Open Source Security Foundation (OpenSSF) より発行された「Gemara: A Governance, Risk, and Compliance Engineering Model for Automated Risk Assessment」の日本語版が公開されました。Gemaraは、ガバナンス、リスク、コンプライアンス (GRC) 活動を標準化された機械可読なエンジニアリング手法に変換するOpenSSFモデルです。
こちらからダウンロードできます :
・日本語版 : Gemara:リスクアセスメント自動化のためのガバナンス・リスク・コンプライアンスのエンジニアリングモデル
・オリジナル版 (英語) : Gemara: A Governance, Risk, and Compliance Engineering Model for Automated Risk Assessment
本稿では、コンプライアンス活動を分類し、それらの機能的な相互作用を定義するために設計された構造である Gemara モデルを紹介します。このモデルは、組織のワークフローや人のプロセスを記述するのではなく、ガバナンスに内在する活動とその構成要素および構造的関係を特定します。これらの活動は実務上長らく存在していましたが、予測可能な交換ポイントを備えた統一的なエンジニアリングアーキテクチャが欠如していました。このモデルは、これらの活動を個別のレイヤーに分解することで、文書化と用語の標準化を促進し、共通リソースの共同保守の基盤を構築します。
・7層の論理モデル:ガバナンスに内在する活動とその構成要素および構造的関係を特定します。
・相互運用可能なデータ:CUEベースのスキーマを使用することで、セキュリティツールがデータをシームレスに共有できるようにします。
・エンジニアリング ファースト:DevSecOpsチームがCompliance as Codeを扱うように設計されています。
Gemaraは、要件 (あるべき姿) と運用上の現実 (実際に起こったこと) の間のギャップを埋めます。組織は、導入速度を落とすことなくセキュリティ監視を拡張でき、監査担当者とエンジニアの両方に共通の言語を提供します。
・GitHubでスキーマやSDKを調べる
・ORBITワーキンググループに参加する
・OpenSSFメンバーシップについて
・清海 佑太(本田技術研究所)
・川名 のん(日立製作所)
・下沢 拓(日立製作所)
・余保 束(ルネサスエレクトロニクス)
・池田 宗広(サイバートラスト)