コンテンツへスキップ

プロダクト · コンプライアンス証跡

各フレームワークにマッピング された、コントロールの状態と証跡

Module XIII は、すでに記録されている活動を読み取り、EU AI Act、NIST AI RMF、ISO/IEC 42001 といったフレームワークごとにコントロール単位の状態へとマッピングします。そして、その証跡を追記専用でハッシュチェーン化された台帳に封印します。これは監査人に提示できるコントロールの状態と証跡であり、当社が発行する認証ではありません。

セルフホストで始める 仕組みを見る

プロダクトの画面

コンプライアンスコンソール

実際のスクリーンショット、サンプルデータです。各フレームワークにわたるコントロール単位の状態、ひと目で把握できるカバレッジ、ケイパビリティから証跡へのマップ、そして台帳にアンカーされた封印済みの証跡パッケージを表示します。すべてのレポートには、これは認証ではなくコントロールの状態と証跡である旨の注記が記載されます。

実際のスクリーンショット
Olivares コンプライアンスコンソール:satisfied、by_design、partial、gap、unmapped の状態を持つ、各フレームワークにわたるコントロール単位の状態。カバレッジサマリー、ケイパビリティから証跡へのマップ、封印済みの証跡パッケージを、サンプルデータで表示。

生成される成果物

活動から、監査人が読める証跡へ

4 つの成果物。それぞれが台帳に実際に記録された内容に基づき、いずれも正直にラベル付けされています。

合否バッジではなく、コントロール単位の状態

すべてのコントロールは、satisfied、by_design、partial、gap、unmapped の 5 つの状態のいずれかに解決されます。「satisfied」は実際の運用テレメトリーに裏付けられ、「by_design」はまだテレメトリーのない設計上の保証です。当社はこの 2 つを決して同一視しません。設計上の約束は、運用された証跡ではないからです。

ギャップ分析とケイパビリティマップ

ギャップ分析は、特定のコントロールに対して不足しているケイパビリティを明示します。ケイパビリティから証跡へのマップは、どのケイパビリティがどの証跡を生み出すかを示します。フレームワーク横断のサマリーがこれらを集約し、1 つのコントロールで複数のフレームワークに同時に対応します。

封印された証跡パッケージ

証跡は、追記専用でハッシュチェーン化された台帳にアンカーされた封印済みパッケージとしてエクスポートされます。これにより、提出する内容の完全性を検証でき、後からの編集はチェーンを破壊します。証跡は台帳に帰属するものであり、当社が信頼を求める書類ではありません。

エージェントのリスク分類とデータ所在地

各エージェントは EU AI Act のリスク区分に対して分類され、NIST AI RMF にクロスマッピングされるとともに、データ所在地の証明が付与されます。リスク区分と所在地は証跡の入力情報です。これらはコントロールの状態に反映されますが、結果を認証するものではありません。

仕組み

活動が、マッピングされ封印された証跡になる

活動の台帳がコントロールマッパーに供給され、各コントロールを状態へと解決します。その結果は、各フレームワークにマッピングされた証跡パックとしてエクスポートされます。テレメトリーによって satisfied とされるものと by_design であるものは、別個の状態として描かれ、単一の緑のチェックにまとめられることはありません。

図:活動の台帳 → コントロールマッパー → 証跡パック。EU AI Act、NIST AI RMF、ISO 42001、SOC 2 といったフレームワークにマッピング。
証跡は、追記専用でハッシュチェーン化された台帳に封印されます。その完全性は検証可能であり、後からの編集はチェーンを破壊します。

実際のもの

コントロールの状態と証跡は稼働中です。認証はお客様が取得を進めるものです

この点について、言葉が法的な重みを持つため、当社は正確に表現します:

  • 安定したコントラクト上で稼働中:コントロール単位の状態、ギャップ分析、ケイパビリティから証跡へのマップ、フレームワーク横断のサマリー、封印済みの証跡パッケージ、エージェントのリスク分類、データ所在地の証明。
  • 確立された 6 つのフレームワーク群がマッピングされています — EU AI Act、NIST AI RMF、ISO/IEC 42001、SOC 2、ISO/IEC 27001、GDPR。さらにいくつかの参照先は設計上で目標とするのみです — OWASP Agentic、CSA MAESTRO、CISA Five-Eyes のエージェント関連ガイダンス、NIST のオーバーレイ — これらには適合の主張はありません。設計はこれらを追跡しますが、適合を主張するものではありません。
  • 認証ではありません。Olivares はプレリリースであり、SOC 2、ISO、EU AI Act の認証を取得していません。本モジュールは、お客様が取得を進める認証を支えるコントロールの状態と証跡を提供します。認証を発行するものではなく、認証がないことが v1 を妨げることもありません。すべてのレポートにこの旨が明記されます。

コンプライアンス証跡 — よくある質問

これによって当社はコンプライアンスを満たした、あるいは認証された状態になりますか?

いいえ。そして当社はそう主張しません。Module XIII はコントロールの状態と証跡を生成します。各フレームワークにわたるコントロール単位の状態に加え、監査人が読める封印済みの証跡パッケージです。SOC 2、ISO、EU AI Act に対する認証は、認証機関とともにお客様が進めるプロセスです。Olivares 自体はプレリリースであり、認証を取得していません。すべてのレポートにその注記が記載されます。

「satisfied」と「by_design」の違いは何ですか?

「satisfied」は、コントロールが実際の運用テレメトリーに裏付けられていることを意味します。それを実証する活動が台帳に記録されているということです。「by_design」は、アーキテクチャがそのコントロールを保証するものの、まだテレメトリーがそれを実行していないことを意味します。これらは意図的に別個の状態とされています。設計上の約束は、何かが実際に動いた証跡とは同じではないからです。その他の状態は partial、gap、unmapped です。

実際にマッピングされているフレームワークはどれですか?

確立された 6 つのフレームワーク群です:EU AI Act、NIST AI RMF、ISO/IEC 42001、SOC 2、ISO/IEC 27001、GDPR。これらに加えて、設計はいくつかの最終版でない参照先を追跡しています — OWASP Agentic、CSA MAESTRO、CISA Five-Eyes のエージェント関連ガイダンス、NIST のオーバーレイ。これらは設計上で目標とするものとラベル付けし、適合の主張は一切行いません。

証跡パッケージがエクスポート後に編集されていないことを、どうすれば確認できますか?

各パッケージは封印され、追記専用でハッシュチェーン化された台帳にアンカーされます。完全性はチェーンに対して検証可能であるため、証跡 — あるいはその背後にある活動 — への後からの編集はハッシュを破壊し、明らかになります。信頼は台帳にあり、当社が鵜呑みにするよう求める PDF にあるのではありません。

監査人に、主張ではなく証跡を渡す

Olivares をお客様自身のインフラにデプロイし、活動を各フレームワークにわたるコントロール単位の状態へとマッピングし、台帳にアンカーされた封印済みの証跡をエクスポートします。

セルフホストで始める アクセスマップを見る