米国 OSCAL NIST CSWP 53（初期公開ドラフト）NIST OSCALの進路を示す (2025.12.02)

こんにちは、丸山満彦です。

セキュリティについての準拠性チェック（監査も含む）について、コントロールが自動化されつつある中で、準拠性チェックも自動化すればよいではないか...というのが、Open Security Controls Assessment Language (OSCAL) の考えなのですかね...

セキュリティ全体を担保する上では、コントロールの実装・運用のみならず、その保証（アシュアランス）も重要となるのですが、日本では保証（アシュアランス）の話に至る前の段階なんですかね...ISMAPも含めてこれからOSCALが重要となってくると思われるので、日本でももっと検討がすすめばよいですね...

 

● NIST - ITL

・2025.12.02 NIST CSWP 53 (Initial Public Draft) Charting the Course for NIST OSCAL

NIST CSWP 53 (Initial Public Draft) Charting the Course for NIST OSCAL	NIST CSWP 53（初期公開ドラフト）NIST OSCALの進路を示す
Announcement	発表
This paper introduces the Open Security Controls Assessment Language (OSCAL) — an open-source, machine-readable language that standardizes security documentation for better monitoring and risk management.	本稿は、監視とリスクマネジメントの改善に向けたセキュリティ文書の標準化を目的としたオープンソースの機械可読言語「オープンセキュリティ制御評価言語（OSCAL）」を紹介する。
OSCAL was developed to modernize manual, paper-based cybersecurity compliance through automated, scalable processes and continuous assessments. This draft describes OSCAL’s layered architecture, its growing global adoption, and its future integration with emerging technologies (e.g., digital twins, agentic AI) for autonomous risk reasoning and continuous assurance.	OSCALは、手動・紙ベースのサイバーセキュリティコンプライアンスを、自動化・拡張可能なプロセスと継続的アセスメントによって近代化するために開発された。本ドラフトでは、OSCALの階層型アーキテクチャ、世界的な普及の進展、自律的リスク推論と継続的保証のための新興技術（例：デジタルツイン、エージェント型AI）との将来的な統合について説明する。
Abstract	要約
This document introduces the Open Security Controls Assessment Language (OSCAL), a NIST-developed, open-source, machine-readable language that modernizes manual, paper-based cybersecurity compliance by enabling automated and scalable processes. OSCAL standardizes security documentation for easier monitoring and risk management across different tools. It can also be extended and integrated with numerous capabilities, including software supply chain standards using OSCAL SBOMs, digital twin technology and AI-driven compliance. Overall, OSCAL helps organizations improve efficiency, accuracy, and collaboration in cybersecurity.	本稿は、NISTが開発したオープンソースの機械可読言語「Open Security Controls Assessment Language（OSCAL）」を紹介する。OSCALは自動化・拡張可能なプロセスを実現することで、手作業の紙ベースのサイバーセキュリティコンプライアンスを近代化する。OSCALはセキュリティ文書を標準化し、異なるツール間での監視とリスクマネジメントを容易にする。また、OSCAL SBOMを用いたソフトウェアサプライチェーン基準、デジタルツイン技術、AI駆動型コンプライアンスなど、数多くの機能との拡張・統合が可能である。全体として、OSCALは組織のサイバーセキュリティにおける効率性、正確性、協働性の向上に寄与する。

 

 

 

・[PDF] NIST.CSWP.53.ipd

 

1. Introduction	1. 序論
2. The OSCAL Ecosystem	2. OSCALエコシステム
3. OSCAL as the Shipping Container of Cybersecurity	3. サイバーセキュリティの輸送コンテナとしてのOSCAL
3.1. OSCAL's Layered Architecture and Models	3.1. OSCALの階層型アーキテクチャとモデル
3.2. The OSCAL Advantage: Standardized Efficiency and Interoperability	3.2. OSCALの利点：標準効率性と相互運用性
4. Global Momentum and the OSCAL Foundation: Scaling the Mission	4. グローバルな勢いとOSCAL財団：ミッションの拡大
5. Beyond Control Assessments: Augmenting and Integrating Capabilities	5. 制御アセスメントを超えて：能力の拡張と統合
5.1. OSCAL and Software Bills of Materials: A Natural Fit	5.1. OSCALとソフトウェア部品表：自然な適合性
5.2. Elevating Assessment Automation: The Power of OSCAL and Emerging Technologies	5.2. 評価自動化の高度化：OSCALと新興技術の力
5.2.1. From Static Security Artifacts to Intelligent Digital Twins	5.2.1. 静的なセキュリティアーティファクトからインテリジェントなデジタルツインへ
5.2.2. Autonomous Risk Reasoning with Agentic Al	5.2.2. エージェント型AIによる自律的なリスク推論
5.2.3. Generative Al: Simulating, Predicting, and Remediating	5.2.3. 生成的AI：シミュレーション、予測、修復
5.2.4. Real-Time Feedback Loops and Continuous Assurance	5.2.4. リアルタイムフィードバックループと継続的保証
5.3. Federated and Scalable Intelligence	5.3. 連合型かつ拡張可能なインテリジェンス
6. Why You Should "OSCAL-ize" Your Data	6. データを「OSCAL化する」べき理由
6.1. Join the OSCAL Community and Transform Compliance Together	6.1. OSCALコミュニティに参加し、共にコンプライアンスを変革する
6.2. Benefits of OSCAL Adoption	6.2. OSCAL導入のメリット
7. Final Thoughts: Build the Future of Compliance with OSCAL References	7. まとめ：OSCALでコンプライアンスの未来を構築する参考文献
List of Tables	表一覧
Table 1. Alignment of OSCAL data objects with SPDX and CycloneDX	表1. OSCALデータオブジェクトとSPDXおよびCycloneDXの対応関係
List of Figures	図一覧
Fig. 1. OSCAL Ecosystem Diagram	図1. OSCALエコシステム図
Fig. 2. OSCAL Foundation contribution workflow	図2. OSCAL財団への貢献ワークフロー
Fig. 3. OSCAL component definition outline	図3. OSCALコンポーネント定義の概要
Fig 4: Digital twin-based intelligent continuous system resilience management	図4: デジタルツインベースのインテリジェント継続的システムレジリエンス管理
Fig. 5. OSCAL's continuous self-healing process	図5. OSCALの継続的自己修復プロセス

 

エコシステム

 

1. Introduction	序論
In a digital world defined by rapid cloud adoption, intricate system dependencies, and evolving threats, the traditional and proprietary methods of cybersecurity compliance methods no longer scale effectively. The burden of paper-based documentation, manual assessments, and proprietary tools limits security data portability. As systems have evolved, the complexity of this work has increased significantly, and understanding interdependencies, control inheritance, and risk mitigation across layered systems is a monumental task.	クラウドの急速な普及、複雑なシステム依存関係、進化する脅威によって特徴づけられるデジタル世界において、従来のサイバーセキュリティコンプライアンス手法や独自手法はもはや効果的に拡張できない。紙ベースの文書化、手動評価、独自ツールの負担がセキュリティデータの移植性を制限している。システムが進化するにつれ、この作業の複雑さは著しく増大し、階層化されたシステム全体における相互依存関係、制御の継承、リスク緩和を理解することは途方もない課題となっている。
To address these challenges, the National Institute of Standards and Technology (NIST) has collaborated with industry partners to develop the Open Security Controls Assessment Language (OSCAL) [1], which is an open-source, machine-readable language designed to digitize security information and support dynamic risk management. This solution supports fast, costeffective, accurate, and continuous assessments and monitoring of critical systems. It also meets the urgent need for standardized, machine-readable documentation and portable, automated compliance processes.	これらの課題に対処するため、米国国立標準技術研究所（NIST）は業界パートナーと協力し、セキュリティ情報をデジタル化し動的リスクマネジメントを支援するオープンソースの機械可読言語「Open Security Controls Assessment Language（OSCAL）」[1]を開発した。このソリューションは、重要システムの迅速・低コスト・高精度・継続的なアセスメントと監視を支援する。また、標準の機械可読文書化と、移植性のある自動化されたコンプライアンスプロセスの緊急ニーズにも応える。
Developed with flexibility and operational excellence at its core, OSCAL began as a federalfocused project but has quickly grown into a global initiative. It enables the shift from manual to machine-driven, continuous assessments for a broad range of compliance domains. OSCAL’s rapid international adoption includes collaborations with organizations from the information technology industry and span multiple vertical markets, including international governments, public sectors, and financial services. Its use cases in privacy, safety, and accessibility across a variety of regulatory frameworks highlights its groundbreaking role in advancing proactive system resilience assessments.	柔軟性と運用効率を中核に開発されたOSCALは、連邦政府向けプロジェクトとして始まったが、急速にグローバルな取り組みへと発展した。これにより、幅広いコンプライアンス領域において、手動評価から機械駆動型の継続的アセスメントへの移行が可能となる。OSCALの急速な国際的普及には、情報技術産業の組織との連携が含まれ、国際政府、公共部門、金融サービスを含む複数の垂直市場に及んでいる。様々な規制枠組みにおけるプライバシー、安全性、アクセシビリティでの活用事例は、先制的なシステムレジリエンス評価を推進する画期的な役割を浮き彫りにしている。
2. The OSCAL Ecosystem	2. OSCALエコシステム
OSCAL is a community-driven initiative to standardize and automate security assessments and risk management processes. The OSCAL ecosystem features a broad network of government agencies, private-sector vendors, open-source contributors, and standards bodies working together to advance and mature the language. This ecosystem relies on key resources in several categories, as shown in Fig. 1:	OSCALは、セキュリティ評価とリスクマネジメントプロセスの標準・自動化を目指すコミュニティ主導のイニシアチブである。OSCALエコシステムは、政府機関、民間ベンダー、オープンソース貢献者、標準団体からなる広範なネットワークを特徴とし、言語の進化と成熟化に向けて協働している。このエコシステムは、図1に示すように、いくつかのカテゴリーにおける主要リソースに依存している：
• OSCAL models/schemas [2]: Define the structure of the language, and provide a standardized framework for continuous risk management	• OSCALモデル/スキーマ[2]：言語の構造を定義し、継続的リスクマネジメントのための標準化された枠組みを提供する
• Content (OSCAL artifacts) [3]: Standardized digital representations of information that support risk management processes (e.g., requirement, controls, safeguards), including their selection, implementation, and continuous assessment	• コンテンツ（OSCALアーティファクト）[3]： リスクマネジメントプロセス（要件、統制、保護手段など）を支援する情報の標準化されたデジタル表現。これには選択、実装、継続的アセスメントが含まれる。
• Editorial tools [4]: Support the creation, editing, and management of OSCAL content	• 編集ツール [4]: OSCALコンテンツの作成、編集、管理を支援する
• GRC (governance, risk, and compliance) tools: Enable the practical application and use of OSCAL to offer a consistent format for describing security requirements	• GRC（ガバナンス、リスク、コンプライアンス）ツール: OSCALの実践的適用と利用を可能にし、セキュリティ要件を記述するための一貫したフォーマットを提供する
• Operationalized content: Automated DevOps processes, such as continuous integration and continuous deployment (CI/CD) pipelines that leverage OSCAL’s native traceability and updatability (e.g., change management through granular unique identifiers systems).	• 運用化コンテンツ：OSCALの固有のトレーサビリティと更新可能性（例：細粒度の一識別子システムによる変更管理）を活用する継続的インテグレーション／継続的展開（CI/CD）パイプラインなどの自動化されたDevOpsプロセス。
Fig. 1. OSCAL Ecosystem Diagram	図1. OSCALエコシステム図
As the official owner and primary authority responsible for OSCAL, NIST leads the development and maintenance of the OSCAL models/schemas, which form the structure of the framework. In addition, NIST produces OSCAL content, including foundational artifacts that support implementation across a variety of use cases. In Fig. 1, the darker gray boxes represent NIST’s primary responsibilities in the OSCAL ecosystem. This content is made freely available as opensource resources to promote accessibility and adoption.	OSCALの公式所有者かつ主要な責任機関として、NISTは枠組みの構造を構成するOSCALモデル/スキーマの開発と維持を主導する。さらにNISTは、様々なユースケースでの実装を支援する基盤的成果物を含むOSCALコンテンツを生産する。図1において、濃い灰色のボックスはOSCALエコシステムにおけるNISTの主要な責任範囲を示す。このコンテンツは、アクセシビリティと採用を促進するため、オープンソースリソースとして自由に利用可能である。
While NIST retains ownership and governance over OSCAL, it actively promotes a collaborative, community-driven model that encourages contributions from other organizations, including the following key stakeholders:	NISTはOSCALの所有権とガバナンスを保持しつつ、他の組織からの貢献を奨励する協働的・コミュニティ主導モデルを積極的に推進している。主なステークホルダーは以下の通りである：
• Guideline/regulatory authors: Entities responsible for creating and publishing regulatory documents, such as policies, control catalogs, profiles, baselines, and overlays. These actors define, customize, and tailor requirements and controls to guide organizations in managing cybersecurity risks.	• ガイドライン／規制策定者：ポリシー、制御カタログ、プロファイル、ベースライン、オーバーレイなどの規制文書の作成・公開を担当する事業体。これらの主体は、組織がサイバーセキュリティリスクを管理するための指針として、要件や制御を定義・カスタマイズ・適応させる。
• Security professionals: Entities responsible for documenting the implementation of requirements or controls and demonstrating their effectiveness within information systems. They ensure that safeguards (i.e., implemented controls) are properly applied and meet required standards to mitigate identified risks.	• セキュリティ専門家：要件や制御の実装を文書化し、情報システム内での有効性を実証する責任を負う事業体。識別されたリスクを緩和するため、保護手段（実装された制御）が適切に適用され、要求される標準を満たしていることを保証する。
• Assessors/auditors: Independent entities responsible for evaluating the claimed satisfaction of requirements or control implementation to determine whether systems meet the risk management objectives of system owners or authorizing officials. This role involves analyzing documentation, verifying implementation, and identifying gaps or vulnerabilities.	• 評価者／監査者：要求事項や統制実施の主張された充足度を評価し、システムがシステム所有者や認可担当者のリスク管理目標を満たしているかを判断する独立した事業体である。この役割には、文書の分析、実施状況の検証、ギャップや脆弱性の特定が含まれる。
• Tool developers: Entities that develop editorial or GRC tools that automate and streamline risk management processes to improve efficiency and precision. Such tools empower security teams to perform their tasks more effectively and at scale.	• ツール開発者：リスクマネジメントプロセスを自動化・効率化し、効率性と精度を向上させる編集ツールやGRCツールを開発する事業体である。こうしたツールはセキュリティチームが業務をより効果的かつ大規模に遂行することを可能にする。
These participants generate content, develop tools, and operationalize use across systems. Their expertise is essential to advancing the maturity of the language and preparing it for international standardization. Any proposed changes to OSCAL or OSCAL-related content must be transparently reviewed and vetted by the community before being adopted or implemented by NIST.	これらの参加者はコンテンツを生成し、ツールを開発し、システム全体での運用を実現する。彼らの専門知識は、言語の成熟度を高め、国際標準に向けた準備を進める上で不可欠である。OSCALまたはOSCAL関連コンテンツへの変更提案は、NISTによる採用または実装前に、コミュニティによる透明性のある審査と検証を経なければならない。
Two essential tool categories in the ecosystem are crucial to the success and global adoption of OSCAL: editorial tools and GRC tools. Editorial tools support the generation, editing, and management of OSCAL content. GRC tools, which can be developed by vendors, then operationalize that content by integrating it into real-world workflows, enabling automation, and supporting security assessments and compliance reporting. Without editorial tools, creating and maintaining content would not be possible. Without GRC tools, that content would remain static and unusable in practice. Together, they enable organizations to fully utilize and accomplish the benefits of security automation and standardized compliance.	OSCALの成功と世界的な普及には、エコシステム内の2つの重要なツールカテゴリーが不可欠である。編集ツールとGRCツールだ。編集ツールはOSCALコンテンツの生成、編集、管理を支援する。ベンダーが開発可能なGRCツールは、そのコンテンツを実世界のワークフローに統合し、自動化を実現し、セキュリティアセスメントやコンプライアンス報告を支援することで運用化する。編集ツールがなければ、コンテンツの作成と維持は不可能だ。GRCツールがなければ、そのコンテンツは静的なまま実運用では使えない。両者が連携することで、組織はセキュリティ自動化と標準化されたコンプライアンスの利点を最大限に活用し達成できるのだ。
The OSCAL community is also strengthened by a wide range of supporters, such as the OSCAL	OSCALコミュニティは、幅広い支援者によっても強化されている。例えば2025年1月に業界主導のコンソーシアムとして設立されたOSCAL
Foundation [5], which was established in January 2025 as an industry-led consortium. The Foundation focuses on key areas to accelerate growth, maturation, and adoption, including content generation, model maturation, and community-consensus building. Specifically, it is working to achieve six core objectives: adoption, education, community engagement, development, extension, and internationalization.	財団[5]がそれだ。同財団は成長・成熟・普及を加速する重要領域に注力している。具体的にはコンテンツ生成、モデル成熟化、コミュニティ合意形成などだ。特に以下の6つの核心目標達成に取り組んでいる：普及、教育、コミュニティ関与、開発、拡張、国際化。
3. OSCAL as the Shipping Container of Cybersecurity	3. サイバーセキュリティの輸送コンテナとしてのOSCAL
To better understand how OSCAL streamlines complex security processes, compare it to something familiar: a shipping container. Historically, transporting goods by sea was timeconsuming, extensive, and labor-intensive. The introduction of standardized shipping container sizes in 1956 dramatically changed the industry by maximizing the use of space, simplifying transfers, speeding up loading and unloading operations, and reducing shipping costs.	OSCALが複雑なセキュリティプロセスをいかに効率化するか理解するには、身近な例である輸送コンテナと比較すると良い。歴史的に、海上輸送は時間がかかり、手間がかかり、労働集約的であった。1956年に標準輸送コンテナサイズが導入されたことで、空間利用の最大化、移送の簡素化、積み下ろし作業の迅速化、輸送コストの削減が実現し、業界は劇的に変化した。
Before container standardization, every shipment required custom handling. Today, cybersecurity documentation faces a similar challenge. Documents are often created in a range of formats that require manual restructuring before being shared or reused across systems. OSCAL solves this by introducing a common, machine-readable format — just like the standardized shipping container — that makes it easier to store, transfer, and automate compliance data across platforms and organizations.	コンテナ標準化以前、各輸送には個別対応が必要だった。今日のサイバーセキュリティ文書も同様の課題に直面している。文書は多様な形式で作成されることが多く、システム間で共有・再利用する前に手作業で再構築が必要だ。OSCALは、標準化された輸送コンテナと同様に、共通の機械可読形式を導入することでこの問題を解決する。これにより、プラットフォームや組織を跨いだコンプライアンスデータの保存、転送、自動化が容易になる。
OSCAL enables:	OSCALが実現するもの：
• Vendors to document the security controls implemented in their products	• ベンダーが自社製品に実装したセキュリティ制御を文書化すること
• System owners or policy makers to define standardized “playbooks” for system components	• システム所有者や政策立案者がシステムコンポーネント向けの標準「プレイブック」を定義すること
• System owners to test, review, and provisionally authorize system components	• システム所有者がシステムコンポーネントをテスト、レビューし、暫定的に認可すること
• The reuse of authorized components across different systems	• 承認済みコンポーネントを異なるシステム間で再利用すること
• Streamlined documentation generation to automate the traditionally manual and human-intensive labor of generating system security plans (SSPs)	• 従来手作業で人的リソースを要したシステムセキュリティ計画（SSP）作成を自動化する、効率化された文書生成
OSCAL’s implementation layer divides systems into modular components that can be reassembled or evaluated based on different needs, such as functionality or role. Think of OSCAL as “documentation as code” or “compliance as code,” which is essentially the digital equivalent of standardizing shipping containers. It is designed to carry security information about controls, baselines, their implementation, and assessments, and it enables DevOps-style automation in the traditionally manual world of security governance.	OSCALの実装層は、システムをモジュール化されたコンポーネントに分割する。これらは機能や役割など、異なるニーズに基づいて再構築または評価可能だ。OSCALを「ドキュメンテーション・アズ・コード」あるいは「コンプライアンス・アズ・コード」と捉えよう。これは本質的に、標準の輸送コンテナのデジタル版に相当する。これは、制御、ベースライン、その実装、アセスメントに関するセキュリティ情報を運ぶように設計されており、従来手作業だったセキュリティガバナンスの世界にDevOpsスタイルの自動化をもたらす。
3.1. OSCAL’s Layered Architecture and Models	3.1. OSCALの階層型アーキテクチャとモデル
OSCAL is organized into multiple layers, each containing specific models that serve distinct operational purposes and roles. Each model defines structured ways to represent how data is organized, known as information structures. Together, these structures form an information model, which is bound to multiple serialization formats, such as XML, JSON, and YAML. These serialization formats represent a concrete data model that specifies how an OSCAL information model is represented. Although the syntax of each format differs, all formats for a given model represent the exact same information. This means that OSCAL content that is written in one supported format (i.e., XML, JSON, or YAML) can be translated into any of the other formats without data loss.	OSCALは複数の層で構成され、各層には特定の運用目的と役割を果たすモデルが含まれる。各モデルは、データの組織化方法を構造化して表現する方法を定義しており、これは情報構造と呼ばれる。これらの構造が集合して情報モデルを形成し、XML、JSON、YAMLなどの複数のシリアライゼーション形式に紐付けられる。これらのシリアライゼーション形式は、OSCAL情報モデルの表現方法を規定する具体的なデータモデルを表す。各形式の構文は異なるが、特定のモデルに対する全形式は全く同一の情報を表現する。これは、あるサポート形式（XML、JSON、YAML）で記述されたOSCALコンテンツが、データ損失なく他の形式へ変換可能であることを意味する。
The NIST OSCAL website offers an overview of the OSCAL project, including resources, tutorials, detailed documentation, workshops, references, downloads, and more to support users at every level. The OSCAL specification is maintained in a live versioned format.	NIST OSCALウェブサイトでは、リソース、チュートリアル、詳細なドキュメント、ワークショップ、参考文献、ダウンロードなど、あらゆるレベルのユーザーを支援するOSCALプロジェクトの概要を提供している。OSCAL仕様はライブバージョン管理形式で維持されている。
Current OSCAL layers and released models are:	現在のOSCALレイヤーと公開済みモデルは以下の通りだ：
• Control Layer	• コントロールレイヤー
o Catalog Model	o カタログモデル
o Profile Model	o プロファイルモデル
• Implementation Layer	• 実装レイヤー
o Component Definition Model	o コンポーネント定義モデル
o System Security Plan (SSP) Model	o システムセキュリティ計画（SSP）モデル
• Assessment Layer	• 評価レイヤー
o Assessment Plan Model	o 評価計画モデル
o Assessment Results Model	o 評価結果モデル
o Plan of Action and Milestones (POA&M) Model	o 行動計画とマイルストーン（POA&M）モデル
In addition to the currently released OSCAL models, NIST is working with community members to expand OSCAL’s capabilities through new models, such as the Control Mapping Model and Shared Responsibility Model.	現在公開されているOSCALモデルに加え、NISTはコミュニティメンバーと連携し、制御マッピングモデルや共有責任モデルなどの新規モデルを通じてOSCALの機能拡張を進めている。
The OSCAL schemas, which define the “language” of OSCAL, are publicly hosted on the OSCAL GitHub Repository.[1] Community members are encouraged to participate by forking the repository, making improvements, and submitting pull requests to contribute to the ongoing development of OSCAL.	OSCALの「言語」を定義するスキーマは、OSCAL GitHubリポジトリで公開されている。[1] コミュニティメンバーは、リポジトリをフォークし、改善を行い、プルリクエストを提出することで、OSCALの継続的な開発に貢献するよう奨励されている。
NIST also publishes key cybersecurity documents in OSCAL, including the Cybersecurity Framework v2.0 [6], NIST Special Publication (SP) 800-53 [7], SP 800-53B [8], and 800-53A [9], NIST Special Publication (SP) 800-171 [10] and NIST Special Publication (SP) 800-218 [11]. These OSCAL artifacts contain structured sets of requirements and are maintained on the public OSCAL Content Repository. NIST OSCAL team will continue to work on converting more NIST special publications of interest to our community.	NISTはまた、サイバーセキュリティフレームワークv2.0[6]、NIST 特別刊行物(SP)800-53[7]をOSCALで公開している。SP 800-53B [8]、800-53A [9]、NIST 特別刊行物(SP) 800-171 [10]、NIST 特別刊行物(SP) 800-218 [11]などである。これらのOSCAL成果物は構造化された要件セットを含み、公開OSCALコンテンツリポジトリで管理されている。NIST OSCALチームは、今後もコミュニティにとって有益なNIST特別刊行物の変換作業を継続する。
3.2. The OSCAL Advantage: Standardized Efficiency and Interoperability	3.2. OSCALの利点：標準化された効率性と相互運用性
By automating documentation, assessments, and risk tracking, OSCAL addresses numerous realworld challenges, including:	文書化、アセスメント、リスク追跡を自動化することで、OSCALは以下のような現実世界の課題に対処する：
• Faster, cheaper, and more accurate audits	• より迅速で、低コストかつ正確な監査
• Tool interoperability and reduced vendor lock-in	• ツール間の相互運用性とベンダーロックインの低減
• Reuse of common controls and scalability across environments	• 共通制御の再利用と環境横断的な拡張性
• Automated validation and continuous monitoring	• 自動妥当性確認と継続的モニタリング
In addition to its core capabilities, OSCAL offers an open, machine-readable set of formats in XML, JSON, and YAML that make it easier to integrate into existing workflows and empower organizations to:	中核機能に加え、OSCALはXML、JSON、YAML形式のオープンで機械可読なフォーマット群を提供し、既存ワークフローへの統合を容易にする。これにより組織は以下が可能となる：
• Digitize and automate compliance documentation	• コンプライアンス文書のデジタル化と自動化
• Accelerate audits and Authority to Operate (ATO) processes	• 監査と運用許可（ATO）プロセスの加速化
• Reduce errors and manual effort	• エラーと手作業の削減
• Improve efficiency and consistency across security and compliance activities	• セキュリティおよびコンプライアンス活動全体の効率性と一貫性の向上
OSCAL defines a comprehensive ecosystem of digital artifacts, including control catalogs and profiles, SSPs, component definitions, and assessment plans and results. This ecosystem delivers unprecedented transparency throughout the compliance life cycle and helps organizations manage and demonstrate their security posture with greater confidence and clarity.	OSCALは、制御カタログとプロファイル、SSP、コンポーネント定義、アセスメント計画と結果を含む、デジタルアーティファクトの包括的なエコシステムを定義する。このエコシステムは、コンプライアンスライフサイクル全体に前例のない透明性をもたらし、組織がより確信と明確さをもってセキュリティ態勢を管理し、実証することを支援する。
[1] Additional OSCAL-related GitHub repositories are also available on NIST’s GitHub enterprise, though they are not covered in this document.	[1] OSCAL関連の追加GitHubリポジトリはNISTのGitHubエンタープライズ上でも利用可能だが、本ドキュメントでは扱わない。

 

 

OSCALのウェブページ

・Open Security Controls Assessment Language OSCAL

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.09.15 JASA セキュリティ監査自動化に向けた現状と可能性

・2025.06.21 監査（評価）はどんどん自動化される？ CSAのAIをつかった妥当性確認 (Valid-AI-ted) (2025.06.09)

・2025.04.09 米国 一般調達局 FedRAMP 20X (2025.03.24)

・2024.07.22 米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL

・2024.04.22 内部監査人協会 意見募集 トピック別要求事項：サイバーセキュリティ (2024.04.11)/

・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)

・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”

 

 

OSCALについての日本語の参考サイト

● PwC Japan

・2025.08.06 セキュリティ監査の自動化

・2024.02.02 OSCAL：進化するサイバーセキュリティ評価と管理プロセス OSCALの概要と国際的影響

 

● NRI

・2025.09 NIST OSCALによる内部統制の効率化・高度化に期待

・・[PDF]

 

● JASA - クラウドセキュリティ推進会議

・2025.01.16 セキュリティ監査の自動化への取り組み

 

● SecureNavi

・OSCAL Lab

2024.12.30	海外から学ぶOSCALの実用事例
2024.11.14	OSCALが変えるセキュリティ評価とコンプライアンス管理の未来
2024.11.09	Google内部でOSCALがどう活用されているのか
2024.11.09	ISOなどの標準文書や規格を生成するMetanormaとは
2024.11.09	OSCALを活用し、CISやCSAのマッピングに挑む
2024.11.07	OSCALの今後のビジョンと戦略を中の人が語る
2024.11.05	はじめてのNIST OSCAL：概要と国内での必要性
2024.11.04	OSCALを巡る文化とセキュリティカルチャー
2024.11.01	セキュリティの専門家は「目立たないヒーロー」（4th OSCAL Conference 基調講演より）
2024.10.31	KPMGにおけるOSCALのユースケース
2024.10.30	AWSにおける顧客体験の重要性とOSCALの採用
2024.10.16	EUのサイバーセキュリティ認証（EUCS）におけるOSCALの活用
2024.10.14	IBMが提供するSecurity and Compliance Center(SCC)とOSCALとの関係性
2024.10.13	GitHub Actionsを利用したOSCALモデルの操作デモ
2024.10.12	OSCAL導入プロジェクトの進め方
2024.10.10	OSCALを活用した NIST SP 800-53 Rev.4 から Rev.5 への移行
2024.10.07	NIST SP800-53の進化（Rev6を見据えて）
2024.10.05	OSCALを活用したFedRAMP自動化の背後にある技術
2024.10.03	爆発的な技術革新とOSCALの進化（3th OSCAL Workshop 基調講演より）

 

・Note

・・2021.11.04 NISTが開発する、セキュリティ対策をJSON等で記述する技術「OSCAL」とはなにか