FedRAMP High Impact レベルを満たすように ID アクセス制御を構成する
アクセス制御は、Federal Risk and Authorization Management Program (FedRAMP) High Impact レベルの運用を実現するための主要な部分です。
アクセス制御 (AC) ファミリの制御と制御の強化に関する次の一覧は、Microsoft Entra テナントでの構成が必要になる場合があります。
| 制御ファミリ | 説明 |
|---|---|
| AC-2 | アカウント管理 |
| AC-6 | 最小特権 |
| AC-7 | ログオン試行の失敗 |
| AC-8 | システム使用通知 |
| AC-10 | 同時セッション制御 |
| AC-11 | セッションのロック |
| AC-12 | セッションの終了 |
| AC-20 | 外部情報システムの使用 |
次の表の各行に、制御または制御の強化のための共同責任に対する組織の対応を構築するために役立つ規範的なガイダンスを示します。
構成
| FedRAMP コントロール ID と説明 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| AC-2 アカウント管理 組織 (b.) 情報システム アカウント用のアカウント マネージャーを割り当てます。 (c.) グループとロールのメンバーシップの条件を確立します。 (d.) 情報システムの許可されているユーザー、グループとロールのメンバーシップ、各アカウントのアクセスの承認 (つまり特権) と他の属性 (必要に応じて) を指定します。 (e.) 情報システム アカウントを作成する要求について、[割り当て: 組織が定義した個人またはロール] による承認が必要です。 (f.) [割り当て: 組織が定義した手順または条件] に従って、情報システム アカウントの作成、有効化、変更、無効化、削除を行います。 (g.) 情報システム アカウントの使用を監視します。 (h.) アカウント マネージャーに通知します。 (i.) 次に基づいて情報システムへのアクセスを認可します。 (j.) アカウント管理要件 [FedRAMP 割り当て: 特権アクセスの場合は毎月、非特権アクセスの場合は 6 か月ごと] に準拠するためにアカウントを確認します。さらに、 (k.) 個人をグループから削除するときに、共有またはグループ アカウントの資格情報 (デプロイする場合) を再発行するプロセスを確立します。 |
顧客が管理するアカウントに対してアカウント ライフサイクル管理を実装します。 アカウントの使用状況を監視し、アカウント マネージャーにアカウント ライフサイクル イベントを通知します。 特権アクセスの場合は毎月、非特権アクセスの場合は 6 か月ごとに、アカウントがアカウント管理要件に準拠しているかどうかをレビューします。 Microsoft Entra ID を使用して、外部の HR システム、オンプレミスの Active Directory から、またはクラウドで直接、アカウントをプロビジョニングします。 すべてのアカウント ライフサイクル操作は、Microsoft Entra 監査ログ内で監査されます。 Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ソリューションを使用して、ログを収集および分析できます。 または、Azure Event Hubs を使用して、ログをサード パーティ製の SIEM ソリューションと統合し、監視と通知を有効にすることもできます。 アクセス レビューで Microsoft Entra のエンタイトルメント管理を使用して、アカウントのコンプライアンス対応状態を確認します。 アカウントをプロビジョニングする アカウントを監視する アカウントを確認する リソース
|
| AC-2(1) 組織は、情報システム アカウントの管理を支援する自動メカニズムを採用します。 |
顧客が管理するアカウントの管理をサポートするための自動化されたメカニズムを採用します。 外部の HR システムまたはオンプレミスの Active Directory から、顧客が管理するアカウントの自動プロビジョニングを構成します。 アプリケーションの準備をサポートするアプリケーションの場合は、ユーザーがアクセスする必要があるクラウドの SaaS (Software as a Solution) アプリケーションにユーザー ID とロールを自動的に作成するように Microsoft Entra ID を構成します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 アカウントの使用状況を簡単に監視するには、Microsoft Entra ID 保護のログ (危険なユーザー、危険なサインイン、リスクの検出を示す) と監査ログを Microsoft Sentinel または Event Hubs に直接ストリーミングできます。 プロビジョニング 監視と監査 |
| AC-2(2) 情報システムは、[FedRAMP 割り当て: 最後の使用から 24 時間] の後に一時的および緊急アカウントに対して自動的に [FedRAMP 選択: 無効] を行います。 AC-02(3) AC-2 (3) 追加の FedRAMP 要件とガイダンス: |
自動化されたメカニズムを採用して、一時アカウントと緊急アカウントは最後に使用してから 24 時間後に、顧客が管理するすべてのアカウントは非アクティブな状態が 35 日間続いた後で、自動的に削除または無効にします。 Microsoft Graph と Microsoft Graph PowerShell を使用して、アカウント管理の自動化を実装します。 サインイン アクティビティを監視するには Microsoft Graph を、必要な期間内にアカウントでアクションを実行するには Microsoft Graph PowerShell を使用します。 非アクティブ状態を判断する アカウントを削除または無効にする Microsoft Graph でのデバイスの操作 Microsoft Graph PowerShell のドキュメントを参照してください |
| AC-2(4) 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[FedRAMP 割り当て: 組織およびサービス プロバイダー システムの所有者] に通知します。 |
顧客が管理するアカウントの管理ライフサイクルのために、自動化された監査および通知システムを実装します。 すべてのアカウント ライフサイクル操作 (アカウントの作成、変更、有効化、無効化、削除の各アクションなど) は、Azure 監査ログ内で監査されます。 通知を支援するために、Microsoft Sentinel または Event Hubs にログを直接ストリーム配信できます。 監査 通知 |
| AC-2(5) 組織は、[FedRAMP 割り当て: 非アクティブが 15 分を超えると予想される] の場合に、ユーザーをログアウトさせる必要があります。 AC-2 (5) 追加の FedRAMP 要件とガイダンス: |
非アクティブ状態が 15 分間続いたらデバイスのログアウトを実装します。 準拠しているデバイスへのアクセスを制限する条件付きアクセス ポリシーを使用することにより、デバイスのロックを実装します。 Intune などのモバイル デバイス管理 (MDM) ソリューションを使用して OS レベルでデバイスのロックを強制するように、デバイスのポリシー設定を構成します。 エンドポイント マネージャーまたはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 アンマネージド デバイスの場合は、ユーザーに再認証を強制するように、[サインインの頻度] 設定を構成します。 条件付きアクセス MDM ポリシー |
| AC-2(7) 組織: |
顧客が管理するアカウントのロールベースのアクセス スキームに従って、特権ロールの割り当てを管理および監視します。 適切でなくなったアカウントの特権アクセスは無効化するか、取り消します。 ロールの割り当てを監視し、適切でなくなったときにロールの割り当てを削除するために、Microsoft Entra ID の特権ロールのアクセス レビューで Microsoft Entra Privileged Identity Management を実装します。 監視を支援するために、Microsoft Sentinel または Event Hubs に監査ログを直接ストリーム配信できます。 管理 監視 |
| AC-2(11) 情報システムは、[割り当て: 組織が定義する情報システム アカウント] に対して [割り当て: 組織が定義する状況および使用条件] を適用します。 |
顧客が定義した条件や状況が満たされるように、顧客が管理するアカウントの使用を強制します。 ユーザーとデバイスの間でアクセス制御の決定を適用するする条件付きアクセス ポリシーを作成します。 条件付きアクセス |
| AC-2(12) 組織: AC-2 (12) (a) および AC-2 (12) (b) 追加の FedRAMP 要件とガイダンス: |
特殊な使用方法のための特権アクセスを持つ、顧客が管理するアカウントを監視および報告します。 特殊な使用方法の監視を支援するために、Microsoft Entra ID 保護のログ (危険なユーザー、危険なサインイン、リスク検出を示す) と監査ログ (特権割り当てとの関連付けを容易にする) を Microsoft Sentinel などの SIEM ソリューションに直接ストリーム配信できます。 Event Hubs を使用して、ログをサードパーティ製の SIEM ソリューションと統合することもできます。 ID 保護 アカウントを監視する |
| AC-2(13) 組織は、リスクの検出の [FedRAMP 割り当て: 1 時間] において重大なリスクをもたらすユーザーのアカウントを無効にします。 |
1 時間以内に重大なリスクをもたらす、顧客が管理するアカウントのユーザーを無効にします。 Microsoft Entra ID 保護で、しきい値を [高] に設定してユーザー リスク ポリシーを構成し、有効にします。 危険なユーザーや危険なサインインに対するアクセスをブロックする条件付きアクセス ポリシーを作成します。ユーザーがその後のサインイン試行を自己修復およびブロック解除できるように、リスク ポリシーを構成します。 ID 保護 条件付きアクセス |
| AC-6(7) 組織: |
特権アクセスを持つすべてのユーザーを毎年レビューおよび検証します。 組織のミッションとビジネス要件に合わせて、特権を再割り当て (または必要に応じて削除) するようにします。 特権アクセスが必要かどうかを確認するには、特権ユーザーのアクセス レビューで Microsoft Entra のエンタイトルメント管理を使用します。 アクセス レビュー |
| AC-7 ログイン試行の失敗 組織: |
顧客がデプロイしたリソースに対するログイン試行の失敗は 15 分以内に連続して 3 回以下という制限を適用します。 最低 3 時間、または管理者によってロック解除されるまでアカウントをロックします。 スマート ロックアウトのカスタム設定を有効にします。 これらの要件を実装するために、ロックアウトしきい値とロックアウト期間 (秒単位) を構成します。 スマート ロックアウト |
| AC-8 システム使用通知 情報システム: (b.) ユーザーが使用条件に同意し、情報システムにログオンまたはさらにアクセスするための明示的なアクションを実行するまで、通知メッセージまたはバナーを画面に表示し続けます。さらに、 (c.) パブリックにアクセス可能なシステムの場合: AC-8 追加の FedRAMP 要件とガイダンス: |
情報システムへのアクセス権を付与する前に、プライバシーとセキュリティに関する通知を表示して、ユーザーの確認を求めます。 Microsoft Entra ID を使用すると、アクセス権を付与する前に、受信確認を要求して記録するすべてのアプリに対して通知メッセージやバナー メッセージを配信することができます。 これらの利用規約ポリシーは、特定のユーザー (メンバーまたはゲスト) を対象とするように細かく設定できます。 また、条件付きアクセス ポリシーを使用して、アプリケーションごとにカスタマイズすることもできます。 利用規約 |
| AC-10 同時セッション制御 情報システムは、[割り当て: 組織が定義したアカウントやアカウントの種類] ごとの同時セッションの数を [FedRAMP 割り当て: 特権アクセスの場合は 3 つのセッション、非特権アクセスの場合は 2 つのセッション] に制限します。 |
同時セッションを、特権アクセスの場合は 3 つのセッション、非特権アクセスの場合は 2 つに制限します。 現在、ユーザーは複数のデバイスからときには同時に接続します。 同時実行セッションを制限すると、ユーザー エクスペリエンスが劣化し、セキュリティの価値が制限されます。 この制御の背後にある意図に対処するためのより優れた方法は、ゼロ トラスト セキュリティ態勢を採用することです。 条件は、セッションが作成される前に明示的に検証され、セッションが終了するまで継続的に検証されます。 さらに、次の補完的な制御を使用します。 条件付きアクセス ポリシーを使用して、準拠しているデバイスへのアクセスを制限します。 Intune などの MDM ソリューションを使用して、OS レベルでユーザー サインインの制限を適用するように、デバイスのポリシー設定を構成します。 エンドポイント マネージャーまたはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 Privileged Identity Management を使用して、特権アカウントをさらに制限および制御します。 無効なサインイン試行に対するスマート アカウント ロックアウトを構成します。 実装ガイダンス ゼロ トラスト 条件付きアクセス デバイスのポリシー リソース セッションの再評価とリスク軽減のガイダンスの詳細については、AC-12 を参照してください。 |
| AC-11 セッション ロック 情報システム: (a) 非アクティブな状態が [FedRAMP 割り当て: 15 分] 続いた後、またはユーザーから要求を受信したときに、セッションのロックを開始することでシステムに対する以降のアクセスを防ぎます。さらに、 (b) ユーザーが確立済みの ID および認証手順を使用してアクセスを再確立するまで、セッションのロックは継続します。 AC-11(1) |
非アクティブな状態が 15 分間続いた後、またはユーザーからの要求を受け取った場合に、セッションのロックを実装します。 ユーザーが再度認証されるまでセッションのロックを保持します。 セッションのロックの開始時に、以前に表示されていた情報を非表示にします。 準拠しているデバイスへのアクセスを制限するために、条件付きアクセス ポリシーを使用して、デバイスのロックを実装します。 Intune などの MDM ソリューションを使用して OS レベルでデバイスのロックを強制するように、デバイスのポリシー設定を構成します。 エンドポイント マネージャーまたはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 アンマネージド デバイスの場合は、ユーザーに再認証を強制するように、[サインインの頻度] 設定を構成します。 条件付きアクセス MDM ポリシー |
| AC-12 セッションの終了 情報システムは、[割り当て: 組織が定義した、セッションの切断を必要とする条件またはトリガー イベント] の発生後に、ユーザー セッションを自動的に終了します。 |
組織が定義した条件またはトリガー イベントが発生したときに、ユーザー セッションを自動的に終了します。 リスクベースの条件付きアクセスや継続的アクセス評価などの Microsoft Entra の機能を使用したユーザー セッションの自動再評価を実装します。 非アクティブ条件は、AC-11 で説明されているように、デバイス レベルで実装できます。 リソース |
| AC-12(1) 情報システム: (a.) [割り当て: 組織が定義した情報リソース] へのアクセス権の取得に認証が使用される場合は常に、ユーザーが開始した通信セッションのログアウト機能を提供します。さらに、 (b.) 認証済みの通信セッションの信頼できる終了を示す明示的なログアウト メッセージをユーザーに表示します。 AC-8 追加の FedRAMP 要件とガイダンス: |
すべてのセッションにログアウト機能を提供し、明示的なログアウト メッセージを表示します。 Microsoft Entra ID で表示されるすべての Web インターフェイスは、ユーザーが開始した通信セッションにログアウト機能を提供します。 SAML アプリケーションが Microsoft Entra ID に統合されている場合は、シングル サインアウトを実装します。 ログアウト機能 メッセージを表示
リソース |
| AC-20 外部情報システムの利用 組織は、外部の情報システムを所有、運用、保守する他の組織との間で確立した信頼関係と矛盾しないご契約条件を規定し、認可された個人が以下を行えるようにします: (a.) 外部情報システムから情報システムへアクセスします。さらに、 (b.) 外部情報システムを使用して、組織が管理する情報を処理、保存、または送信します。 AC-20(1) |
アンマネージド デバイスや外部ネットワークなどの外部情報システムから顧客がデプロイしたリソースに、認可された個人がアクセスできるようにするためのご契約条件を確立します。 外部システムからリソースにアクセスする認可されたユーザーに、利用規約への同意を要求します。 外部システムからのアクセスを制限する条件付きアクセス ポリシーを実装します。 条件付きアクセス ポリシーは、Defender for Cloud Apps と統合して、外部システムからクラウドとオンプレミスのアプリケーションの制御を提供することもできます。 Intune のモバイル アプリケーション管理では、カスタム アプリやストア アプリなどのアプリケーション レベルで、外部システムとやり取りするマネージド デバイスから組織のデータを保護できます。 たとえば、クラウド サービスへのアクセスです。 組織で所有しているデバイスと個人のデバイスでアプリの管理を使用できます。 ご契約条件 条件付きアクセス MDM リソース |
