米国 NIST SP 800-126 第4版（初期公開ドラフト）セキュリティコンテンツ自動化プロトコル（SCAP）の技術仕様：SCAPバージョン1.4、SP 800-126A 第4版（初期公開ドラフト）SCAP 1.4 コンポーネント仕様バージョン更新：NIST SP 800-126第4版の附属書

こんにちは、丸山満彦です。

米国のNISTが、

• SP 800-126 第4版（初期公開ドラフト）セキュリティコンテンツ自動化プロトコル（SCAP）の技術仕様：SCAPバージョン1.4
• SP 800-126A 第4版（初期公開ドラフト）SCAP 1.4 コンポーネント仕様バージョン更新：NIST SP 800-126第4版の附属書

を公表し、意見募集をしていますね...

SCAPが日本でももっと広がればよいですね...　JVNが利用されていますが、自動化処理まではいっていない..IPAでは2015年につくった説明のウェブページがあります...2010年にIPAの研究員として寺田さんが作成した資料もありますね...

人間が設定をしようとすると、ミスが生じるし、時間もかかる、そしてコストも...リソース的にできないということにして、やらない...

Machine Readableにして自動化...これは重要だと思います...

SCAPは「標準化」と「機械可読性」を通じて脆弱性の発見やシステムの設定チェック、セキュリティの遵守を自動化することを目指していますね...

コンポーネントとしては....

カテゴリー	仕様名	概要	正式名称	役割と具体的な内容
言語	XCCDF	チェックリストを記述（XML）	Extensible Configuration Checklist Description Format	チェックリスト（ベンチマーク）の記述フォーマット。CISベンチマークなどのセキュリティチェックリストを、機械可読な形式で定義。「何を」検査するか（ルール）、結果をどう評価するか（採点）、修復手順などを記述。
	OVAL	脆弱性やセキュリティ設定のチェック	Open Vulnerability and Assessment Language	具体的なチェックロジックの記述言語。XCCDFの各ルールについて、「どのように」システムをチェックするか（例：特定のレジストリキーの値、ファイルのハッシュ、ソフトウェアバージョン）をXMLで詳細に定義。評価結果は「True（問題あり）」「False（問題なし）」「Error」など。
	OCIL	人間による確認項目の質問形式	Open Checklist Interactive Language	対話型の質問調査を記述する言語。ユーザーへの質問（例：「ファイアウォールは有効か？」）と想定回答を定義し、手動確認を標準化する。
識別子	CPE	製品の識別	Common Platform Enumeration	ハードウェア、OS、アプリケーション等の製品に一意の名称を付与する命名体系。評価対象を一意に正確に特定する。
	CVE	脆弱性の識別	Common Vulnerabilities and Exposures	公開されたソフトウェア脆弱性に一意のID（例：CVE-2021-44228）を付与する共通リスト。SCAPツールはこのIDを参照して、システムに該当脆弱性が存在するかチェックする。
	CCE	セキュリティ設定の識別	Common Configuration Enumeration	セキュリティ設定の推奨事項や問題点に一意のIDを付与するリスト。例：「パスワードの最小長」という設定項目をCCE-12345と特定し、ベンチマーク間で一貫した議論を可能にする。
評価尺度	CVSS	脆弱性の深刻度	Common Vulnerability Scoring System	脆弱性の深刻度を0.0〜10.0のスコアで定量化する共通基準。攻撃の難易度、影響範囲など複数の指標から計算され、リスク対応の優先順位付けに活用する。
報告形式	ARF	評価結果の出力	Asset Reporting Format	評価結果を標準的なXML形式で出力するためのスキーマ。資産情報、チェック内容、結果を全て含み、異なるツール間でレポートを交換・集約することを可能にする。

 

• 定義（入力）: XCCDFがチェックリスト全体を、OVALが具体的な検査手順を定義し、CVE, CCE, CPEで用語を統一する。

• 実行（プロセス）: SCAPツールがOVALに従ってシステムをスキャンし、セキュリティ状態を判定する。

• 報告（出力）: 結果をCVSSで格付けし、ARF形式でまとめて報告する。

 

こんなかんじでしょうかね...

 

● NIST - ITL

・2025.12.11 NIST SP 800-126 Rev. 4 (Initial Public Draft) Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.4

NIST SP 800-126 Rev. 4 (Initial Public Draft) Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.4	NIST SP 800-126 第4版（初期公開ドラフト）セキュリティコンテンツ自動化プロトコル（SCAP）の技術仕様：SCAPバージョン1.4
Announcement	発表
About SCAP	SCAPについて
The Security Content Automation Protocol (SCAP) is a suite of interoperable specifications for the standardized expression, exchange, and processing of security configuration and vulnerability information. SCAP enables consistent automation and reporting across products and environments by defining machine-readable content and associated processing requirements.	セキュリティコンテンツ自動化プロトコル（SCAP）は、セキュリティ構成および脆弱性情報の標準化された表現、交換、処理のための相互運用可能な仕様群である。SCAPは、機械可読コンテンツと関連する処理要件を定義することで、製品や環境を跨いだ一貫した自動化と報告を可能にする。
About the Publications	出版物について
SP 800-126r4 — Updates the SCAP technical specification to focus on SCAP Version 1.4 by removing backward compatibility requirements for earlier SCAP versions, revising digital signature requirements, and eliminating unused requirements. This revision also updates requirements regarding  Open Vulnerability and Assessment Language (OVAL) references and related component specification (i.e., redirecting OVAL references to the OVAL Community GitHub).  Hyperlinks and schema references are also updated to the current SCAP 1.4 resources.	SP 800-126r4 — SCAP技術仕様を更新し、SCAPバージョン1.4に焦点を当てる。具体的には、以前のSCAPバージョンに対する下位互換性要件を削除し、デジタル署名要件を改訂し、未使用の要件を排除する。本改訂では、Open Vulnerability and Assessment Language（OVAL）参照および関連コンポーネント仕様に関する要件も更新する（例：OVAL参照をOVALコミュニティGitHubへリダイレクト）。ハイパーリンクとスキーマ参照も現行のSCAP 1.4リソースへ更新する。
SP 800-126Ar4 (updated annex) — Aligns the annex with SCAP Version 1.4.  Informative notes and change logs are refreshed, and the document structure and normative references are revised to conform to the latest NIST templates and editorial policies.	SP 800-126Ar4（更新された附属書）— 附属書をSCAPバージョン1.4に整合させる。 参考情報と変更履歴を更新し、文書構造と規範的参照を最新のNISTテンプレートおよび編集方針に準拠するよう改訂した。
Abstract	概要
The Security Content Automation Protocol (SCAP) is a suite of specifications that standardize the format and nomenclature by which software flaw and security configuration information is communicated, both to machines and humans. This publication, along with its annex (NIST Special Publication 800-126Ar1) and a set of schemas, collectively define the technical composition of SCAP version 1.4 in terms of its component specifications, their interrelationships and interoperation, and the requirements for SCAP content.	セキュリティコンテンツ自動化プロトコル（SCAP）は、ソフトウェアの欠陥やセキュリティ設定情報を機械と人間の双方に伝達するための形式および命名規則を標準化する一連の仕様である。本出版物、その附属書（NIST 特別刊行物800-126Ar1）、および一連のスキーマは、SCAPバージョン1.4の技術的構成を、その技術仕様、相互関係と相互運用性、ならびにSCAPコンテンツの要件に関して、総合的に定義するものである。

 

・[PDF] SP.800-126r4.ipd

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The Security Content Automation Protocol (SCAP) is a suite of specifications that standardize the format and nomenclature by which security configuration information is communicated to both machines and humans.  SCAP is a multi-purpose framework of specifications that support automated configuration, vulnerability and patch checking, technical and managerial control compliance activities, and security measurement. Goals for the development of SCAP include standardizing system security management, promoting the interoperability of security products, and fostering the use of standard expressions of security content.	セキュリティコンテンツ自動化プロトコル（SCAP）は、セキュリティ設定情報を機械と人間の双方に伝達するための形式と命名規則を標準化する一連の仕様である。SCAPは、自動化された設定、脆弱性およびパッチのチェック、技術的・管理的制御のコンプライアンス活動、セキュリティ測定を支援する多目的仕様枠組みである。SCAP開発の目標には、システムセキュリティ管理の標準化、セキュリティ製品の相互運用性の促進、セキュリティコンテンツの標準表現の使用促進が含まれる。
Security configuration in SCAP format is curated and managed by the NIST National Checklist Program (NCP), which is described in NIST Special Publication (SP) 800-70r5 (Revision 5). This document, its annex [SP800-126Ar1], and a set of schemas collectively define the technical composition of SCAP version 1.4 in terms of its component specifications and requirements. The technical specification for SCAP describes the conventions for ensuring the consistent and accurate exchange of SCAP-conformant content and the ability to reliably use the content with SCAP-conformant products.	SCAP形式のセキュリティ構成は、NIST 特別刊行物（SP）800-70r5（改訂5）で説明されているNIST国家チェックリストプログラム（NCP）によって管理・運営されている。本文書、その附属書［SP800-126Ar1］、および一連のスキーマは、構成要素の仕様と要件の観点から、SCAPバージョン1.4の技術的構成を包括的に定義する。SCAPの技術仕様は、SCAP準拠コンテンツの一貫性と正確な交換を確保する規約、およびSCAP準拠製品でコンテンツを確実に利用する能力を規定する。
Organizations that develop SCAP 1.4-based content or products should adhere to the following recommendations:	SCAP 1.4ベースのコンテンツまたは製品を開発する組織は、以下の推奨事項に従うべきである：
• Follow the requirements listed in this document, its annex, and the associated component specifications and set of schemas.	• 本文書、その附属書、関連する構成要素仕様およびスキーマ群に記載された要件に従うこと。
Organizations should ensure that their implementation and use of SCAP 1.4 complies with the requirements detailed in each component specification, this document, its annex, and the set of schemas.	組織は、SCAP 1.4の実装および使用が、各コンポーネント仕様、本文書、その附属書、およびスキーマセットに詳述された要件に準拠していることを保証すべきである。
If requirements conflict between component specifications, this document will provide clarification. If a component specification conflicts with this document, the requirements in this document take precedence. If a component specification or this document conflicts with the annex, the requirements in the annex take precedence. If a specification and a schema conflict, the requirements in the specification take precedence.	コンポーネント仕様間で要件が矛盾する場合、本文書が明確化を提供する。コンポーネント仕様が本文書と矛盾する場合、本文書の要件が優先される。コンポーネント仕様または本文書が付属文書と矛盾する場合、付属文書の要件が優先される。仕様とスキーマが矛盾する場合、仕様の要件が優先される。
• When creating SCAP content, adhere to the conventions specified in this document and its annex.	• SCAPコンテンツを作成する際は、本文書およびその附属書で規定された規約に従うこと。
Security products and checklist authors assemble content from SCAP data repositories to create SCAP-conformant security guidance.  Organizations that produce SCAP content to be shared between tools should adhere to the conventions described in this specification to ensure the highest degree of interoperability.	セキュリティ製品およびチェックリスト作成者は、SCAPデータリポジトリからコンテンツを組み立ててSCAP準拠のセキュリティガイダンスを作成する。ツール間で共有されるSCAPコンテンツを生産する組織は、最高度の相互運用性を確保するため、本仕様で記述された規約に従うべきである。

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Audience	1.2. 対象読者
1.3. Document Structure	1.3. 文書の構成
1.4. Document Conventions	1.4. 文書における表記規則
2. SCAP 1.4 Definition	2. SCAP 1.4 定義
2.1. Product Conformance	2.1. 製品の適合性
2.2. Source Content Conformance	2.2. ソースコンテンツの適合性
3. SCAP Content Requirements and Recommendations	3. SCAP コンテンツの要件と推奨事項
3.1. SCAP Source Data Stream	3.1. SCAP ソースデータストリーム
3.1.1. Source Data Stream Data Model	3.1.1. ソースデータストリームのデータモデル
3.1.2. Source Data Stream Collection Validation	3.1.2. ソースデータストリームの収集妥当性確認
3.1.2.1. Informative Notes	3.1.2.1. 参考情報
3.1.3. Globally Unique Identifiers	3.1.3. グローバル固有識別子
3.2. Extensible Configuration Checklist Description Format (XCCDF)	3.2. 拡張可能構成チェックリスト記述形式（XCCDF）
3.2.1. General	3.2.1. 概要
3.2.2. The <xccdf:Benchmark> Element	3.2.2. <xccdf:Benchmark>要素
3.2.3. The <xccdf:Profile> Element	3.2.3. <xccdf:Profile>要素
3.2.4. The <xccdf:Rule> Element	3.2.4. <xccdf:Rule>要素
3.2.4.1. The <xccdf:ident> Element	3.2.4.1. <xccdf:ident>要素
3.2.4.2. The <xccdf check> Element	3.2.4.2. <xccdf check>要素
3.2.4.3. Use of a Patches Up-To-Date Rule	3.2.4.3. パッチ適用状況ルール（Patches Up-To-Date Rule）の使用
3.2.4.4. CVSS and CCSS Scores	3.2.4.4. CVSS および CCSS スコア
3.2.5. The <xccdf: Value> Element	3.2.5. <xccdf:Value> 要素
3.2.6. The <xccaf:Group> Element	3.2.6. <xccaf:Group> 要素
3.3. Open Vulnerability and Assessment Language (OVAL)	3.3. オープン脆弱性評価言語 (OVAL)
3.4. Open Checklist Interactive Language (OCIL)	3.4. オープンチェックリスト対話言語 (OCIL)
3.5. Common Platform Enumeration (CPE)	3.5. 共通プラットフォーム一覧表 (CPE)
3.6. Common Configuration Enumeration (CCE)	3.6. 共通構成列挙 (CCE)
3.7. Common Vulnerabilities and Exposures (CVE)	3.7. 共通脆弱性およびエクスポージャー (CVE)
3.8. Common Vulnerability Scoring System (CVSS)	3.8. 共通脆弱性評価システム (CVSS)
3.9. Common Configuration Scoring System (CCSS)	3.9. 共通構成評価システム (CCSS)
3.10. XML Digital Signature	3.10. XML デジタル署名
3.10.1. Signature Location	3.10.1. 署名の位置
3.10.2. Signature Representation	3.10.2. 署名の表現
3.10.3. Signature Requirements	3.10.3. 署名の要件
3.10.4. Key Information	3.10.4. 鍵情報
4. SCAP Content Processing Requirements and Recommendations	4. SCAP コンテンツ処理の要件と推奨事項
4.1. Legacy Support	4.1. レガシーサポート
4.2. Source Data Streams	4.2. ソースデータストリーム
4.3. XCCDF Processing	4.3. XCCDF 処理
4.3.1. CPE Applicability Processing	4.3.1. CPE 適用性処理
4.3.2. Checking System Usage	4.3.2. システム使用状況の確認
4.4. SCAP Result Data Streams	4.4. SCAP 結果データストリーム
4.4.1. The Component Reports	4.4.1 コンポーネントレポート
4.4.2. The Target Identification	4.4.2 ターゲット識別
4.4.3. The Source Data Stream	4.4.3 ソースデータストリーム
4.4.4. The Relationships	4.4.4 関係性
4.5. XCCDF Results	4.5 XCCDF結果
4.5.1. Assigning Identifiers to Rule Results	4.5.1 ルール結果への識別子割り当て
4.5.2. Mapping OVAL Results to XCCDF Results	4.5.2 OVAL結果からXCCDF結果へのマッピング
4.6. OVAL Results	4.6 OVAL結果
4.7. OCIL Results	4.7 OCIL結果
4.8. Result Data Stream Signing	4.8. 結果データストリームの署名
4.8.1. Signature Location	4.8.1. 署名の位置
4.8.2. Signature Representation	4.8.2. 署名の表現
4.8.3. Signature Requirements	4.8.3. 署名の要件
4.8.4. Key information	4.8.4. 鍵情報
4.8.5. Countersigning	4.8.5. 共同署名
5. Source Data Stream Content Requirements for Use Cases	5. ユースケースにおけるソースデータストリームの内容要件
5.1. Compliance Checking	5.1. 適合性チェック
5.2. Vulnerability Scanning	5.2. 脆弱性スキャン
5.3. Inventory Scanning	5.3. インベントリスキャン
Appendix A. Security Considerations	附属書 A. セキュリティに関する考慮事項
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書 B. 記号、略語、頭字語の一覧
Appendix C. Glossary	附属書 C. 用語集
Appendix D. Normative References	附属書 D. 規範的参照
Appendix E. Change Log	附属書 E. 変更履歴

 

 

 

 

 

---

 

・2025.12.11 NIST SP 800-126A Rev. 4 (Initial Public Draft) SCAP 1.4 Component Specification Version Updates: An Annex to NIST Special Publication 800-126 Revision 4

NIST SP 800-126A Rev. 4 (Initial Public Draft) SCAP 1.4 Component Specification Version Updates: An Annex to NIST Special Publication 800-126 Revision 4	NIST SP 800-126A 第4版（初期公開ドラフト）SCAP 1.4 コンポーネント仕様バージョン更新：NIST SP 800-126第4版の附属書
Abstract	概要
The Security Content Automation Protocol (SCAP) is a multi-purpose framework of component specifications that support automated configuration, vulnerability, patch checking, security measurement, and technical control compliance activities. The SCAP version 1.4 specification is defined by the combination of NIST SP 800-126r4, a set of schemas, and this document. This document allows the use of particular minor version updates to SCAP 1.4 component specifications and particular Open Vulnerability and Assessment Language (OVAL) schema versions to provide additional functionality for SCAP 1.4 without causing any loss of existing functionality.	セキュリティコンテンツ自動化プロトコル（SCAP）は、自動化された構成、脆弱性、パッチチェック、セキュリティ測定、技術的制御コンプライアンス活動を支援するコンポーネント仕様の多目的枠組みである。SCAPバージョン1.4仕様は、NIST SP 800-126r4、一連のスキーマ、および本文書の組み合わせによって定義される。本文書は、SCAP 1.4コンポーネント仕様の特定のマイナーバージョン更新および特定のOpen Vulnerability and Assessment Language（OVAL）スキーマバージョンの使用を許可し、既存の機能を損なうことなくSCAP 1.4に追加機能を提供する。

 

・[PDF] NIST.SP.800-126Ar4.ipd

 

目次...

1. Introduction	1. 序論
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Document Structure	1.2. 文書の構成
2. Minor Version Updates in SCAP 1.4-Component Specifications	2. SCAP 1.4 コンポーネント仕様におけるマイナーバージョン更新
2.1. Criteria for Potential Inclusion	2.1. 潜在的な包含規準
2.2. Approved Minor Version Updates and SCAP 1.4 Requirements	2.2. 承認済みマイナーバージョン更新と SCAP 1.4 要件
2.3. XML Schema and Schematron Schema Locations	2.3. XML スキーマと Schematron スキーマの場所
3. Document Management	3. 文書管理
3.1. Composition	3.1. 構成
3.2. Rationale	3.2. 根拠
3.3. Update Cadence	3.3. 更新頻度
3.4. Conformance and Assessment	3.4. 適合性評価
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A. 記号、略語、頭字語一覧
Appendix B. Glossary	附属書 B. 用語集
Appendix C. Change Log	附属書 C. 変更履歴

 

 

---

 

NISTの文書等はここから辿れます...

・Security Content Automation Protocol SCAP

関連文書

・Publications

 

 

---

 

● IPA 

・2015.07.22 セキュリティ設定共通化手順SCAP概説

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.16 NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト（mSCP）による自動化された安全な構成のガイダンス

 

・2011.07.15 NIST パブコメ Trust Model for Security Automation Data 1.0 (TMSAD)

・2008.02.13 IPA 脆弱性情報共有フレームワークに関する調査報告書　～中小規模組織における脆弱性対策促進への各国の取り組み～