リスクアセスメント自動化の新たな一歩、「Gemara」日本語版が登場
リスクマネジメントの領域で新たな革新が訪れました。Open Source Security Foundation(OpenSSF)が発表したリスクアセスメント自動化のためのGRCエンジニアリングモデル「Gemara」の日本語版が公開されました。この画期的なモデルは、ガバナンス、リスク、コンプライアンス(GRC)活動を機械可読な形に変換するための手法を提供します。
Gemaraとは?
「Gemara」はガバナンス、リスク、コンプライアンス活動を標準化し、エンジニアリング手法を通じて自動化を促進するモデルです。この日本語版は、特に日本の企業や組織に合わせた内容となっており、各種のリスクアセスメントを簡便に実施できる環境を整えることを目的としています。
モデルの構成
Gemaraモデルは、コンプライアンス活動を体系的に分類し、それらの相互作用を明確に定義することを目指しています。特に、従来のワークフローやプロセスの記述に留まらず、ガバナンスに内在する各活動やその構成要素、そして相互の構造的関係を特定することが重要なポイントです。これまで予測可能な交換ポイントが不足していた中、統一的なエンジニアリングアーキテクチャを抽出することで、実践に即した情報を提供できるようになります。
7層の論理モデル
Gemaraは、7層からなる論理モデルを導入しており、各層においてガバナンスとリスク管理に必要な要素を明確化しています。これにより、ドキュメント化や用語の標準化が進むだけでなく、共通のリソースを協力して維持する基盤も整います。
相互運用可能なデータ
また、CUEベースのスキーマを採用することにより、異なるセキュリティツール間でデータをシームレスに共有できるようになります。これにより、企業は効率的かつ迅速なリスクアセスメントを実現し、安全性を高めることができます。
なぜGemaraが注目されるのか
Gemaraが持つ特異な強みの一つは、要件(あるべき姿)と運用上の現実(実際に何が起こったか)のギャップを埋めることにあります。これにより、組織はセキュリティ監視を拡張しつつも導入速度を緩めることがなくなります。監査担当者とエンジニアが共通の言語を持つことで、業務の効率化やリスク管理の強化につながるでしょう。
参考知識
さらに、Gemaraに興味がある方は、以下のリソースをチェックしてみてください。
- - GitHubでスキーマやSDKの確認
- - ORBITワーキンググループへの参加
- - OpenSSFメンバーシップについての情報
この翻訳には、日本のOpenSSF Chapter翻訳チームが協力しており、各業界から集まった専門家たちが手伝っています。具体的には、本田技術研究所の清海佑太氏、日立製作所の川名のん氏、下沢拓氏、ルネサスエレクトロニクスの余保束氏、サイバートラストの池田宗広氏が翻訳に貢献しています。
まとめ
「Gemara」は、リスクアセスメント自動化の時代に向けた重要な一歩です。企業のガバナンス、リスク、コンプライアンスの活動をもっと効率的に管理できるようになります。これからのセキュリティ業務において、Gemaraの導入を検討してみてはいかがでしょうか?