CAM OSCAL
Open Security Controls Assessment Language (OSCAL) は、コントロール関連情報を表現するための標準化された方法を提供し、IT セキュリティの相互運用性、一貫性、および自動化を可能にします。JSON 形式のみをサポートしています。 CAM は OSCAL バージョン 1.1.2 をサポートしています。
OSCAL は、米国国立標準技術研究所 (NIST) によって開発された機械可読形式のセットです。これは、セキュリティコントロールアセスメント、コンプライアンスレポート、およびリスク管理プロセスの自動化をサポートするように設計されています。
CAM は、カタログモデルとシステムセキュリティ計画(SSP)モデルの両方の OSCAL データのエクスポートとインポートをサポートしています。
CAM サポートされている OSCAL モデル
CAM OSCAL は、次のモデルをサポートしています。
- カタログ
- NIST によると、カタログモデルは、コントロールのカタログの構造化された機械可読表現を提供します。したがって、カタログモデルの一部として、 CAM を使用して次のコントロール関連情報を取得できます。
- コントロール目標:これらはコントロールにマッピングされます。コントロール目標の [参照] フィールドは、NIST コントロールにマッピングされます。コントロール目標の要件は、NIST のコントロールのステートメントにマッピングされます。したがって、コントロール目標の [説明] フィールドの各部分は、NIST のコントロールのサブパートと一致します。各コントロール目標の子コントロール目標がコントロールフィールドにマッピングされます。コントロール目標の関連コントロール目標は、[リンク] フィールドにマッピングされます。
- コントロール目標要件:コントロール目標の説明からさらに分類されたステートメントまたはコントロール要件。
- テストテンプレート:コントロールで実行されるテスト。各コントロールには少なくとも 1 つのテストテンプレートがあり、そのテンプレートには 1 つのアセスメント目標があります。
- アセスメント手順:テストテンプレートまたはコントロールで実行されるテストのアセスメント目標です。
- オーバーレイカタログ
- オーバーレイコントロール:これらはコントロール目標で構成されるポリシーであり、NIST の一部ではありませんが、認証パッケージに含めることができます。
- プロファイル
- NIST によると、プロファイルモデルは、ベースラインの構造化された機械可読表現を提供します。プロファイルモデルは、1 つ以上のコントロールカタログから選択されたコントロールのベースラインも表しています。
ベースラインコントロール:影響度に基づいて自動入力されるコントロール目標の小さなセット。影響度は、認証パッケージの情報タイプに基づいて決定されます。
- 包含コントロール:ベースラインコントロールであり、認証パッケージの一部です。
- 除外コントロール:適用外としてマークされているベースラインコントロールです。
プロファイルは、カタログとオーバーレイカタログの両方で構成されます。
- システムセキュリティ計画 (SSP)
- NIST によると、OSCAL SSP モデルを使用すると、システムオーナーは、特定のベースラインまたは OSCAL プロファイルのコンテキスト内で情報システムのシステム実装を表現できます。または、情報システムのコントロール実装の説明を表します。
- 認証境界:認証境界は、CAM アプリケーションを使用して継続的に管理および監視できる特定のシステムのスコープを定義します。
- 認証パッケージ:RMF によって義務付けられている 7 つのステップを通じて資産またはシステムを処理する目的で作成されます。詳細については、「NIST RMF プロセスの概要」を参照してください。
- 情報タイプ:情報タイプは、分類ステップで定義された情報システムの重要度に基づいて、パッケージの影響度レベルを定義します。
- コントロール:コントロール目標が [実装] ステータスに移行すると、コントロールになります。
- コントロール要件:コントロール目標が [実装] ステータスに移行すると、コントロールになります。それに応じて、コントロール目標要件はコントロール要件に変換されます。
- 継承コントロール:親認証パッケージから完全に継承されるコントロール。これは、そのような各コントロールのすべてのコントロール要件も完全に継承されることを意味します。
- ハイブリッドコントロール:これらは親認証パッケージから部分的に継承されます。