機械可読言語であるOSCALに関する情報発信ページ「OSCAL Lab Japan」を公開

〜セキュリティ担当者が夢の見る圧倒的なDXを〜

SecureNavi株式会社

2025年2月13日 10時00分

様々な法令や認証規格、レギュレーションなどを統合管理できる日本のコンプライアンス・ソフトウェア「Fit＆Gap」を提供するSecureNavi株式会社(本社：東京都中央区、代表取締役CEO：井崎友博、以下当社)は、情報セキュリティおよびコンプライアンス対応、監査対応の効率化を促進することを目的に、OSCAL情報発信ページ「OSCAL Lab Japan」を公開しました。本ページでは、OSCALに関する最新情報、ガイドライン、技術資料、および活用事例を提供し、国内の企業・組織がより効率的にセキュリティ管理を行える環境を目指し、今後も情報発信を続けていきます。

OSCALとは

OSCAL（Open Security Controls Assessment Language）は、NIST（米国国立標準技術研究所）が開発した機械可読なセキュリティコントロールフレームワークです。

現在、多くの企業では、ExcelやWordなどを使用して独自のフォーマットでセキュリティ対策を管理しています。しかし、コンプライアンス要件が増えるにつれて、これらの文書は複雑化し、企業間取引のセキュリティチェックや監査・審査活動が非効率化する課題が発生しています。

OSCALの基本アイデアは、ISO27001やNISTのガイドラインなどのコンプライアンス要件に準拠するための管理策を、JSON/XML/YAMLといった機械可読フォーマットで統一的に表現することにあります。これにより、組織のコンプライアンス対応や監査プロセスが効率化され、負担の軽減につながります。

OSCALに今後期待されること

OSCALの普及が進むことで、企業や組織のコンプライアンス管理が標準化され、監査業務の自動化が可能になります。特に、企業間のセキュリティチェックや、ISMS認証を含む様々なセキュリティ認証、ガイドライン、法令・規格の準拠に関わる監査・審査業務の自動化が進み、手作業の負担が軽減されることが期待されています。

アメリカの政府機関がクラウドサービスを採用する際のガイドライン「FedRAMP」では、OSCAL対応の動きが進んでおり、2021年7月にはFedRAMPの要求事項をOSCAL形式で表現したコードや変換ツールがGitHubに公開されました。FedRAMP認証の取得には膨大な工数がかかるため、OSCALの導入により大幅な工数削減が期待されています。

日本国内においても、今後OSCALの活用が進むことで、大企業、金融、医療、公共部門などの分野での情報セキュリティ管理の効率化が期待されます。