CAM ワークスペースでのパッケージの詳細の表示

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • 認証パッケージの概要ページを使用して、組織のセキュリティ体制にアクセスするのに役立つドキュメントと証拠を表示します。

    始める前に

    必要なロール:
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.information_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.info_system_sec_officer
    • sn_irm_cont_auth.sec_control_assessor
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.scheduler
    • sn_irm_cont_auth.system_user
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.executive_read

    手順

    1. 移動先 すべて > CAM ワークスペース.
    2. [リスト] ページに移動するには、リストアイコン(リストアイコン)を選択します。
    3. [RMF の認証パッケージ (Authorization packages in the RMF)] リストから、認証パッケージレコードを選択します。
      ステッパーコンポーネントには、パッケージの現在のステータスと、監視ステータスに到達するためのロードマップが表示されます。

      認証パッケージの概要ページウィジェットを示す短い GIF。

      コンプライアンスのサマリー
      このパッケージに含まれるコントロールの合計数を表示します。パッケージの継承されたコントロールと該当しないコントロールの分割数も表示されます。実装されたコントロールには、監視ステータスのコントロールの割合が含まれています。
      注:
      • 同じ参照 ID を持つコントロール目標を、ベースラインコントロールリストから適用外のコントロールに移動することはできません。
      • [ 適用外のコントロール ] リストから同じ参照 ID を持つ 2 つのコントロール目標を選択すると、[ ベースラインコントロールに戻る] アクションが無効になります。
      • 同じ参照 ID を持つコントロール目標を、ベースラインコントロールから適用外のコントロールへ、または適用外のコントロールからベースラインコントロールに移動することはできません。
      割り当てをコントロール
      ファミリー別にグループ化され、システム固有およびハイブリッドに分類されたコントロール。
      概要
      コントロール、コントロールテスト、POA&M の合計数とそれらのステータスを表示します。
      詳細
      コントロール要件ウィジェットのコントロールのよりきめ細かい詳細、アセスメント手順ウィジェットのコントロールテストの詳細。
      [ 詳細 ] タブで、認証パッケージが [承認 ] ステップに移動すると、次の詳細を表示できます。
      • 次の承認日:この日付は、認証パッケージが承認ステップに移動されたときに生成されます。次の認証日は、パッケージがこのステップに移動された日から 3 年に設定されます。
      • 次回のエンゲージメント日:次回のエンゲージメント日は、[ システムのプロパティ ] ページで定義された日数に基づいて事前入力されます。詳細については、「継続的な承認とモニタリング システムプロパティ」を参照してください。

        この日付になると、コントロール、以前のエンゲージメントから引き継がれたテスト計画、新しく関連付けられたコントロールテストとアセスメント手順を含む新しいエンゲージメントが作成されます。

    4. サイドバーアイコン(サイドバーアイコン)を選択します。
      [注目の詳細 (Highlighted details section displays)] セクションには次の項目が表示されます。
      • プライバシーに配慮したパッケージのシステムステータス。
      • 境界へのリンクを選択すると、このパッケージが関連付けられている認証境界に移動できます。
      • 影響カードには、パッケージの機密性、完全性、および可用性ステータスが表示され、それに基づいてパッケージの影響が決定されます。
      • 認証パッケージの更新で重要なロールを担うユーザーもリスト表示されます。
    5. 選択した認証パッケージとそれに関連するすべてのオブジェクトとの関係を個別に可視化して表示するには、[360 度ビュー (360° view)] を選択します。
      360 度ビュー は、認証境界、認証パッケージ、コントロール、コントロール目標、コントロールオーバーレイ、コントロールテスト、テストテンプレート、テスト計画、エンゲージメントの [概要] ページと、インジケーター、インジケーターテンプレート、および POA&M の [詳細] ページに追加されます。

      認証パッケージに関連付けられているすべての要素の 360 度ビュー。

    6. [ SSP の生成 ] を選択して、システムセキュリティ計画 (SSP) を生成します。
      [その他のアクション] アイコン ([その他のアクション] アイコン) を選択して、セキュリティアセスメントレポート (SAR) やアクションプランとマイルストーン (POA&M) などの ATO 成果物レポートを生成することもできます。

      CAMATO 成果物の詳細については、「認証パッケージの ATO アーティファクト」を参照してください。

    7. OSCAL SSP を生成するには、その他のアクションアイコン(その他のアクションアイコン)から [OSCAL SSP のエクスポート (Export OSCAL SSP)] オプションを選択します。
      詳細については、「OSCAL 形式でのエクスポート」と「OSCAL SSP のエクスポート」を参照してください。
    8. 認証パッケージの前のステップに移動して詳細を更新するには、その他のアクションアイコン (その他のアクションアイコン) から [前のステップに戻る(Back to previous step)] オプションを選択します。
      [前のステップに戻る(Back to previous step)] アクションを選択すると、現在のステータスに移行したときに実行されるすべてのアクションが取り消されます。たとえば、パッケージが実装ステータスの場合、選択ステータスに戻ると、生成された既存のコントロールはすべて廃止されます。選択ステータスでは、ベースラインコントロールに再度アクセスし、必要に応じて必要なアクションを実行できます。ただし、この操作は継続的な承認とモニタリングアドミニストレーター(sn_irm_cont_auth.admin)のみが実行できます。
    9. 認証パッケージに関連するコントロールを表示するには、[コントロール] 関連リストを選択します。
      1. リストからコントロールを選択します。
        継続的な承認とモニタリング アプリケーションでは、コントロールの [概要] ページのヘッダーにコントロールの割り当てカテゴリを表示できます。コントロールの割り当ては、システム固有またはハイブリッドのいずれかです。
      2. サイドバーアイコン(サイドバーアイコン)を選択して、NIST 参照の詳細を表示します。
      3. [詳細] 関連リストを選択します。
        コントロールのコントロール目標が属するファミリーは、[ファミリー] フィールドと [ファミリー ID] フィールドで確認できます。これらのフィールドは、コントロールフォームでは読み取り専用です。

        認証パッケージ概要ページの [コントロールの割り当て(Control allocation)] リストには、システム固有とハイブリッドに分けられたファミリー別にグループ化されたコントロールが表示されます。

    10. 追加 を選択し、追加するコントロールを選択し、追加 を選択して、選択したコントロール目標をベースライン コントロールに追加します。
      注:
      コントロール目標を追加する場合、同じ参照 ID を持つ複数のコントロール目標を選択してベースラインコントロールに追加することはできません。コントロール目標の参照 ID が既にベースラインコントロールリストに存在する場合、コントロール目標を追加することはできません。複数のコントロール目標を選択する。
    11. ベースラインコントロールの要件を継承するには、[ベースラインコントロール] タブでコントロール目標を 1 つだけ選択します。
      自己実装型要件が 1 つ必要ですが、残りの要件は共通コントロールプロバイダーから継承できます。

      パッケージは [選択] ステータスである必要があります。ハイブリッドコントロールの作成には、コントロール要件を持つ共通コントロールプロバイダーのみを使用できます。

      1. [ハイブリッドを作成 (Create Hybrid)] を選択します。
        [ハイブリッドコントロールを作成(Create hybrid control)] ポップアップには、グループ内のパッケージがリストされます。

        [ハイブリッドコントロールを作成 (Create hybrid control)] ポップアップ。

      2. [認証パッケージ(オプション)(Authorization Package (Optional))] フィールドにパッケージを入力します。
        必要なパッケージをすべて入力します。そこから要件を選択することができます。
      3. パッケージのグループから要件を選択します。その際、そのコントロールの自己実装のために要件を 1 つ以上残します。
        ハイブリッドコントロールを作成しており、その要件は選択したパッケージから継承されます。
      4. [Add (追加)] を選択します。
    12. 関連するコントロール目標に移動するには、サイドバーで該当するコントロール目標へのリンクを選択します。
      NIST によって供給されるコントロール目標の参照は、コントロール目標のヘッダーで [ソース ID] としてキャプチャされます。

      コントロールは [ファミリー] でグループ化され、[ファミリー ID] で定義された ID で省略されます。これらのフィールドは編集可能で、コントロールが属するグループを識別するのに役立ち、[コントロールの割り当て(Control allocation)] セクションでレポート目的で使用されます。ファミリーとファミリー ID のコンテンツは、NIST 800-53 に基づいて更新されます。詳細については、「コントロール要件の詳細ビュー」を参照してください。

      1. 関連コントロール目標関連リストを選択します。
        パッケージの実装に影響を与えるものの、異なるファミリーに属するすべてのコントロール目標は、関連コントロール目標としてグループ化されます。これらのコントロール目標は、NIST によって提供されます。マップ済みのコントロール目標に基づいたパッケージ内のすべての関連コントロールは、関連コントロール目標としてリンクされます。

        関連コントロール関連リストには、同じエンティティを持つ関連コントロール目標のコントロールが含まれます。

      2. 関連コントロール目標を追加するには、[追加] を選択します。
      3. コントロール目標を選択し、[追加] を選択します。
        このリストには、パッケージの関連コントロール目標リストにまだ追加されていないコントロール目標が表示されます。