リスクアセスメント自動化のためのGRCエンジニアリングモデル「Gemara」日本語版を公開
Linux Foundation Japan | 2026年07月14日

Open Source Security Foundation (OpenSSF) より発行された「Gemara: A Governance, Risk, and Compliance Engineering Model for Automated Risk Assessment」の日本語版が公開されました。Gemaraは、ガバナンス、リスク、コンプライアンス (GRC) 活動を標準化された機械可読なエンジニアリング手法に変換するOpenSSFモデルです。
こちらからダウンロードできます :
・日本語版 : Gemara:リスクアセスメント自動化のためのガバナンス・リスク・コンプライアンスのエンジニアリングモデル
・オリジナル版 (英語) : Gemara: A Governance, Risk, and Compliance Engineering Model for Automated Risk Assessment
本稿では、コンプライアンス活動を分類し、それらの機能的な相互作用を定義するために設計された構造である Gemara モデルを紹介します。このモデルは、組織のワークフローや人のプロセスを記述するのではなく、ガバナンスに内在する活動とその構成要素および構造的関係を特定します。これらの活動は実務上長らく存在していましたが、予測可能な交換ポイントを備えた統一的なエンジニアリングアーキテクチャが欠如していました。このモデルは、これらの活動を個別のレイヤーに分解することで、文書化と用語の標準化を促進し、共通リソースの共同保守の基盤を構築します。
おもなポイント
・7層の論理モデル:ガバナンスに内在する活動とその構成要素および構造的関係を特定します。
・相互運用可能なデータ:CUEベースのスキーマを使用することで、セキュリティツールがデータをシームレスに共有できるようにします。
・エンジニアリング ファースト:DevSecOpsチームがCompliance as Codeを扱うように設計されています。
なぜ重要なのか
Gemaraは、要件 (あるべき姿) と運用上の現実 (実際に起こったこと) の間のギャップを埋めます。組織は、導入速度を落とすことなくセキュリティ監視を拡張でき、監査担当者とエンジニアの両方に共通の言語を提供します。
参考
・GitHubでスキーマやSDKを調べる
・ORBITワーキンググループに参加する
・OpenSSFメンバーシップについて
日本語版翻訳協力:OpenSSF Japan Chapter 翻訳チーム
・清海 佑太(本田技術研究所)
・川名 のん(日立製作所)
・下沢 拓(日立製作所)
・余保 束(ルネサスエレクトロニクス)
・池田 宗広(サイバートラスト)
Linux Foundation について
Linux Foundationは、オープンソースソフトウェア、オープンハードウェア、オープンスタンダード、オープンデータに関するコラボレーションのための世界有数の拠点です。Linux Foundationのプロジェクトは、Linux、Kubernetes、Model Context Protocol (MCP)、OpenChain、OpenSearch、OpenSSF、OpenStack、PyTorch、Ray、RISC-V、SPDX、Zephyrなど、世界のインフラストラクチャにとって重要なものです。Linux Foundationは、ベストプラクティスを活用し、貢献者、ユーザー、ソリューション プロバイダーのニーズに対応し、オープンコラボレーションの持続可能なモデルを構築することに重点を置いています。詳細については、linuxfoundation.org をご覧ください。
Linux Foundationはさまざまな登録商標および商標を使用しています。Linux Foundationの商標の一覧については、linuxfoundation.org/trademark-usageをご覧ください。
Linuxは、Linus Torvaldsの登録商標です。