コントロール目標およびコントロールフォームのCAMビューでのコントロール要件の詳細

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:7分
  • コントロールフォームのCAMビューには、コントロール要件の詳細をキャプチャするために追加されたフィールドがあります。

    コントロール目標フォームのCAMビューでコントロール要件の詳細に対応するために、[コントロール目標要件 (Control objective requirements)] 関連リストが追加されました。

    注:
    ビュー内のコントロール目標フォームとコントロールフォームのCAMビューは、ポリシーとコンプライアンス管理で使用されているコントロール目標フォームおよびコントロールフォームとほぼ同じです。ただし、フォームのフィールドがいくつか削除され、コントロール要件の詳細をキャプチャするためのフィールドがいくつか追加されています。

    コントロール目標フォームのCAMビュー

    表 : 1. コントロール目標フォームのCAMビュー
    フィールド 説明
    参照 一意に定まる数値の識別子またはコンテンツ参照番号。
    ファミリー ファミリーにグループ化されたコントロール目標。
    アクティブ コントロール目標をアクティブ化するオプション。
    ファミリー ID コントロール目標ファミリーの一意の ID。
    名前 コントロール目標の名前。
    ソース コントロール目標のソース (テストテンプレートが提供される NIST 800-53 リビジョン 5)。
    現在のコントロール目標の子ではないコントロール目標。この関係は、循環する親子関係を避けるためです。
    コンプライアンススコア (%) このコントロール目標に対して計算されたコンプライアンススコアの割合とそのカラーコード:
    • 80 以上:緑
    • 50 ~ 80:黄
    • 50 未満:赤
    コントロールを自動的に作成 [関係性を追加] とエンティティを選択することでエンティティが [追加エンティティ (Additional entities)] 関連リストから関連付けられたときに、コントロールが自動的に作成されることを示すオプション。
    コントロール要件を作成 コントロール目標のコントロール要件を自動的に生成するオプション。
    注:
    コントロール目標の要件がない場合は、コントロール要件もありません。
    証明書 評価指標タイプへの参照デフォルトで [GRC 証明書 (GRC Attestation)] が選択されています。
    注:
    ユーザーがコントロール証明書を変更すると、関連するコントロール目標証明書タイプも変更されます。
    Impact ターゲットおよびデータの機密性、完全性、または可用性の損失に起因するビジネス機能への潜在的な影響。
    組織ガイダンス NIST のセキュリティコントロール定義は、組織によって共通コントロール定義として指定された場合、1 つ以上の組織ターゲットによって継承可能です。
    説明 コントロール目標の説明。
    補足ガイダンス NIST 800-53 リビジョン 4 から提供されたコントロール目標の場合、コントロール目標の実装の方向。
    ディスカッション NIST 800-53 リビジョン 5 によって供給されたコントロール目標である場合、NIST によって供給されるコンテンツ関連情報。

    コントロール目標は単なるガイドラインであり、エンティティやオブジェクトに固有のものではありません。コントロール目標とコントロール目標要件の関係は多対多であるため、1 つのコントロール目標を任意のコントロール目標要件にリンクでき、また 1 つのコントロール目標要件を任意の数のコントロール目標にリンクできます。

    表 : 2. [コントロール目標要件 (Control Objective Requirements)] 関連リスト
    フィールド 説明
    要件番号 コントロール目標の要件番号。
    アクティブ 要件をアクティブにするオプション。
    説明 コントロール目標の要件に関する詳細な説明。
    [コントロール目標要件 (Control objective requirements)] 関連リストで [新規] を選択し、必要であれば、生成される要件に基づいてコントロール目標の要件を作成できます。または [編集] を選択して、既存のコントロール目標要件をコントロール目標に追加します。
    注:
    • コントロール目標が [非アクティブ] ステータスの場合、コントロール目標要件の作成や追加はできません。そのため、[新規][編集] は使用できません。
    • コントロール目標要件が非アクティブである場合、コントロール目標をコントロール目標要件に追加することはできません。

    コントロールフォームのCAMビュー

    表 : 3. コントロールフォームのCAMビュー
    フィールド 説明
    参照 一意の識別子。
    名前 コントロールの名前。
    番号 コントロールを一意に識別する番号。
    エンティティ 関連エンティティ。
    注:
    エンティティのステータスを [廃止] ステータスから [アクティブ] に変更すると、エンティティに対して手動で作成されたコントロールも [ドラフト] ステータスに移行します。
    コントロール目標 関連コントロール目標。
    所有者 ポリシーを所有するユーザー。
    注:
    オーナーは常に回答者として追加されます。選択したコントロールオーナーは、所有グループに属しています。
    ステータス コントロールステータス。利用可能な選択肢は次のとおりです。
    • 準拠
    • 非準拠
    • 適用外
    状況 コントロールステータス。利用可能な選択肢は次のとおりです。
    • [ドラフト]:コントロールがコントロール目標から作成された場合、コントロールはこのステータスになります。このステータスでは、すべてのコンプライアンスユーザーがコントロールを変更できます。ワンオフコントロールを作成する場合のみ利用できます。ワンオフコントロールは可能ですが、推奨されません。
    • [証明][証明] を選択して証明書を取得すると、コントロールはこのステータスに移行します。
      注:
      コントロールをドラフトに戻すと、証明書はキャンセルされます。
    • [レビュー]:コントロールは、証明書フェーズからレビューに自動的に移行されます。
    • [監視]:このステータスでは、すべてのコンプライアンスマネージャーがコントロールを [レビュー] から [監視] に移行できます。
    • [廃止]:コンプライアンスマネージャーまたはアドミニストレーターは、コントロールを [監視] から [廃止] に移行できます。
      注:
      コントロールが廃止された場合:
      • 関連付けられているインジケーターが実行されない
      • 関連付けられている証明書がキャンセルされる
      • 関連付けられているコントロール目標を変更してもコントロールが更新されない
    認証パッケージ コントロールが関連付けられている認証パッケージ、またはコントロールの作成元である認証パッケージ。
    頻度 オプションのリスト:
    • イベント駆動型
    • 日次
    • 週次
    • 月払い
    • 四半期払い
    • 半年ごと
    • 年の月と日
    証明書は、コントロールまたはコントロール要件に対して選択された値に基づいて送信されます。
    注:
    コントロールの [頻度] フィールドとエンティティの [証明書頻度] フィールドの違いについては、KB0694607を参照してください。
    重み コントロールスコアの有効性の計算に使用される値。
    所有グループ ポリシーを所有するグループ。
    割り当てをコントロール 作成されるコントロールのタイプ:システム固有またはハイブリッドのいずれか。
    説明 コントロールの説明。
    ディスカッション NIST 800-53 リビジョン 5 のコンテンツ関連情報。
    補足ガイダンス NIST 800-53 リビジョン 4 に基づくコントロールの場合、コントロール実装の方向。
    実装ステートメント コントロールの実装方法の説明。

    コントロールが認証パッケージから作成され、[ドラフト] ステータスである場合、この情報は必須です。

    証明書
    要件レベルで証明書を取得する コントロールレベルではなく、コントロール要件レベルで証明書を送信するオプション。
    証明書

    オプションのリストから選択します。

    • 他の証明書タイプを構成できます。
    • このフィールドに値が入力されると、[証明書の回答者] の値が必須になり、オーナーが回答者になります。
    注:
    ユーザーがコントロール目標で証明書タイプを変更すると、関連するすべてのコントロールも変更されます。
    証明書の回答者
    • このコントロールの証明書にアサインされたユーザー。
    • sn_grc.user ロールを持つユーザーのみを応答者として追加できます。
    注:
    [証明書][証明書回答者] の両方のフィールドが設定されている場合、[証明 (Attest)] を選択すると証明書が作成されます。
    アクティビティジャーナル
    追加コメント コントロールに関する公開情報。
    アクティビティ コントロール状態変更のメッセージログ。
    表 : 4. [コントロール要件 (Control Requirements)] 関連リスト
    フィールド 説明
    番号 一意に定まるコントロール要件の番号。
    要件番号 参照番号。
    コントロール コントロール要件が関連付けられているコントロール。
    ステータス コントロール要件のステータス。
    状況 要件のステータス。
    頻度 コントロールの頻度。
    説明 コントロール要件の説明。
    証明書
    証明書 証明書メトリクスタイプ。
    証明書の回答者 コントロール要件を証明するユーザー。
    アクティビティジャーナル
    追加コメント コントロール要件に関する情報。

    コントロール目標要件の関連付けが解除される (削除される) と、コントロール要件は手動になります。この情報はこのフィールドに記録されます。

    アクティビティ コントロール要件のステータス変更のメッセージログ。