OSCALの概要と国際的影響

はじめに

ビジネスのエコシステムの複雑化が進むに伴い、法令などが要求するコンプライアンス対応にかかるコストは増え、コンプライアンス違反により罰金を科せられたり、信用を失墜させたりするリスクも高まっています。そのような状況下において、グローバルではセキュリティ管理の文書化、実装、評価を標準化・自動化することで、コンプライアンス対応における複雑さと実装コストを削減しようとする企業が出てきています。

本稿では、諸外国の政府機関や金融機関を中心に、サイバーセキュリティの管理と評価プロセスにおいて実装の事例が出てきているOpen Security Controls Assessment Language（OSCAL）^*1を解説し、その本質や重要性を明らかにします。

OSCALとは何か

OSCAL（Open Security Controls Assessment Language）は、米国立標準技術研究所（NIST）が開発した特殊な言語で、その主な目的はサイバーセキュリティの管理と評価プロセスを合理化し、向上させることにあります。

OSCALはもともと、米国のNISTがクラウドサービスを対象とする米連邦政府の調達要件に関する認証制度であるFedRAMP^*2の要求事項のアセスメントを自動化するために開発した言語です。ところが、FedRAMP以外にも活用領域が広がりつつあり、諸外国の各種ポリシーの要求事項や管理策の実装における事例が、政府機関や金融機関を中心に出てきています。

OSCALの重要性

1. 複雑なセキュリティ管理の簡素化

今日の入り組んだビジネス環境下において、企業や機関は多くのサイバーセキュリティ規制や要件に適合しなければなりません。OSCALは、セキュリティコントロールの文書化と評価のための標準化フレームワークを提供することで、この複雑さを簡素化する役割を果たします。

2. グローバルサイバーセキュリティの流れに乗る

グローバルにおけるサイバーセキュリティ環境は絶えず進化し続けています。世界中の組織は標準化と自動化を進めており、OSCALはこのグローバルなサイバーセキュリティの潮流の最前線に位置づけられます。この流れにいち早く乗ることで、迅速に変化するサイバーセキュリティのグローバルの要請に適応できるようになります。

3. リアルタイム情報交換

OSCALの特徴の1つは、異なる関係者間でセキュリティ情報をリアルタイムに共有できる点にあります。これにより、セキュリティの専門家は最新情報にアクセスし、それらを迅速に活用した上で意思決定を行うことが可能となります。

OSCALの動作原理

OSCALは、セキュリティコントロールやシステムセキュリティプランを表現するためにXML、JSON、YAMLなどのさまざまな形式を利用します。これらの機械可読言語を通じてコンピュータが情報を処理するため、セキュリティ評価をより効率的かつ正確に行えます。

OSCAL Refenenceで公開されているモデル文書化の例

OSCALの文書化は、XML、JSON、YAMLフォーマットで表現できます。

NIST OSCAL Referenceで公開されているモデル文書化の例^*3

OSCALの実用例

1. 規制遵守の効率化

OSCALは、NISTなど複数のセキュリティ規格に効率的に適合するための支援を提供します。これにより、遵守作業にかかる時間とリソースを節約できます。

2. システムセキュリティ計画

OSCALは標準化されたシステムセキュリティ計画（SSP）の作成を可能にし、セキュリティコントロールの管理と文書化を簡略化します。

3. セキュリティ評価の自動化

OSCALの自動化機能は、セキュリティ評価を自動化し、手動プロセスの依存度を減少させ、人為的エラーが生じるリスクを最小限に抑えます。

OSCALの国際的な影響

OSCALは出発点となった米国内にとどまらず、欧州、英国、オーストラリアなどの企業や機関ですでに採用されています。また、民間のテクノロジープレーヤーや多様な組織でも採用されています。さらに、欧州連合の規制当局もその採用を検討しており、OSCALの存在感は世界的に高まっています。

現時点において、OSCALの事例としては以下のようなものが挙げられます：

複数のセキュリティ基準（NISTのRisk Management Framework、FISMA、HIPAAなど）への準拠を効率的に管理
機械で読み取り可能な標準化されたシステムセキュリティプラン（SSP）の作成
FedRAMPへの準拠（自主テスト・SSP作成・セキュリティ評価などの自動化）
アプリケーションなどにおいて実装される管理策の文書化（機械可読）
ポリシー、手順などにおいて実装される管理策の文書化（機械可読）

現時点では諸外国においてOSCALの使用を義務づける文書は見当たりません。しかし、上記のOSCALの活用事例に鑑みれば、監査の自動化やソフトウェアのセキュリティ確保に向けて、有用な一手段になり得ると思われます。また、機械で読み取れる形に統制のあり方を変えていくことで、データ上の偏差を可視化でき、人間のみに依存することなく、昨今の課題であるサプライチェーン上のガバナンス向上への貢献も期待されるところです。

終わりに

OSCALはセキュリティの要請事項に関する遵守を簡素化し、グローバルなサイバーセキュリティの潮流に対応しつつ、セキュリティに関するリアルタイムの情報交換を促進するなど、サイバーセキュリティの領域における画期的な進歩の象徴と言えます。

サイバーセキュリティの重要性がますます高まる中、OSCALは組織がデジタル環境の急速な変化に適応し、セキュリティプラクティスを強化するための不可欠なツールとなり得るでしょう。今後、グローバルでさらに活用が広がる可能性があるため、グローバルで事業展開される日本企業としては、この潮流に遅れることがないよう、早い段階から情報収集することが重要です。本シリーズでは今後、その活用事例や技術的詳細についても解説していく予定です。

^*1 米国立標準技術研究所（NIST）, 2023, OSCAL, 2024/1/15閲覧,
https://pages.nist.gov/OSCAL/about/

^*2 米国共通役務庁（GSA）, 2022, FedRamp, 2024/1/15閲覧,
https://www.fedramp.gov/program-basics/

^*3 米国立標準技術研究所（NIST）, 2023, OSCAL reference, 2024/2/7閲覧,
https://pages.nist.gov/OSCAL/resources/concepts/layer/control/catalog/