オントロジーの概要

オントロジーには 4 つの重要な側面があります。

• コントロールドメイン、コントロールの目的、一般的なコントロールによるコントロールの分類。オントロジーは、関連するコントロールを次の 3 つのレベルに整理およびグループ化するのに役立ちます。

  • L1: コントロールドメイン、

  • L2: コントロールの目標、

  • L3: 一般的なコントロール。

  これらのレベルには、厳密な階層関係があります。つまり、各ドメインには複数のコントロール目標がありますが、各コントロール目標には 1 つの親ドメインが必要です。各コントロール目標には複数の共通コントロールがありますが、各共通コントロールには 1 つの親目標があります。

• 規制標準へのマッピング。オントロジーには、規制または業界標準内の特定の要件を表す標準コントロール (L4) と呼ばれる概念があります。これらの標準コントロールは、これらの特定の要件に対処するのに役立つ共通コントロールにマッピングされます。

  例えば、PCI-DSS v3.2.1 などです。ID 4.1 強力な暗号化とセキュリティプロトコルを使用して、オープンなパブリックネットワークを介した送信中に機密性の高いカード所有者データを保護します。NIST 800.53.r5 ID SC-16 セキュリティおよびプライバシー属性の送信は 2 つの標準コントロールであり、どちらも転送中の暗号化データにマッピングされます。一般的なコントロール。

• コントロールの実装とコントロールの証拠。オントロジーには、コントロール実装 (L6) の概念があり、コントロール AWS、 AWS Security Hub チェック、 AWS Config ルールなどの特定の AWS Control Tower コントロール実装、またはプロセスガイダンス AWSなどの外部の非技術的な実装を表すことができます。コントロール証拠 (L7) の別の概念は、、サードパーティーのツール AWS Audit Manager、またはお客様自身によるコントロールの証拠として使用できるデータソースを表します。これらの証拠ソースは、 AWS CloudTrail イベント、API コールログ、 AWS Config ルール評価結果などの AWS ソースである可能性があります。または、顧客ドキュメントなどの外部ソースである場合もあります。

• Core コントロール (L5) の概念。Core コントロールは、すべてのコントロール実装 (L6)、対応する証拠ソース (L7)、関連する標準コントロール (L4)、共通コントロール (L3) を 1 つの包括的なオブジェクトに統合するマッピングレイヤーです。Core コントロールは、コントロール自体よりもマッピングドキュメントです。これは、コントロール X に関連するすべての情報を表示するという質問に答えるのに役立ちます。 各コアコントロールには、複数のコントロール実装 (L6) と複数の証拠ソース (L7) を含めることができます。