CAM ワークフロー構成

  • リリースバージョン: Australia
  • 更新日 2026年06月17日
  • 所要時間:6分

    • 継続的な承認とモニタリングでカスタムワークフローを構成して、デフォルトの米国国立標準技術研究所 (National Institute of Standards and Technology) NIST Risk Management Frameworkを超えたコンプライアンス要件をサポートします。

    CAMワークフロー構成を使用すると、操作を米国国立標準技術研究所 (NIST) フレームワークに制限するのではなく、カスタムワークフローとフレームワークを構成できます。この柔軟性により、特定のコンプライアンスおよび認証要件に CAM を適応させることができます。

    以前は、 CAM NIST フレームワークとその 7 段階のプロセス (準備、分類、選択、実装、評価、認可、監視) との緊密な連携を維持していました。ワークフロー構成は、この単一のフレームワークから CAM を切り離し、カスタムワークフローを作成して認証パッケージと境界にマッピングできるようにします。

    この構成では、既存の認証パッケージレコードを使用し、さまざまなワークフローにマッピングできる柔軟な状況モデルを追加します。このアプローチでは、複数のワークフローのサポートを有効にしながら、下位互換性を維持します。

    ワークフローの構成

    ワークフロー構成は、ワークフロー、フレームワーク、規制、およびそれに関連するバージョン、影響、および表示ルールを定義します。 CAM には NIST ワークフロー構成が付属していますが、保護セキュリティポリシーフレームワーク (PSPF) やカスタム内部フレームワークなどの他のフレームワーク用に追加のワークフローを作成できます。

    各ワークフロー構成には次のものが含まれます。

    • バージョン:ワークフローのさまざまなリビジョン (NIST Rev 4 および Rev 5 など)
    • ワークフローの影響度:コントロール目標のフィルタリングに使用される影響度レベル (低、中、高など)
    • 表示ルール:特定のワークフローにのみ適用されるカスタムビュー
    • 状況モデル:ワークフローを特定の状況モデルにリンクします。

    ステータスモデル

    状況モデルは、ワークフローのステップ、移行、および検証を定義します。状況モデルは認証パッケージテーブルに適用され、パッケージがワークフローライフサイクル内でどのように移動するかを制御します。

    状況モデルには次のものが含まれます。

    • ワークフロー状況:フレームワーク内の個々のステップ (準備、分類、選択など)
    • 状況移行:必須の検証条件を備えたステップ間の有効なパス。
    • ステータスモデル属性:承認要件やレポート生成などの特別な機能。ステータスモデル属性は、特定のワークフローステップで利用可能な機能を制御するためのものです。

    状況移行

    状況移行は、パッケージがあるステップから別のステップに移動する方法を定義します。各移行には、続行する前に満たす必要がある検証条件を含めることができます。

    検証条件の例:

    • 認証境界フィールドを空にすることはできません
    • すべてのベースラインコントロールで [コントロールを自動的に作成] を有効にする必要があります
    • 必要な承認を完了する必要があります

    ステータスモデル属性

    属性は、カスタムコードを必要とせずにワークフロー状況に特別な機能を追加します。属性は、承認要件、レポート生成、関連リストアクション、特定のワークフロー状況の UI ページの可視化などの機能を制御します。

    使用可能な属性の完全なリストについては、「 既存の属性を GRC ワークフロー状態に追加する」を参照してください。

    ワークフローの制限

    CAM Advanced プラグイン (app-grc-cont-auth-monitor-advanced) がない場合、最大 2 つのワークフロー (NIST ワークフローを含む) を作成できます。CAM Advanced プラグインをインストールすると、この制限が解除され、無制限のワークフロー構成が有効になります。

    ワークフロー構成の有効化

    ワークフローコンフィギュレーターは、 CAM ワークスペースがインストールされている場合にのみ使用できます。システムプロパティは、カスタムワークフローを有効にするかどうかを制御します。詳細については、「継続的な承認とモニタリング システムプロパティ」を参照してください。

    ワークフロー構成プロパティを有効にすると、次のようになります。

    • 影響を説明する確認ダイアログが表示されます
    • 既存のパッケージと境界を移行してワークフローに関連付ける必要があります
    • アクティブ化後にプロパティを非アクティブにすることはできません
    • 新しい構成を適用するためにシステムが更新されます
    重要:
    プロパティを有効にした後、移行スケジュール済みジョブを実行して、既存のパッケージと境界を NIST ワークフローに関連付ける必要があります。ワークフローの関連付けのないパッケージと境界では、機能が制限されます。

    移行動作

    既存のデータを移行する場合、 CAM はすべてのパッケージと境界をワークフローに自動的に割り当てます。

    移行プロセス:

    • ワークフローのアサインなしですべての認証パッケージと境界を識別します
    • デフォルトの NIST ワークフロー構成に関連付けます
    • ホームページを更新してワークフロー固有のタブを表示します
    • ワークフローベースのフィルタリングとレポートを有効にします

    OSCAL のエクスポートとインポート

    ワークフロー構成プロパティを有効にすると、OSCAL エクスポートにはワークフローとフレームワークのメタデータが含まれます。

    シナリオのエクスポートとインポート

    プロパティがオフ (エクスポート) → プロパティがオン (インポート)
    エクスポートにワークフローデータが存在しないため、インポートされたパッケージはデフォルトで NIST ワークフローになります
    プロパティオン (エクスポート) →プロパティオフ (インポート)
    インポートは成功しましたが、パッケージにはワークフロー機能がありません
    プロパティオン (両方のインスタンス)
    • ワークフローがインポートインスタンスに存在する場合:パッケージはそのワークフローを使用します
    • ワークフローがインポートインスタンスに存在しない場合: パッケージエクスペリエンスが壊れているため、手動で修正する必要があります
    注:
    CAM では、ワークフロー構成が欠落しているパッケージのインポートはサポートされていません。インポートする前に、ターゲットインスタンスで一致するワークフローを作成する必要があります。

    アセスメント機能

    [アセスメント送信] ボタンは、クラシック版アセスメントとリスクアセスメントの両方を有効にします (Advanced Risk Management がインストールされている場合)。

    クラシック版アセスメント

    アセスメントメトリクスタイプを使用するプラットフォームアセスメント。テーブルが認証パッケージに設定されているアセスメントテンプレートを作成または変更する必要があります。

    リスクアセスメント

    パッケージと境界に関連するリスクを評価するリスクアセスメント方法論 (RAM) アセスメント。リスクアセスメントは、パッケージフォームの別の関連リストに表示されます。

    注:
    CAM では、認証パッケージのアセスメントテンプレートは出荷されません。両方のアセスメントタイプについて、既存のテンプレートを作成または変更する必要があります。