CMMC レベル 2 を満たすために Microsoft Entra ID を構成する
Microsoft Entra ID は、各 Cybersecurity Maturity Model Certification (CMMC) レベルで ID 関連の実施要件を満たすのに役立ちます。 CMMC V2.0 レベル 2 の要件に準拠するために、米国国防総省 (DoD) と協力して、および代理として、他の構成やプロセスを実行することは、企業の責任です。
CMMC レベル 2 には、ID に関連する 1 つ以上のプラクティスを含む 13 のドメインがあります。
- アクセスの制御 (AC)
- 監査とアカウンタビリティ (AU)
- 構成管理 (CM)
- 識別と認証 (IA)
- インシデント対応 (IR)
- メンテナンス (MA)
- メディア保護 (MP)
- 人的セキュリティ (PS)
- 物理的保護 (PE)
- リスク評価 (RA)
- セキュリティ評価 (CA)
- システムと通信の保護 (SC)
- システムと情報の整合性 (SI)
この記事の残りの部分では、他の記事で取り上げているアクセス制御 (AC) および識別と認証 (IA) を除くすべてのドメインに関するガイダンスを提供します。 ドメインごとに、プラクティスを実行するためのステップバイステップのガイダンスを提供するコンテンツへのリンクを含む表があります。
監査とアカウンタビリティ
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| AU.L2-3.3.1 実施規定: 違法なまたは許可されていないシステム アクティビティの監視、分析、調査、報告を可能にするために、システム監査ログとレコードを作成および保持します。 目標: 次を確認します。 [a.] 違法なまたは許可されていないシステム アクティビティの監視、分析、調査、報告を可能にするために、監査ログが指定されていること。 [b.] 違法または許可されていないシステム アクティビティの監視、分析、調査、報告をサポートするために必要な監査レコードの内容が定義されていること。 [c.] 監査レコードが作成 (生成) されること。 [d.] 作成された監査レコードに、定義された内容が含められること。 [e.] 監査レコードの保持要件が定義されていること。 [f.] 監査レコードが定義どおりに保持されること。 AU.L2-3.3.2 実施規定: 個々のシステム ユーザーの行動が、そのユーザーに対して一意に追跡可能であり、ユーザーが自らの行動に説明責任を負うことができるようにします。 目標: 次を確認します。 [a.] ユーザーに対してその行動を一意に追跡する機能をサポートするために必要な監査レコードの内容が定義されていること。 [b.] 作成された監査レコードに、定義された内容が含まれること。 |
すべての操作は、Microsoft Entra 監査ログ内で監査されます。 各監査ログ エントリには、各アクションに対して個々のシステム ユーザーを一意にトレースするために使用できる、ユーザーの不変 objectID が含まれています。 Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ソリューションを使用して、ログを収集および分析できます。 または、Azure Event Hubs を使用して、ログをサード パーティ製の SIEM ソリューションと統合し、監視と通知を有効にすることもできます。 Azure portal でアクティビティ レポートを監査する Microsoft Entra データを Microsoft Sentinel に接続する チュートリアル: ログを Azure イベント ハブにストリーム配信する |
| AU.L2-3.3.4 実施規定: 監査ログ プロセスが失敗した場合にアラートを生成します。 目標: 次を確認します。 [a.] 監査ログ プロセス エラーが特定された場合にアラートを受け取る担当者またはロール。 [b.] アラートが生成される監査ログ プロセス エラーの種類が定義されていること。 [c] 特定された担当者またはロールが、監査ログ プロセス エラーが発生した場合に警告されること。 |
Azure Service Health では、ダウンタイムを短縮する処置を取れるように、Azure サービス インシデントについて通知されます。 Microsoft Entra ID のカスタマイズ可能なクラウド アラートを構成します。 Azure Service Health とは Azure サービスの問題に関する通知を受け取る 3 つの方法 Azure Service Health |
| AU.L2-3.3.6 実施規定: オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供します。 目標: 次を確認します。 [a.] オンデマンド分析をサポートする監査レコード削減機能が提供されていること。 [b.] オンデマンド レポートをサポートするレポート生成機能が用意されていること。 |
Microsoft Entra イベントがイベント ログ戦略に含まれていることを確認します。 Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ソリューションを使用して、ログを収集および分析できます。 または、Azure Event Hubs を使用して、ログをサード パーティ製の SIEM ソリューションと統合し、監視と通知を有効にすることもできます。 アクセス レビューで Microsoft Entra のエンタイトルメント管理を使用して、アカウントのコンプライアンス対応状態を確認します。 Azure portal でアクティビティ レポートを監査する Microsoft Entra データを Microsoft Sentinel に接続する チュートリアル: ログを Azure イベント ハブにストリーム配信する |
| AU.L2-3.3.8 実施規定: 監査情報と監査ログ ツールを、許可されていないアクセス、修正、削除から保護します。 目標: 次を確認します。 [a.] 監査情報が許可されていないアクセスから保護されること。 [b.] 監査情報が許可されていない修正から保護されること。 [c.] 監査情報が許可されていない削除から保護されること。 [d.] 監査ログ ツールが、許可されていないアクセスから保護されること。 [e.] 監査ログ ツールが、許可されていない修正から保護されること。 [f.] 監査ログ ツールが、許可されていない削除から保護されること。 AU.L2-3.3.9 実施規定: 監査ログ機能の管理を特権ユーザーの一部に限定します。 目標: 次を確認します。 [a.] 監査ログ機能を管理するためのアクセス権を付与された特権ユーザーのサブセットが定義されていること。 [b.] 監査ログ機能の管理が、特権ユーザーの定義されたサブセットに限定されていること。 |
Microsoft Entra ログは、既定で 30 日間保持されます。 これらのログは変更や削除ができず、限定された特権ロールのセットからのみアクセスできます。 Microsoft Entra ID のサインイン ログ Microsoft Entra ID の監査ログ |
構成管理 (CM)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| CM.L2-3.4.2 実施規定: 組織のシステムで採用された情報技術製品のセキュリティ構成の設定を確立および適用します。 目標: 次を確認します。 [a.] システムで採用された情報技術製品のセキュリティ構成の設定が確立され、ベースライン構成に含まれていること。 [b.] システムで採用された情報技術製品のセキュリティ構成の設定が適用されていること。 |
ゼロトラスト セキュリティ体制を採用します。 条件付きアクセス ポリシーを使用して、準拠デバイスへのアクセスを制限します。 Microsoft Intune などの MDM ソリューションを使用して、デバイスにセキュリティ構成設定を適用するために、デバイスでポリシー設定を構成します。 ハイブリッド デプロイでは、Microsoft Configuration Manager またはグループ ポリシー オブジェクトも考慮でき、条件付きアクセスと組み合わせる場合、Microsoft Entra ハイブリッドに参加しているデバイスが必要です。 ゼロトラスト ゼロ トラストによる ID のセキュリティ保護 条件付きアクセス Microsoft Entra ID の条件付きアクセスとは 条件付きアクセス ポリシーでの許可の制御 デバイスのポリシー Microsoft Intune とは Defender for Cloud Apps とは Microsoft Intune でのアプリの管理とは Microsoft のエンドポイント管理ソリューション |
| CM.L2-3.4.5 実施規定: 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用します。 目標: 次を確認します。 [a.] システムの変更に関連する物理的アクセス制限が定義されていること。 [b.] システムの変更に関連する物理的アクセス制限が文書化されていること。 [c.] システムの変更に関連する物理的アクセス制限が承認されていること。 [d.] システムの変更に関連する物理的アクセス制限が適用されていること。 [e.] システムの変更に関連する論理的アクセス制限が定義されていること。 [f.] システムの変更に関連する論理的アクセス制限が文書化されていること。 [g.] システムの変更に関連する論理的アクセス制限が承認されていること。 [h.] システムの変更に関連する論理的アクセス制限が適用されていること。 |
Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 ユーザーは、Microsoft Entra データセンターに物理的にアクセスできません。 そのため、各物理アクセス制限は、Microsoft によって実現され、Microsoft Entra ID の顧客に継承されます。 Microsoft Entra のロールベースのアクセス制御を実装します。 永続的な特権アクセスを排除し、Privileged Identity Management を使用した承認ワークフローによるジャストインタイム アクセスを提供します。 Microsoft Entra ロール ベースのアクセス制御 (RBAC) の概要 Privileged Identity Management とは? PIM での Microsoft Entra ロールの要求を承認する |
| CM.L2-3.4.6 実施規定: 必須の機能のみを提供するように組織のシステムを構成することにより、最小の機能の原則を採用します。 目標: 次を確認します。 [a.] 必須のシステム機能が、最小限の機能の原則に基づいて定義されていること。 [b.] システムが、定義された必須の機能のみを提供するように構成されていること。 |
デバイス管理ソリューション (Microsoft Intune など) を構成して、組織のシステムに適用されるカスタム セキュリティ ベースラインを実装し、重要でないアプリケーションを削除し、不要なサービスを無効にします。 システムを効率的に動作させるために必要な最少の機能だけ残します。 条件付きアクセスを構成して、準拠または Microsoft Entra ハイブリッド参加済みデバイスへのアクセスを制限します。 Microsoft Intune とは デバイスは準拠としてマーク済みである必要があります 条件付きアクセス ポリシーの許可コントロール - Microsoft Entra ハイブリッド参加済みデバイスが必要 |
| CM.L2-3.4.7 実施規定: 必須でないプログラム、機能、ポート、プロトコル、サービスの使用を制限、無効化、または防止します。 目標: 次を確認します。 [a.] 必須のプログラムが定義されていること。 [b.] 必須でないプログラムの使用が定義されていること。 [c.] 必須でないプログラムの使用が、定義されているとおりに制限、無効化、または防止されていること。 [d.] 必須の機能が定義されていること。 [e.] 必須でない機能の使用が定義されていること。 [f.] 必須でない機能の使用が、定義されているとおりに制限、無効化、または防止されていること。 [g.] 必須のポートが定義されていること。 [h.] 必須でないポートの使用が定義されていること。 [i.] 必須でないポートの使用が、定義されているとおりに制限、無効化、または防止されていること。 [j.] 必須のプロトコルが定義されていること。 [k.] 必須でないプロトコルの使用が定義されていること。 [l.] 必須でないプロトコルの使用が、定義されているとおりに制限、無効化、または防止されていること。 [m.] 必須のサービスが定義されていること。 [n.] 必須でないサービスの使用が定義されていること。 [o.] 必須でないサービスの使用が、定義されているとおりに制限、無効化、または防止されていること。 |
アプリケーション管理者ロールを使用して、重要なアプリケーションの認可された使用を委任します。 アプリ ロールまたはグループ要求を使用して、アプリケーション内の最小特権アクセスを管理します。 管理者の承認を必要とし、グループ所有者の同意を許可しないユーザーの同意を構成します。 ユーザーが管理者の同意を必要とするアプリケーションへのアクセスを要求できるように、管理者同意要求ワークフローを構成します。 Microsoft Defender for Cloud Apps を使用して、承認されていない、または不明なアプリケーションの使用を特定します。 このテレメトリを使用して、重要なアプリまたは重要でないアプリを決定します。 Microsoft Entra 組み込みロール - アプリケーション管理者 Microsoft Entra アプリ ロール - アプリ ロールとグループ ユーザーがアプリケーションに同意する方法を構成する グループ データにアクセスするアプリに対するグループ所有者の同意を構成する 管理者の同意ワークフローの構成 Defender for Cloud Apps とは シャドウ IT の検出と管理を行うためのチュートリアル |
| CM.L2-3.4.8 実施規定: "例外による拒否" (ブロックリスト登録) ポリシーを適用して許可されていないソフトウェアの使用を防止するか、"すべて拒否、例外による許可" (許可リスト登録) ポリシーを適用して許可されたソフトウェアの実行を許可します。 目標: 次を確認します。 [a.] 許可リストまたはブロックリストを実装するかどうかを指定するポリシーが指定されていること。 [b.] 許可リストで実行できるソフトウェア、またはブロックリストで使用を拒否されたソフトウェアが指定されていること。 [c.] 許可されたソフトウェアの実行を許可する許可リスト、または許可されていないソフトウェアの使用を防止するブロックリストが、指定どおりに実装されていること。 CM.L2-3.4.9 実施規定: ユーザーによってインストールされたソフトウェアを制御および監視します。 目標: 次を確認します。 [a.] ユーザーによるソフトウェアのインストールを制御するためのポリシーが確立されていること。 [b.] ユーザーによるソフトウェアのインストールが、確立されたポリシーに基づいて制御されること。 [c.] ユーザーによるソフトウェアのインストールが監視されること。 |
未承認のソフトウェアの使用を防ぐために、MDM または構成管理ポリシーを構成します。 MDM または構成管理ポリシーによるデバイス コンプライアンスを、条件付きアクセス認可の決定に組み込むために、準拠またはハイブリッド参加済みデバイスを必要とする条件付きアクセス許可制御を構成します。 Microsoft Intune とは 条件付きアクセス - 準拠しているデバイスまたはハイブリッド参加済みのデバイスが必要 |
インシデント対応 (IR)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| IR.L2-3.6.1 実施規定: 準備、検出、分析、包含、回復、ユーザー対応を含め、組織のシステムに運用のインシデント処理機能を確立します。 目標: 次を確認します。 [a.] 運用インシデント処理機能が確立されていること。 [b.] 運用インシデント処理機能に準備が含まれていること。 [c.] 運用インシデント処理機能に検出が含まれていること。 [d.] 運用インシデント処理機能に分析が含まれていること。 [e.] 運用インシデント処理機能に包含が含まれていること。 [f.] 運用インシデント処理機能に回復が含まれていること。 [g.] 運用インシデント処理機能には、ユーザー対応が含まれていること。 |
インシデントの処理と監視の機能を実装します。 監査ログには、構成の変更がすべて記録されます。 認証および認可イベントはサインイン ログ内で監査され、検出されたリスクがあれば Identity Protection ログで監査されます。 これらのログはそれぞれ、Microsoft Sentinel などの SIEM ソリューションに直接ストリーム配信することができます。 または、Azure Event Hubs を使用して、ログをサードパーティ製の SIEM ソリューションと統合します。 イベントを監査する Azure portal でアクティビティ レポートを監査する Azure portal でのサインイン アクティビティ レポート 方法: リスクの調査 SIEM の統合 Microsoft Sentinel: Microsoft Entra ID のデータを接続するAzure イベント ハブやその他の SIEM へのストリーミング |
メンテナンス (MA)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| MA.L2-3.7.5 実施規定: 外部ネットワーク接続を介した非ローカル メンテナンス セッションの確立に多要素認証を要求し、非ローカル メンテナンスの完了時にその接続を終了します。 目標: 次を確認します。 [a.] 外部ネットワーク接続を介して非ローカル メンテナンス セッションを確立に多要素認証が使用されること。 [b.] 外部ネットワーク接続を介して確立された非ローカル メンテナンス セッションが、非ローカル メンテナンスの完了時に終了すること。 |
管理者権限が割り当てられたアカウントは、ローカル以外のメンテナンス セッションを確立するために使用されるアカウントを含め、攻撃者の標的になります。 これらのアカウントに対して多要素認証 (MFA) を必須にすることは、これらのアカウントが侵害されるリスクを軽減する簡単な方法です。 条件付きアクセス - すべての管理者に対して MFA を必須にする |
| MP.L2-3.8.7 実施規定: システム コンポーネントでのリムーバブル メディアの使用を制御します。 目標: 次を確認します。 [a.] システム コンポーネントでのリムーバブル メディアの使用が制御されること。 |
MDM (Microsoft Intune など)、Configuration Manager、またはグループ ポリシー オブジェクト (GPO) を使用して、デバイス管理ポリシーを構成し、システム上のリムーバブル メディアの使用を制御します。 Intune、Configuration Manager またはグループ ポリシーを使用して、リムーバブル記憶域のアクセス制御をデプロイおよび管理します。 デバイスのコンプライアンスを適用するように、条件付きアクセス ポリシーを構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります Microsoft Entra ハイブリッド参加済みデバイスが必要 Intune Microsoft Intune のデバイス コンプライアンス ポリシー リムーバブル記憶域のアクセス制御 Intune を使用してリムーバブル記憶域のアクセス制御をデプロイおよび管理する グループ ポリシーを使用してリムーバブル記憶域のアクセス制御をデプロイおよび管理する |
人的セキュリティ (PS)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| PS.L2-3.9.2 実施規定: 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにします。 目標: 次を確認します。 [a.] システム アクセスを終了するためのポリシーおよび/またはプロセスと、人事措置と同期する資格情報が確立されていること。 [b.] システム アクセスと資格情報が、退職や異動などの人事措置と同期して終了されること。 [c] システムが、人事異動措置の最中および後に保護されること。 |
外部人事システムから、オンプレミスの Active Directory から、またはクラウド内で直接、Microsoft Entra ID のアカウントのプロビジョニング (離職時の無効化を含む) を構成します。 既存のセッションを取り消して、すべてのシステム アクセスを終了します。 アカウント プロビジョニング Microsoft Entra ID を使った ID プロビジョニングとは Microsoft Entra Connect Sync: 同期を理解してカスタマイズする Microsoft Entra Connect クラウド同期とは 関連付けられているすべての認証子を取り消します Microsoft Entra ID で緊急時にユーザー アクセスを取り消す |
システムと通信の保護 (SC)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| SC.L2-3.13.3 実施規定: システム管理機能からユーザー機能を分離します。 目標: 次を確認します。 [a.] ユーザー機能が識別されていること。 [b.] システム管理機能が識別されていること。 [c.] ユーザー機能がシステム管理機能から分離されていること。 |
Microsoft Entra ID で、日常の生産での使用と管理またはシステム/特権管理用に、個別のユーザー アカウントを保持します。 特権アカウントはクラウド専用またはマネージド アカウントにし、オンプレミスの侵害からクラウド環境を保護するために、オンプレミスから同期されないようにする必要があります。 システム/特権アクセスは、セキュリティ強化された特権アクセス ワークステーション (PAW) からのみ許可される必要があります。 条件付きアクセス デバイス フィルターを構成して、Azure Virtual Desktop を使用して有効にされている PAW からの管理アプリケーションへのアクセスを制限します。 特権アクセス デバイスが重要な理由 デバイスのロールとプロファイル 条件付きアクセス ポリシーの条件としてのデバイスのフィルター Azure Virtual Desktop |
| SC.L2-3.13.4 実施規定: 共有システム リソースを介した、許可されていない情報転送や意図していない情報転送を防止します。 目標: 次を確認します。 [a.] 共有システム リソースを介した、許可されていない情報転送や意図していない情報転送が防止されること。 |
MDM (Microsoft Intune など)、Configuration Manager、またはグループ ポリシー オブジェクト (GPO) を使用してデバイス管理ポリシーを構成し、デバイスがシステム強化手順に確実に準拠するようにします。 攻撃者による欠陥の悪用を防ぐためのソフトウェア パッチに関する会社のポリシーへの準拠を含めます。 デバイスのコンプライアンスを適用するように、条件付きアクセス ポリシーを構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります Microsoft Entra ハイブリッド参加済みデバイスが必要 InTune Microsoft Intune のデバイス コンプライアンス ポリシー |
| SC.L2-3.13.13 実施規定: モバイル コードの使用を制御および監視します。 目標: 次を確認します。 [a.] モバイル コードの使用が制御されること。 [b.] モバイル コードの使用が監視されること。 |
MDM (Microsoft Intune など)、Configuration Manager、またはグループ ポリシー オブジェクト (GPO) を使用して、デバイス管理ポリシーを構成し、モバイル コードの使用を無効にします。 モバイル コードの使用が必要な場合、Microsoft Defender for Endpoint などのエンドポイント セキュリティによってその使用を監視します。 デバイスのコンプライアンスを適用するように、条件付きアクセス ポリシーを構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります Microsoft Entra ハイブリッド参加済みデバイスが必要 InTune Microsoft Intune のデバイス コンプライアンス ポリシー Defender for Endpoint Microsoft Defender for Endpoint |
システムと情報の整合性 (SI)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| SI.L2-3.14.7 実施規定: 目標: 組織のシステムの許可されていない使用を特定します。 次を確認します。 [a.] システムの許可された使用が定義されていること。 [b.] システムの許可されていない使用が特定されること。 |
テレメトリの統合: Microsoft Defender for Endpoint などの侵入検知/保護 (IDS/IPS) を必要とする MDM (Microsoft Intune など)、Configuration Manager、またはグループ ポリシー オブジェクト (GPO) 経由の Azure Sentinel デバイス管理の構成ポリシーなど、SIEM にストリーミングされる Microsoft Entra ログがインストールされ、使用されています。 IDS/IPS によって提供されるテレメトリを使用して、受信および送信通信トラフィックまたは未承認の使用に関連する異常なアクティビティまたは条件を特定します。 デバイスのコンプライアンスを適用するように、条件付きアクセス ポリシーを構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります Microsoft Entra ハイブリッド参加済みデバイスが必要 InTune Microsoft Intune のデバイス コンプライアンス ポリシー Defender for Endpoint Microsoft Defender for Endpoint |