リスクアセスメント自動化のためのGRCエンジニアリングモデル「Gemara」日本語版を公開
The Linux Foundation Japan

ガバナンス・リスク・コンプライアンス (GRC) 活動を、標準化された機械可読なエンジニアリングモデルとして定義し、リスクアセスメントの自動化を支援します
[画像:
https://prcdn.freetls.fastly.net/release_image/42042/422/42042-422-266f372ae8c175f0244807a89a580797-1800x942.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
OpenSSF発行 - リスクアセスメント自動化のためのGRCエンジニアリングモデル「Gemara」日本語版
Open Source Security Foundation (OpenSSF) より発行された「Gemara: A Governance, Risk, and Compliance Engineering Model for Automated Risk Assessment」の日本語版が公開されました。Gemaraは、ガバナンス、リスク、コンプライアンス (GRC) 活動を標準化された機械可読なエンジニアリング手法に変換するOpenSSFモデルです。
こちらからダウンロードできます :
- 日本語版 :
Gemara:リスクアセスメント自動化のためのガバナンス・リスク・コンプライアンスのエンジニアリングモデル- オリジナル版 (英語) :
Gemara: A Governance, Risk, and Compliance Engineering Model for Automated Risk Assessment
本稿では、コンプライアンス活動を分類し、それらの機能的な相互作用を定義するために設計された構造である Gemara モデルを紹介します。このモデルは、組織のワークフローや人のプロセスを記述するのではなく、ガバナンスに内在する活動とその構成要素および構造的関係を特定します。これらの活動は実務上長らく存在していましたが、予測可能な交換ポイントを備えた統一的なエンジニアリングアーキテクチャが欠如していました。このモデルは、これらの活動を個別のレイヤーに分解することで、文書化と用語の標準化を促進し、共通リソースの共同保守の基盤を構築します。
おもなポイント
- 7層の論理モデル:ガバナンスに内在する活動とその構成要素および構造的関係を特定します。- 相互運用可能なデータ:CUEベースのスキーマを使用することで、セキュリティツールがデータをシームレスに共有できるようにします。- エンジニアリング ファースト:DevSecOpsチームがCompliance as Codeを扱うように設計されています。
なぜ重要なのか
Gemaraは、要件 (あるべき姿) と運用上の現実 (実際に起こったこと) の間のギャップを埋めます。組織は、導入速度を落とすことなくセキュリティ監視を拡張でき、監査担当者とエンジニアの両方に共通の言語を提供します。
参考
-
GitHubでスキーマやSDKを調べる-
ORBITワーキンググループに参加する-
OpenSSFメンバーシップについて
日本語版翻訳協力:OpenSSF Japan Chapter 翻訳チーム
- 清海 佑太(本田技術研究所)- 川名 のん(日立製作所)- 下沢 拓(日立製作所)- 余保 束(ルネサスエレクトロニクス)- 池田 宗広(サイバートラスト)
プレスリリース提供:PR TIMES
記事提供:PRTimes