Google Cloud の DoD 影響レベル 5 に対する OSCAL パッケージ提出のお知らせ

※この投稿は米国時間 2023 年 6 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。

本日は、Google Cloud が米国国防総省（DoD）の影響レベル 5（IL5）に対し、OSCAL のパッケージ一式を eMASS に提出いたしましたことをお知らせします。これは、Google が Google Cloud とそのお客様のためにスケーラブルなコンプライアンスをサポートするための一歩を踏み出したことを意味し、大きな節目となります。

Open Security Control Assessment Language（OSCAL）

OSCAL（Open Security Control Assessment Language）は NIST が開発した、セキュリティ統制の評価を表すための、機械で読み取り可能なオープンな言語です。OSCAL は、組織とシステムの間でのセキュリティ統制に関する情報の交換を容易にし、セキュリティ評価の自動化を可能にするように設計されています。

定期的な監査から継続的な統制モニタリングへの移行を目指す組織が増えるなか、一貫性があり、機械で読み取り可能な形式での情報の自由なやり取りが重要な要件となっています。Google Cloud は、その標準として OSCAL の活用を目指しています。データ構造とツールを組み合わせて、セキュリティ統制のモニタリングを自動化し、データの保護とリスクの低減に役立てることを目標に掲げています。  

Google Cloud における OSCAL の採用と使用

Google は業界に先駆けて OSCAL を採用できることを嬉しく思います。最初のステップとして、OSCAL のデータ構造を、Google 独自の分類法や Google の GRC ツールなど、社内で採用することを目指しました。体系的かつ包括的で一貫性のある統制とモニタリングのデータ構造を手に入れるためには、この採用が重要でした。

OSCAL の分類法を社内で採用することにより、Google Cloud はセキュリティ統制を一貫性のある形式で記述し、評価することができるようになります。これは、Google のセキュリティ対策を強化し、セキュリティ侵害のリスクを低減するのに役立ちます。さらに、Google のセキュリティ対策の評価プロセスをより簡単に自動化することができます。

また、内部統制や統制モニタリングに関する指標データを使用して JSON 形式および XML 形式の OSCAL ファイルを自動生成する内部ツールを開発しました。

これらの取り組みにより、組織が OSCAL を採用し、使用することがさらに容易になると考えています。Google は継続的な OSCAL の開発と改善に取り組みつつ、この重要なセキュリティ規格の将来がどうなるかを楽しみにしています。

コンプライアンスの透明性と自動化を推進

Google Cloud の OSCAL の採用は、コンプライアンス確保を実現、サポートするうえで大きな前進となります。セキュリティ ドキュメントの信頼できる唯一の情報源の提供、コンプライアンスのアーティファクトの標準化、セキュリティ評価の自動化、修復の自動化を実現できるほか、社内でコンプライアンスの透明性を高めることができます。

Google Cloud は、お客様のお役に立てるよう、コンプライアンスの強化、拡張、サポートに取り組んでまいります。将来的には、お客様が複数のコンプライアンス フレームワークにまたがるセキュリティ保証プロセスを自動化するために使用できる、OSCAL 形式のパッケージを外部化するオプションの検討に取り組む予定です。

また、NIST と連携して、OSCAL データモデルの向上と OSCAL コミュニティの発展を支援していきます。