コンプライアンス
同じトレーニングデータに対する2つの並行したカバレッジビュー。OWASPビューは、4つのOWASP Top 10ファミリーに対して労働力をスコアします。規制ビューは、各コントロールを基礎となるCWEにマッピングすることで、外部基準 (PCI DSS、ISO/IEC 27001、SOC 2) に対して同じトレーニングをスコアします。
場所
サイドバー → 概要セクションの下のコンプライアンス、/organization/complianceにあります。ページの上部に2つのタブがあります: OWASPと規制。両方のタブは同じ基礎となる計算エンジンを共有しています。表示されるフレームワークセットが異なるだけです。
カバレッジの計算方法
対象ユーザーは、ロールがorg_adminでないすべてのアクティブな組織メンバーです。ユーザーは、過去期間 (365日) 以内にスコア ≥ 合格スコア (70) の練習試行が少なくとも1回あれば、トピックでトレーニング済みとしてカウントされます。リスク項目 — OWASPモジュールまたは規制コントロール — は、それでトレーニングされた対象ユーザーの割合が組織のカバレッジしきい値 (デフォルトは80%、組織設定で50から100の間で構成可能) を超えるとステータスcoveredに切り替わります。
まだ配信コンテンツがないリスク項目 (トレーニングトピックがまだないCWEにマッピング) は、労働力に対してスコアするのではなく既知のギャップとして表示されるようにステータスno-contentを報告します。
OWASPタブ
ファミリーごとに1つのパネル — Web、API、モバイル、クライアントサイド。各パネルは、上部にフレームワークの全体的なカバレッジパーセンテージと平均スコアを表示し、その下にモジュールごとの内訳 (ステータス (covered / partial / no-activity / no-content)、トレーニング済みユーザー数、平均スコア) があります。モジュールをクリックして、その構成トピックと各トピックが対処するCWEに掘り下げます。
規制タブ
現在3つのフレームワークが提供されています: PCI DSS v4.0要件6 (セキュアシステムとソフトウェア)、ISO/IEC 27001:2022 Annex Aセキュア開発コントロール、SOC 2 Trust Services Criteria (TSC 2017)。各フレームワークは基礎となるコントロールに展開されます。各コントロールは、トレーニングトピックをマッピングするために使用されるCWEセットをリストし、エビデンスパックに直接コピーできるフレームワークごとのカバレッジパーセンテージにロールアップします。
エビデンスPDF
どちらのタブでもエビデンスPDFをダウンロードをクリックして、フレームワークスコープのPDFを生成します。規制タブでは、特定のフレームワークを選択して、そのフレームワークのコントロールのみを含むPDFを作成することもできます — 監査員のリクエストが狭い場合 (「PCI 6.2.4のエビデンスをお願いします」) で、より広いカバレッジレポートを引き渡したくない場合に便利です。
プログラム的アクセス
同じ数値が機械可読: API → コンプライアンスを参照。一般的な自動化には、フレームワークごとのカバレッジをGRCダッシュボードに同期する、コントロールのカバレッジがしきい値を下回ったときに警告する、モジュールごとの内訳をスプリント計画ツールに供給して修復トレーニング課題を自動作成する、などがあります。