OSCAL 形式でのカタログ、プロファイル、および SSP のエクスポート

  • リリースバージョン: Xanadu
  • 更新日 2024年08月07日
  • 所要時間:4分

    • CAM は、米国国立標準技術研究所 (NIST) で使用される Open Security Controls Assessment Language (OSCAL) をサポートしており、標準化された機械可読形式でコントロール関連情報を提供します。 CAM は、カタログ、プロファイル、および SSP モデルをサポートしています。

    CAM での SSP のエクスポート

    CAM を使用すると、カタログ、プロファイル、システムセキュリティ計画 (SSP) モデルを生成し、以下をエクスポートできます。
    カタログ
    NIST によると、カタログモデルは、コントロールのカタログの構造化された機械可読表現を提供します。したがって、カタログモデルの一部として、CAM を使用して、次のコントロール関連情報をエクスポートできます。
    • コントロール目標:これらはコントロールにマッピングされます。コントロール目標の [参照] フィールドは、NIST コントロールにマッピングされます。コントロール目標の要件は、NIST のコントロールのステートメントにマッピングされます。したがって、コントロール目標の [説明] フィールドの各部分は、NIST のコントロールのサブパートと一致します。
    • コントロール目標要件:コントロール目標の説明からさらに分類されたステートメントまたはコントロール要件。
    • テストテンプレート:コントロールで実行されるテスト。各コントロールには少なくとも 1 つのテストテンプレートがあり、そのテンプレートには 1 つのアセスメント目標があります。
    • アセスメント手順:テストテンプレートまたはコントロールで実行されるテストのアセスメント目標です。

    OSCAL UI アクションをエクスポートします。

    オーバーレイカタログ
    オーバーレイコントロール:これらはコントロール目標で構成されるポリシーであり、NIST の一部ではありませんが、認証パッケージに含めることができます。したがって、これらは別のファイルとしてエクスポートされます。
    プロファイル
    NIST によると、プロファイルモデルは、ベースラインの構造化された機械可読表現を提供します。プロファイルモデルは、1 つ以上のコントロールカタログから選択されたコントロールのベースラインも表しています。

    ベースラインコントロール:影響度に基づいて自動入力されるコントロール目標の小さなセット。影響度は、認証パッケージの情報タイプに基づいて決定されます。

    • 包含コントロール:ベースラインコントロールであり、認証パッケージの一部です。
    • 除外コントロール:適用外としてマークされているベースラインコントロールです。

    プロファイルは、カタログとオーバーレイカタログの両方で構成されます。

    システムセキュリティ計画 (SSP)
    NIST によると、OSCAL SSP モデルを使用すると、システムオーナーは、特定のベースラインまたは OSCAL プロファイルのコンテキスト内で情報システムのシステム実装を表現できます。または、情報システムのコントロール実装の説明を表します。
    • 認証境界:認証境界は、CAM アプリケーションを使用して継続的に管理および監視できる特定のシステムのスコープを定義します。
    • 認証パッケージ:RMF によって義務付けられている 7 つのステップを通じて資産またはシステムを処理する目的で作成されます。詳細については、「NIST RMF プロセスの概要」を参照してください。
    • 情報タイプ:情報タイプは、分類ステップで定義された情報システムの重要度に基づいて、パッケージの影響度レベルを定義します。
    • コントロール:コントロール目標が [実装] ステータスに移行すると、コントロールになります。
    • コントロール要件:コントロール目標が [実装] ステータスに移行すると、コントロールになります。それに応じて、コントロール目標要件はコントロール要件に変換されます。
    • 継承コントロール:親認証パッケージから完全に継承されるコントロール。これは、そのような各コントロールのすべてのコントロール要件も完全に継承されることを意味します。
    • ハイブリッドコントロール:これらは親認証パッケージから部分的に継承されます。

    モデルのデータを取得するためのソーステーブル

    ソーステーブル JSON プロパティ
    カタログ
    コントロール目標 コントロール
    コントロール目標要件に対するコントロール目標 ステートメントパーツ
    アセスメントのテンプレートテスト手順 アセスメント目標パーツ
    コントロール目標 ガイダンス
    テストテンプレート アセスメント方法 (例)
    テストテンプレート アセスメント方法 (インタビュー)
    プロファイル
    ベースラインコントロール 包含コントロール
    ベースラインコントロール 除外コントロール
    SSP
    認証境界 コンポーネント
    認証パッケージ レバレッジ認証
    認証境界 セキュリティ影響レベル
    コントロール要件 ステートメント
    認証境界 コンポーネント別
    情報タイプ 情報タイプ