はじめに

これまでの記事では、NIST（アメリカ国立標準技術研究所）が提唱するOSCAL（Open Security Controls Assessment Language）の概要や導入効果を中心に解説してきました。しかし、どんなに概念が魅力的でも、「実際の現場では本当に効果が出るの？」と疑問を持つ方も多いでしょう。そこで本記事では、OSCALを実際に活用している海外の政府機関やIT企業の成功事例をご紹介します。

アメリカ政府がクラウドサービスを利用する際に定めているセキュリティ基準「FedRAMP（Federal Risk and Authorization Management Program）」の支援や、世界的クラウドベンダーが複数規格対応を一元管理している話など、具体的な成功事例が数多く出始めています。これらの事例を知ることで、OSCALが空想上のフレームワークではなく、すでにさまざまな組織で成果を出していることを実感していただけるはずです。

FedRAMP との連携

OSCALが注目を集めるきっかけの一つは、FedRAMPとの連携です。FedRAMPは、アメリカ政府機関がクラウドサービスを調達・利用する際に必要となるセキュリティ評価制度ですが、これまでは膨大な監査文書を手動で作成・提出するプロセスが大きな負担でした。そこでNISTとFedRAMPは、書類をOSCALフォーマットで提出できるように仕組みを整備し、セキュリティ評価の標準化と自動化を推進しています。

下記のWebサイトでは、「FedRAMP自動化」をテーマとして、OSCALフォーマットでFedRAMP認証プロセスを自動化するための取り組みが記載されています。このページは、2024年の7月にFedRAMPにより立ち上げられました。記載された内容を参考にOSCALパッケージを作成することで、FedRAPMの要件を満たす方法について、具体的な実例とともに紹介されています。さらに注目すべき点は、下記サイトはオープンソースコミュニティとなっており、誰でも自由に貢献できるようになっていることです。

FedRAMP Automation

automate.fedramp.gov

また、現在はOSCALフォーマットを利用した「パイロット」取り組みが開始されています。この取り組みは、認証プロセスをデジタル・自動化し、効率化とセキュリティ評価の品質向上を図る試験プロジェクトであり、将来の標準化されたFedRAMPオートメーションの実現を目指しています。参加者は、CSP（クラウドサービスの提供者）はもちろんのこと、GRCツールを開発するツールプロバイダーや連邦政府機関の関係者など、幅広いステークホルダーを巻き込んだ形での取り組みが行われています。

Digital Authorization Package Pilot Launch | FedRAMP.gov

www.fedramp.gov

Google による対応

米国国防総省（DoD）のクラウド導入において、データの機密度に応じてセキュリティ要件を定めた枠組みが「Impact Level（IL）」と呼ばれるものです。IL5は、比較的高い感度の業務・任務データを取り扱う際の規定を示しており、クラウドサービスプロバイダには厳格なセキュリティ基準と運用要件が求められます。Google Cloudは、このIL5に準拠するにあたり、DoDが示す基準をよりスムーズに満たす方法として、OSCALを採用し、OSCAL形式でのドキュメント提出を初めて行いました。

Google Cloud の DoD 影響レベル 5 に対する OSCAL パッケージ提出のお知らせ | Google Cloud 公式ブログ

cloud.google.com

Google Cloudは既にFedRAMP Highなど数多くのセキュリティ認証を取得し、政府機関向けにもサービスを提供してきましたが、DoD IL5対応においても、OSCALの先進的活用を通じて顧客が求めるコンプライアンス要件を迅速に満たすとともに、高レベルのセキュリティ態勢を整備していることが紹介されています。この事例をきっかけに、今後、OSCALを基盤としたコンプライアンス自動化はさらに広がりを見せ、企業・機関ともにセキュリティ対策の効率性を高める新たな常識となっていく可能性があります。

ServiceNow での活用

ServiceNowは、GRCツールとして活用することができますが、その機能の1つとしてOSCALフォーマットを利用することができます。

現在サポートされているモデルは、カタログモデル、プロファイルモデル、システムセキュリティ計画（SSP）モデルの3つです。ServiceNow内で作成されたGCPデータを、これらのモデルのフォーマットとして出力することにより、他のGRCツールへの移行がスムーズになるほか、各種レギュレーションへの対応を効率化することも可能です。

CIS や CSA での対応

NIST SP800-53 のカタログモデルは、NISTが公式にサポートしていますが、NISTが発行するドキュメント以外のセキュリティガイドライン以外にも、OSCALモデルを採用する組織が増えてきました。例えば、CIS Controlsで有名なCISは、GitHub上にOSCAL専用のレポジトリを用意しており、CIS Controls V8のカタログモデルを提供しています。また、NIST SP 800-53 とのマッピングも合わせて提供されています。

GitHub - CISecurity/CISControls_OSCAL: A repository containing OSCAL serializations of the CIS …

github.com

また、CCM（Cloud Control Matrix）で有名なCSAも、Webページ上で、OSCALフォーマットのカタログを含む機械可読なファイルパッケージを提供しています。ここには、CCMコントロールやCAIQセキュリティアンケート、マッピング情報などが含まれています。

CCM Machine Readable Bundle (JSON/YAML/OSCAL) | CSA

cloudsecurityalliance.org

まとめ

NISTが旗振り役として開発と普及を進めているOSCALですが、昨今はアメリカ政府やクラウドベンダーなどのイノベーター、アーリーアダプターがが積極的に採用していることがわかりました。今後は、厳格な規制を受ける金融・ヘルスケア業界、さらにはスタートアップまで、OSCALは実に多様な現場で浸透が進むことが期待されます。FedRAMPの公式採用によって、政府機関や関連する事業者の間で認知度が高まるとともに、OSSコミュニティの成長や各種規格とのマッピングが進み、監査とコンプライアンスの自動化がさらに加速する流れは今後も続くでしょう。

日本企業にとって、これら海外事例は単なる“他国の話”ではなく、国内向け規格や監査文化をアップデートするうえでのヒントにあふれています。デジタル庁を中心に進められている政府調達のクラウド化や、金融・医療といった分野のデジタル変革において、OSCALを活用すれば大幅な効率化と透明性向上を見込めると考えられます。