CMMC レベル 1 コントロールを構成する
Microsoft Entra ID では、各 Cybersecurity Maturity Model Certification (CMMC) レベルで ID 関連のプラクティス要件を満たします。 CMMC の要件に準拠するために、米国国防総省 (DoD) と協力して、および代理として、他の構成またはプロセスを実行することは、企業の責任です。 CMMC レベル 1 には、ID に関連する 1 つまたは複数のプラクティスを含む 3 つのドメインがあります。
- アクセスの制御 (AC)
- 識別と認証 (IA)
- システムと情報の整合性 (SI)
詳細情報:
- DoD CMMC Web サイト - Office of the Under Secretary of Defense for Acquisition Sustainment Cybersecurity Maturity Model Certification
- Microsoft ダウンロード センター - CMMC レベル 3 用の Microsoft Product Placemat (プレビュー)
このコンテンツの残りの部分は、ドメインおよび関連するプラクティス別に整理されています。 ドメインごとに、プラクティスを実行するためのステップバイステップのガイダンスを提供するコンテンツへのリンクを含む表があります。
アクセス制御ドメイン
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| AC.L1-3.1.1 実施規定: 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、またはデバイス (他の情報システムを含む) に制限する。 目標: 次を確認します。 [a.] 許可されているユーザーが識別されている。 [b.] 許可されているユーザーの代わりに動作するプロセスが識別されている。 [c.] システムへの接続が許可されているデバイス (およびその他のシステム) が識別されている。 [d.] システム アクセスが、許可されているユーザーに限定されている。 [e.] システム アクセスが、許可されているユーザーの代わりに動作するプロセスに限定されている。 [f.] システム アクセスが、許可されたデバイス (他のシステムを含む) に限定されている。 |
外部人事システム、オンプレミスの Active Directory、またはクラウド内で直接実行される Microsoft Entra アカウントの設定は、ユーザーの役割です。 既知の (登録済みまたはマネージド) デバイスからのアクセスのみを許可するように、条件付きアクセスを構成します。 さらに、アプリケーションのアクセス許可を付与するときは、最小特権の概念を適用します。 可能な場合は、委任されたアクセス許可を使用します。 ユーザーを設定する デバイスのセットアップ アプリケーションの構成 条件付きアクセス |
| AC.L1-3.1.2 実施規定: 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 目標: 次を確認します。 [a.] 許可されているユーザーに実行が許可されているトランザクションおよび機能の種類が定義されている [b.] システム アクセスが、許可されているユーザーに定義されたトランザクションと機能の種類に制限されている。 |
お客様は組み込みまたはカスタムのロールを使用したロールベースのアクセス制御 (RBAC) などのアクセス制御を構成する責任があります。 ロールを割り当て可能なグループを使用して、同じアクセス権を必要とする複数のユーザーに対するロールの割り当てを管理します。 既定またはカスタムのセキュリティ属性を使用して属性ベースのアクセス制御 (ABAC) を構成します。 目的は Microsoft Entra ID で保護されているリソースへのアクセスをきめ細かく制御することです。 RBAC を設定する ABAC を設定する ロールの割り当てのためにグループを構成する |
| AC.L1-3.1.20 実施規定: 外部情報システムへの接続と使用を検証し、制御および制限する。 目標: 次を確認します。 [a.] 外部システムへの接続が識別されている。 [b.] 外部システムの使用が識別されている。 [c.] 外部システムへの接続が検証されている。 [d.] 外部システムの使用が検証されている。 [e.] 外部システムへの接続が制御または制限されている。 [f.] 外部システムの使用が制御または制限されている。 |
お客様は外部システムの接続と使用を制御または制限するために、デバイス制御やネットワークの場所を使用して条件付きアクセス ポリシーを構成する責任があります。 外部システムを使用したアクセスに関するご契約条件に対して記録されたユーザー確認について、使用条件 (TOU) を構成します。 必要に応じて条件付きアクセスを設定する 条件付きアクセスを使用してアクセスをブロックする 使用条件を構成する |
| AC.L1-3.1.22 実施規定: 公的にアクセス可能な情報システムで掲載または処理される情報を制御する。 目標: 次を確認します。 [a.] 公的にアクセス可能なシステムで、情報を投稿または処理する権限を持つ個人が識別されている。 [b.] 公的にアクセス可能なシステムに FCI が投稿または処理されないようにするための手順が識別されている。 [c.] 公的にアクセス可能なシステムにコンテンツが投稿される前に、レビュー プロセスが用意されている。 [d.] パブリックにアクセス可能なシステム上のコンテンツは、連邦契約情報 (FCI) が含まれていないようにするためにレビューされている。 |
お客様は Privileged Identity Management (PIM) を構成してシステムへのアクセスを管理する責任があります。ここでは、投稿された情報はパブリックにアクセス可能であるとします。 PIM でロールを割り当てる前に、正当な理由での承認を要求してください。 システムに対して使用条件 (TOU) を構成します。ここでは、投稿される情報は、パブリックにアクセス可能な情報を投稿することに関するご契約条件に対して確認が記録されている場合、パブリックにアクセス可能であるとします。 PIM のデプロイを計画する 使用条件を構成する |
識別と認証 (IA) ドメイン
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| IA.L1-3.5.1 実施規定: 情報システム ユーザー、ユーザーの代わりに動作するプロセス、またはデバイスを識別する。 目標: 次を確認します。 [a.] システム ユーザーが識別されている。 [b.] ユーザーの代わりに動作するプロセスが識別されている。 [c.] システムにアクセスするデバイスが識別されている。 |
Microsoft Entra ID は、それぞれのディレクトリ オブジェクトの ID プロパティを使用して、ユーザー、プロセス (サービス プリンシパル/ワークロード ID)、およびデバイスを一意に識別します。 次のリンクを使用して、評価に役立つログ ファイルをフィルター処理できます。 評価の目標を達成するには、次のリファレンスを使用してください。 ユーザー プロパティによるログのフィルター処理 サービス プロパティによるログのフィルター処理 デバイスのプロパティによるログのフィルター処理 |
| IA.L1-3.5.2 実施規定: 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 目標: 次を確認します。 [a.] 各ユーザーの ID は、システム アクセスの前提条件として認証または検証されている。 [b.] ユーザーの代わりに動作する各プロセスの ID は、システム アクセスの前提条件として認証または検証されている。 [c.] システムにアクセスまたは接続する各デバイスの ID は、システム アクセスの前提条件として認証または検証されている。 |
Microsoft Entra ID では、システム アクセスの前提条件として、各ユーザー、ユーザーに代わって動作するプロセス、またはデバイスを一意に認証または検証します。 評価の目標を達成するには、次のリファレンスを使用してください。 ユーザー アカウントをセットアップする NIST 認証システムの保証レベルを満たすように Microsoft Entra ID を構成する サービス プリンシパル アカウントを設定する デバイス アカウントを設定する |
システムと情報の整合性 (SI) ドメイン
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| SI.L1-3.14.1 - 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 SI.L1-3.14.2 - 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 SI.L1-3.14.4 - 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 SI.L1-3.14.5 - 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 |
レガシ マネージド デバイス用の統合ガイダンス Microsoft Entra ハイブリッド参加済みデバイスを要求するように条件付きアクセスを構成します。 オンプレミス AD に参加しているデバイスの場合、これらのデバイスに対する統制は、Configuration Manager などの管理ソリューションやグループ ポリシー (GP) を使用して適用されると想定されます。 これらの方法のいずれかがデバイスに適用されているかどうかを Microsoft Entra ID で判断する方法がないため、Microsoft Entra ハイブリッド参加済みデバイスを要求することは、マネージド デバイスを要求するための比較的弱いメカニズムです。 そのデバイスが Microsoft Entra ハイブリッド参加済みデバイスでもある場合は、管理者はオンプレミスのドメイン参加済みデバイスに適用されている方法がマネージド デバイスを構成するのに十分に強いかどうかを判断します。 クラウド管理 (または共同管理) デバイス用の統合ガイダンス デバイスが準拠しているとマークされることを要求するように条件付きアクセスを構成します。これはマネージド デバイスを要求するための最も厳密な形式です。 このオプションでは、Microsoft Entra ID へのデバイス登録が必要で、Microsoft Entra 統合を介して Windows 10 デバイスを管理する Intune またはサードパーティ製モバイル デバイス管理 (MDM) システムによって準拠として指定する必要があります。 |