Categories: セキュリティ

シスコの OVAL 定義発行に関する最新情報

この記事は、シスコの PSIRT(Product Security Incident Response Team)のプリンシパル エンジニアである Omar Santos がシスコ コミュニティに投稿したブログ「Update Regarding OVAL Definitions by Cisco(2018/3/16)の抄訳です。

シスコは継続的に、新しいセキュリティ標準の開発におけるリーダーシップをとっています。例えば、シスコは OASIS Common Security Advisory Framework(CSAF)に貢献しているうちの 1 社であり、すべてのシスコ セキュリティ アドバイザリの Common Vulnerability Reporting Framework(CVRF)を提供しています。また、Open Vulnerability and Assessment Language(OVAL)スキームを開発し、脆弱性に関する情報の交換や使用に OVAL を使用することの価値を示すとともに、OVAL に対するセキュリティ コミュニティの関心を高めるよう啓発してきました。

最近の数年間において、シスコは OVAL 開発の主要な貢献企業、Joval 社との協業に取り組んでいます。この協業の一環として Joval 社は最近、Cisco IOS ソフトウェア、Cisco IOS XE ソフトウェア、および Cisco Adaptive Security Appliance(ASA)ソフトウェアの脆弱性の新しい OVAL 定義を作成し、これらの定義を公式の OVAL レポジトリに提供しました。Joval 社は引き続き、シスコ製品の OVAL 定義の開発に関して積極的な役割を担っていきます。つまり今後、シスコが OVAL 定義を発行する必要はなくなるということになります。

特定の OVAL 定義は、公式の OVAL リポジトリで参照または検索できます。定義のすべてまたは一部の一括ダウンロードについては、リポジトリのダウンロード領域から実行してください。

シスコは、セキュリティ自動化標準への Joval 社および OVAL コミュニティの貢献に感謝いたします。

坂本 祐一

2008 年シスコシステムズ入社。大手企業を担当するエンジニアとして、金融からクラウド関連企業まで幅広く担当。ルータ&スイッチ・サーバー・セキュリティ・サービス プロバイダー関連など幅広く製品や技術を扱う。

その後セキュリティ事業部に所属。サイバーセキュリティに関連する事案や製品など調査・検証・提案する立場として活動。