OSCAL アセスメント計画のエクスポートとインポート

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • OSCAL アセスメント計画 (AP) モデルを使用すると、外部ツールからテスト計画をインポートし、監査人と承認者のエンゲージメントデータをエクスポートできます。

    アセスメント計画 (AP) モデルの概要

    NIST によって開発された OSCAL アセスメント計画 (AP) モデルは、何をテストする必要があるか、およびテストをどのように実行するかを表します。AP モデルを使用すると、組織はアセスメント計画データを標準化された形式で交換できます。CAM では、1 つのアセスメント計画 JSON ファイルが 1 つのエンゲージメントに対応します。各 AP ファイルには、コントロールテストを実行する監査人および証明書チームに配布できるテスト計画が含まれています。パッケージに複数のエンゲージメントがある場合、エクスポートによりエンゲージメントごとに 1 つずつ、複数の AP ファイルが生成されます。

    エクスポートされる内容

    OSCAL アセスメント計画のエクスポートにより、エンゲージメントデータとテストデータを含むファイルが生成されます。エクスポートには次のものが含まれます。

    • エンゲージメントメタデータ (名前、ステータス、目標、進捗率、タイムライン、予算)
    • 関係者とロール (ロールのアサインに関与するユーザー)
    • コントロールテストを表すアクティビティ (テストの説明、メソッド、ステータス、運用評価手順)
    • アクティビティ内のステップとしてのアセスメント手順
    • レビュー済みのコントロール (どのコントロールと要件がテストのスコープ内にあるか)
    • 親システムセキュリティ計画 (SSP) への参照

    カスタムプロパティは、OSCAL 標準でネイティブにサポートされていない CAM 固有のフィールドに使用されます。これらのプロパティは、ServiceNow 名前空間を使用します。

    インポート対象

    OSCAL アセスメント計画のインポートにより、CAM でエンゲージメントとそれに関連するテスト構造が自動的に作成されます。AP ファイルごとに、システムは次のものを生成します。

    • メタデータ (ユーザー、ロール、タイムライン、予算) を含む 1 つのエンゲージメント
    • AP アクティビティからマッピングされたコントロールテスト
    • AP タスクからマッピングされたテスト計画とアセスメント手順
    • ロールによるユーザーアサイン (エンゲージメントリード、承認者、監査人、コントロールテストオーナー)
    • テスト対象を指定するコントロールおよびコントロール目標の選択

    インポートプロセスは、ターゲットインスタンスに存在しない場合、境界、パッケージ、システム要素、ベースラインコントロール、およびエンゲージメントの完全なパッケージ構造を作成します。既存のパッケージの場合、インポートされたオブジェクトはデフォルトで上書きリストに表示されるため、既存のデータをスキップまたは上書きできます。

    AP インポートプロセスにおけるファイル構造と検証

    AP インポートには、カタログ、プロファイル、SSP の必須ファイルが必要です。エンゲージメントの数に応じて、1 つ以上の AP ファイルを添付できます。添付手順で、アップロードされたファイルが OSCAL 標準に照らして検証されます。検証エラーが発生すると、続行する前にエラーメッセージが表示されます。

    AP ファイルは、インポートに含まれる SSP UUID を参照する必要があります。AP が別の SSP UUID を参照している場合、検証はエラー メッセージで失敗します。これにより、アセスメント計画がインポートされるパッケージに正しくリンクされます。

    OSCAL インポートのユーザーとロールのマッピング

    インポート中に、ユーザーが OSCAL ファイルから ServiceNow ユーザーにマップされます。ユーザー名が一致すると、システムによって自動的にマッピングされます。ユーザー名が一致しない場合、またはユーザーが ServiceNow に存在しない場合は、対応する ServiceNow ユーザーを手動で選択する必要があります。ユーザーマッピングステップでは、必要なすべてのロール (システムオーナー、ISSO、ISSM、エンゲージメントリード、監査人) がアサインされていることを確認します。自動マッピング後に必須ロールが解決しない場合は、続行する前にユーザーを手動でアサインする必要があります。

    OSCAL エクスポートのユーザーとロールのマッピング

    CAM は、次の構造を使用してエンゲージメントデータを OSCAL アセスメント計画形式にエクスポートします。

    • エンゲージメントメタデータ:名前、ステータス、目標、進捗率、タイムラインの日付 (監査期間、フィールドワークの日付、エンゲージメント期間)、および予算金額がメタデータセクションにエクスポートされます
    • ユーザーとロール:ユーザー情報(フルネーム、一意の識別子)は、当事者セクションにエクスポートされます。ロール (エンゲージメントリード、承認者、監査人、コントロールテストオーナー) とアサインは、[ロール] セクションと [責任者] セクションにエクスポートされます
    • コントロールテスト:テストタイトル、説明、現在のステータス、運用評価手順など、local-definitions セクションのアクティビティにマッピングします
    • アセスメント手順:コントロール要件のステップ識別子、説明、およびラベルを含むアクティビティ内のステップにマップします
    • レビュー済みのコントロール:テストのスコープ内にあるコントロールと要件を特定します
    • SSP 参照:import-ssp セクションのパッケージ UUID を使用して、アセスメント計画をその親パッケージにリンクします