Gemara:
リスクアセスメント自動化のためのガバナンス・リスク・コンプライアンスのエンジニアリングモデル

Download Report

手作業によるスプレッドシートでは、現代のエンジニアリング手法に対応できません。Gemara、ガバナンス、リスク、コンプライアンス(GRC)活動を標準化された機械可読なエンジニアリング手法に変換するOpenSSFモデルです。 

おもなポイント

  • 7層の論理モデル:これは、ガバナンスに内在する活動と、それらの構成要素および構造的関係を特定するものです。
  • 相互運用可能なデータ:CUEベースのスキーマを使用することで、セキュリティツールがデータをシームレスに共有できるようにします。
  • エンジニアリング ファースト:DevSecOpsチームがCompliance as Code を扱うように設計されています。

なぜそれが重要なのか

Gemaraは、要件(あるべき姿)と運用上の現実(実際に起こったこと)の間のギャップを埋めます。組織は、導入速度を落とすことなくセキュリティ監視を拡張でき、監査担当者とエンジニアの両方に共通の言語を提供します。

参考:


日本語版翻訳協力:OpenSSF Japan Chapter 翻訳チーム

  • 清海 佑太(本田技術研究所)
  • 川名 のん(日立製作所)
  • 下沢 拓(日立製作所)
  • 余保 束(ルネサスエレクトロニクス)
  • 池田 宗広(サイバートラスト)

Gemara:
リスクアセスメント自動化のためのガバナンス・リスク・コンプライアンスのエンジニアリングモデル

日本語版をダウンロード

手作業によるスプレッドシートでは、現代のエンジニアリング手法に対応できません。Gemara、ガバナンス、リスク、コンプライアンス(GRC)活動を標準化された機械可読なエンジニアリング手法に変換するOpenSSFモデルです。 

おもなポイント

  • 7層の論理モデル:これは、ガバナンスに内在する活動と、それらの構成要素および構造的関係を特定するものです。
  • 相互運用可能なデータ:CUEベースのスキーマを使用することで、セキュリティツールがデータをシームレスに共有できるようにします。
  • エンジニアリング ファースト:DevSecOpsチームがCompliance as Code を扱うように設計されています。

なぜそれが重要なのか

Gemaraは、要件(あるべき姿)と運用上の現実(実際に起こったこと)の間のギャップを埋めます。組織は、導入速度を落とすことなくセキュリティ監視を拡張でき、監査担当者とエンジニアの両方に共通の言語を提供します。

参考:


日本語版翻訳協力:OpenSSF Japan Chapter 翻訳チーム

  • 清海 佑太(本田技術研究所)
  • 川名 のん(日立製作所)
  • 下沢 拓(日立製作所)
  • 余保 束(ルネサスエレクトロニクス)
  • 池田 宗広(サイバートラスト)

Gemara:
リスクアセスメント自動化のためのガバナンス・リスク・コンプライアンスのエンジニアリングモデル

Download Report

手作業によるスプレッドシートでは、現代のエンジニアリング手法に対応できません。Gemara、ガバナンス、リスク、コンプライアンス(GRC)活動を標準化された機械可読なエンジニアリング手法に変換するOpenSSFモデルです。 

おもなポイント

  • 7層の論理モデル:これは、ガバナンスに内在する活動と、それらの構成要素および構造的関係を特定するものです。
  • 相互運用可能なデータ:CUEベースのスキーマを使用することで、セキュリティツールがデータをシームレスに共有できるようにします。
  • エンジニアリング ファースト:DevSecOpsチームがCompliance as Code を扱うように設計されています。

なぜそれが重要なのか

Gemaraは、要件(あるべき姿)と運用上の現実(実際に起こったこと)の間のギャップを埋めます。組織は、導入速度を落とすことなくセキュリティ監視を拡張でき、監査担当者とエンジニアの両方に共通の言語を提供します。

参考:


日本語版翻訳協力:OpenSSF Japan Chapter 翻訳チーム

  • 清海 佑太(本田技術研究所)
  • 川名 のん(日立製作所)
  • 下沢 拓(日立製作所)
  • 余保 束(ルネサスエレクトロニクス)
  • 池田 宗広(サイバートラスト)