手により、

ユーザへの対策適用を促進

します。

IPAから発信する緊急対策情報を、

利用方法

ウェブサイトに下記の HTML タグを挿入してください。

表示サイズ：幅 190ピクセル 高さ 350ピクセル

重要な注意喚起については、オレンジの背景色で強調されます。

IPAの注意喚起情報と同期して自動更新します。

<script type="text/javascript"

src="http://www.ipa.go.jp/security/announce/ICATalerts.js">

</script>

サイバーセキュリティ注意喚起サービス icat

http://www.ipa.go.jp/security/vuln/icat.html

最後に

ＩＰＡでは、今後も共通基準／仕様の導入を進めながら、国際性(イ

ンターネットにおける脆弱性対策情報の情報源)と地域性(日本国

内向けの脆弱性対策情報データベース)とを両立させたグローバル

なＪＶＮ(世界に冠たるＪＶＮ)を実現していく予定です。

http://jvndb.jvn.jp/apis/myjvn/

http://jvndb.jvn.jp/