CMMC レベル 2 アクセス制御 (AC) コントロールを構成する
Microsoft Entra ID は、各 Cybersecurity Maturity Model Certification (CMMC) レベルで ID 関連のプラクティス要件を満たすために役立てることができます。 CMMC V2.0 レベル 2 の要件に準拠するために、米国国防総省 (DoD) と協力して、および代理として、他の構成やプロセスを実行することは、企業の責任です。
CMMC レベル 2 には、ID に関連する 1 つ以上のプラクティスを含む 13 のドメインがあります。
- アクセスの制御 (AC)
- 監査とアカウンタビリティ (AU)
- 構成管理 (CM)
- 識別と認証 (IA)
- インシデント対応 (IR)
- メンテナンス (MA)
- メディア保護 (MP)
- 人的セキュリティ (PS)
- 物理的保護 (PE)
- リスク評価 (RA)
- セキュリティ評価 (CA)
- システムと通信の保護 (SC)
- システムと情報の整合性 (SI)
この記事の残りの部分では、Access Control (AC) ドメインに関するガイダンスを提供します。 プラクティスを実行するためのステップバイステップのガイダンスを提供するコンテンツへのリンクを含む表があります。
アクセスの制御 (AC)
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| AC.L2-3.1.3 実施規定: 承認された認可に従って CUI のフローを制御する。 目標: 次を確認します。 [a.] 情報フロー制御ポリシーが定義されている。 [b.] CUI のフローを制御するための方法と実施メカニズムが定義されている。 [c.] システム内および相互接続されたシステム間の CUI に対して指定のソースと宛先 (ネットワーク、個人、デバイスなど) が特定されている。 [d.] CUI のフローを制御するための認可が定義されている。および [e.] CUI のフローを制御するための承認された認可が適用されている。 |
条件付きアクセス ポリシーを構成して、信頼できる場所、信頼済みデバイス、承認されたアプリケーションからの CUI のフローを制御し、アプリ保護ポリシーを要求します。 CUI に対するきめ細かい承認を行うために、アプリによって適用される制限 (Exchange や SharePoint Online)、アプリ コントロール (Microsoft Defender for Cloud Apps)、認証コンテキストを構成します。 Microsoft Entra アプリケーション プロキシをデプロイして、オンプレミス アプリケーションへのアクセスをセキュリティで保護します。 Microsoft Entra 条件付きアクセスの場所の条件 条件付きアクセス ポリシーの許可コントロール - デバイスは準拠としてマーク済みであることが必要 条件付きアクセス ポリシーの許可コントロール - Microsoft Entra ハイブリッド参加済みデバイスが必要 条件付きアクセス ポリシーの許可コントロール - 承認済みクライアント アプリが必要 条件付きアクセス ポリシーの許可コントロール - アプリの保護ポリシーが必要 条件付きアクセス ポリシーのセッション制御 - アプリケーションによって適用される制限 Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御での保護 条件付きアクセス ポリシーでのクラウド アプリ、アクション、認証コンテキスト Microsoft Entra アプリケーション プロキシを使用したオンプレミス アプリへのリモート アクセス 認証コンテキスト 認証コンテキストの構成と条件付きアクセス ポリシーへの割り当て 情報の保護 データを知り、保護します。データ損失の防止に役立ちます。 Microsoft Purview を使用して機密データを保護する 条件付きアクセス Azure Information Protection (AIP) の条件付きアクセス アプリケーション プロキシ Microsoft Entra アプリケーション プロキシを使用したオンプレミス アプリへのリモート アクセス |
| AC.L2-3.1.4 実施規定: 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 目標: 次を確認します。 [a.] 分離が必要な個人の職務が定義されている。 [b.] 分離が必要な職責が、各個人に割り当てられている。および [c.] 分離が必要な職務を遂行するためのアクセス特権が、各個人に付与されている。 |
適切なアクセスのスコープを設定して、職務の適切な分離を確保します。 アプリケーション、グループ、Teams、SharePoint サイトへのアクセスを管理するエンタイトルメント管理アクセス パッケージを構成します。 ユーザーが過剰なアクセス権を得ないように、アクセス パッケージ内で職務の分離チェックを構成します。 Microsoft Entra エンタイトルメント管理では、アクセス パッケージを使用して、アクセスする必要があるユーザー コミュニティごとに異なる設定を指定して複数のポリシーを構成できます。 この構成には、特定のグループのユーザー、または既に別のアクセス パッケージが割り当てられているユーザーに、ポリシーによって他のアクセス パッケージが割り当てられないような制限が含まれます。 Microsoft Entra ID で管理単位を構成して管理特権のスコープを設定し、特権ロールを持つ管理者が、限定されたディレクトリ オブジェクト (ユーザー、グループ、デバイス) のセットに対してのみそれらの特権を持つようにします。 エンタイトルメント管理とは アクセスパッケージとは何ですか? また、それを使ってどのようなリソースを管理できますか? Microsoft Entra エンタイトルメント管理でアクセス パッケージに対する職務の分離を構成する Microsoft Entra ID の管理単位 |
| AC.L2-3.1.5 実施規定: 特定のセキュリティ機能や特権アカウントなど、最小限の特権の原則を採用する。 目標: 次を確認します。 [a.] 特権アカウントが識別される。 [b.] 特権アカウントへのアクセスが、最小限の特権の原則に従って承認される。 [c.] セキュリティ機能が特定される。および [d.] セキュリティ機能へのアクセスが、最小限の特権の原則に従って承認される。 |
最小限の特権の規則を実装して適用する責任は、お客様にあります。 このアクションは、適用、監視、アラートを構成するための Privileged Identity Management を使用して実行できます。 ロール メンバーシップの要件と条件を設定します。 特権アカウントを特定して管理の対象としたら、エンタイトルメント ライフサイクル管理とアクセス レビューを使用して、適切なアクセスを設定、維持、監査します。 MS Graph API を使用して、ディレクトリ ロールを検出および監視します。 ロールの割り当て PIM で Microsoft Entra ロールを割り当てる Privileged Identity Management で Azure リソース ロールを割り当てる グループの PIM に有資格の所有者およびメンバーを割り当てる ロールの設定を行う PIM で Microsoft Entra ロールの設定を構成する PIM で Azure リソース ロールの設定を構成する PIM でグループ用 PIM の設定を構成する アラートを設定する PIM の Microsoft Entra ロールのセキュリティ アラート Privileged Identity Management で Azure リソース ロールに対するセキュリティ アラートを構成する |
| AC.L2-3.1.6 実施規定: 非セキュリティ機能にアクセスする際に非特権アカウントまたはロールを使用する。 目標: 次を確認します。 [a.] 非セキュリティ機能が特定される。および [b.] ユーザーは、非セキュリティ機能にアクセスする際に非特権アカウントまたはロールを使用する必要がある。 AC.L2-3.1.7 実施規定: 非特権ユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 目標: 次を確認します。 [a.] 特権機能が定義されている。 [b.] 非特権ユーザーが定義されている。 [c.] 非特権ユーザーが特権機能を実行できない。および [d.] 特権機能の実行が監査ログに記録される。 |
AC.L2-3.1.6 と AC.L2-3.1.7 の要件は、相互に補完されます。 特権のある使用と特権のない使用のために、分離されたアカウントが必要です。 Just-In-Time (JIT) 特権アクセスを採用し、継続的なアクセスを削除するように Privileged Identity Management (PIM) を構成します。 特権ユーザーの生産性アプリケーションへのアクセスを制限するように、ロールベースの条件付きアクセス ポリシーを構成します。 高い特権を持つユーザーについては、特権アクセス ストーリーの一部としてデバイスをセキュリティで保護します。 すべての特権アクションは、Microsoft Entra 監査ログで取得されます。 特権アクセスのセキュリティ保護の概要 PIM で Microsoft Entra ロールの設定を構成する 条件付きアクセス ポリシーのユーザーとグループ 特権アクセス デバイスが重要な理由 |
| AC.L2-3.1.8 実施規定: サインオンの失敗を制限する。 目標: 次を確認します。 [a.] サインオンの失敗を制限する手段が定義されている。および [b.] サインオンの失敗を制限する定義済みの手段が実装されている。 |
スマート ロックアウトのカスタム設定を有効にします。 これらの要件を実装するために、ロックアウトのしきい値とロックアウト期間 (秒単位) を構成します。 Microsoft Entra スマート ロックアウトを使用してユーザー アカウントを攻撃から保護する Microsoft Entra スマート ロックアウト値の管理 |
| AC.L2-3.1.9 実施規定: 適用される CUI 規則に則って、プライバシーおよびセキュリティの通知を提供する。 目標: 次を確認します。 [a.] CUI で指定された規則に必要なプライバシーとセキュリティの通知が、特定の CUI カテゴリと識別され、一貫性があり、関連付けられている。 [b.] プライバシーとセキュリティの通知が表示される。 |
Microsoft Entra ID を使用すると、アクセス権を付与する前に、受信確認を要求して記録するすべてのアプリに対して通知メッセージやバナー メッセージを配信することができます。 これらの利用規約ポリシーは、特定のユーザー (メンバーまたはゲスト) を対象とするように細かく設定できます。 また、条件付きアクセス ポリシーを使用して、アプリケーションごとにカスタマイズすることもできます。 条件付きアクセス Microsoft Entra ID の条件付きアクセスとは 使用条件 Microsoft Entra の使用条件 同意したユーザーと拒否したユーザーのレポートの表示 |
| AC.L2-3.1.10 実施規定: 非アクティブな期間の経過後のデータのアクセスおよび閲覧を防止するために、パターン非表示ディスプレイによるセッション ロックを使用する。 目標: 次を確認します。 [a.] システムでセッション ロックが開始されるまでの非アクティブ期間が定義されている。 [b.] 定義された非アクティブ期間経過後にセッション ロックがかかり、システムへのアクセスやデータの閲覧ができなくなる。および [c.] 定義された非アクティブ期間経過後、それまで表示されていた情報がパターン非表示ディスプレイにより非表示になる。 |
準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスへのアクセスを制限するために、条件付きアクセス ポリシーを使用してデバイスのロックを実装します。 Intune などの MDM ソリューションを使用して OS レベルでデバイスのロックを強制するように、デバイスのポリシー設定を構成します。 Microsoft Intune、Configuration Manager、またはグループ ポリシー オブジェクトは、ハイブリッド デプロイで検討することもできます。 アンマネージド デバイスの場合は、ユーザーに再認証を強制するように、[サインインの頻度] 設定を構成します。 デバイスは準拠としてマーク済みである必要があります 条件付きアクセス ポリシーの許可コントロール - Microsoft Entra ハイブリッド参加済みデバイスが必要 ユーザー サインインの頻度 非アクティブな状態がどれだけ続いたら (分単位) 画面がロックされるかをデバイスに構成します (Android、iOS、Windows 10)。 |
| AC.L2-3.1.11 実施規定: 定義された条件が成立した場合にユーザー セッションを (自動的に) 終了する。 目標: 次を確認します。 [a.] ユーザー セッションの終了を要求する条件が定義されている。および [b.] 定義された条件のいずれかが発生すると、ユーザー セッションが自動的に終了する。 |
サポートされているすべてのアプリケーションに対して継続的アクセス評価 (CAE) を有効にします。 CAE がアプリケーションでサポートされていない場合、または条件に CAE を適用できない場合は、条件が発生したときにセッションを自動的に終了するポリシーを Microsoft Defender for Cloud Apps で実装します。 さらに、ユーザーとサインインのリスクを評価するために Microsoft Entra ID 保護を構成します。 ユーザーがリスクを自動的に修復できるようにするには、条件付きアクセスを ID 保護とともに使用します。 Microsoft Entra ID での継続的アクセス評価 ポリシーを作成してクラウド アプリの使用を制御する Microsoft Entra ID Protection とは |
| AC.L2-3.1.12 実施規定: リモート アクセス セッションの監視および制御を行う。 目標: 次を確認します。 [a.] リモート アクセス セッションが許可される。 [b.] 許可されたリモート アクセスの種類が識別される。 [c.] リモート アクセス セッションが制御される。および [d.] リモート アクセス セッションが監視される。 |
現在の世界では、ユーザーは不明または信頼されていないネットワークからクラウドベースのアプリケーションに、ほぼ例外なくリモートでアクセスします。 ゼロトラスト プリンシパルを採用するには、このアクセス パターンをセキュリティで保護することが重要です。 最新のクラウド環境でこれらのコントロール要件を満たすには、各アクセス要求を明示的に確認し、最小限の特権を実装し、侵害を想定する必要があります。 内部と外部のネットワークを示す名前付きの場所を構成します。 Microsoft Defender for Cloud Apps 経由でアクセスをルーティングするように、条件付きアクセス アプリ コントロールを構成します。 すべてのセッションのコントロールとモニターを行うように、Defender for Cloud Apps を構成します。 Microsoft Entra ID のゼロ トラスト展開ガイド Microsoft Entra 条件付きアクセスの場所の条件 Microsoft Entra アプリに対して Cloud App Security アプリの条件付きアクセス制御を展開する Microsoft Defender for Cloud Apps とは Microsoft Defender for Cloud Apps で発生したアラートを監視する |
| AC.L2-3.1.13 実施規定: リモート アクセス セッションの機密性を保護するための暗号化メカニズムを採用する。 目標: 次を確認します。 [a.] リモート アクセス セッションの機密性を保護するための暗号化メカニズムが特定される。および [b.] リモート アクセス セッションの機密性を保護するための暗号化メカニズムが実装されている。 |
すべての Microsoft Entra 顧客向け Web サービスは、トランスポート層セキュリティ (TLS) プロトコルで保護され、FIPS 検証済みの暗号化を使用して実装されます。 Microsoft Entra データ セキュリティに関する考慮事項 (microsoft.com) |
| AC.L2-3.1.14 実施規定: 管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。 目標: 次を確認します。 [a.] 管理対象のアクセス制御ポイントが識別され、実施される。および [b.] 管理対象のアクセス制御ポイントを介してリモート アクセスがルーティングされる。 |
内部と外部のネットワークを示す名前付きの場所を構成します。 Microsoft Defender for Cloud Apps 経由でアクセスをルーティングするように、条件付きアクセス アプリ コントロールを構成します。 すべてのセッションのコントロールとモニターを行うように、Defender for Cloud Apps を構成します。 特権アクセス ストーリーの一部として、特権アカウントが使用するデバイスをセキュリティで保護します。 Microsoft Entra 条件付きアクセスの場所の条件 条件付きアクセス ポリシーでのセッション コントロール 特権アクセスのセキュリティ保護の概要 |
| AC.L2-3.1.15 実施規定: 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 目標: 次を確認します。 [a.] リモート実行が許可されている特権コマンドが識別される。 [b.] リモート アクセスが許可されているセキュリティ関連情報が識別される。 [c.] リモート アクセスによる識別された特権コマンドの実行が許可される。および [d.] リモート アクセスによる識別されたセキュリティ関連情報へのアクセスが許可される。 |
認証コンテキストと組み合わせた条件付きアクセスは、アプリにアクセスするためのポリシーをターゲットとするゼロトラスト コントロール プレーンです。 これらのアプリでは、さまざまなポリシーを適用できます。 特権アクセス ストーリーの一部として、特権アカウントが使用するデバイスをセキュリティで保護します。 特権コマンドを実行するときに、特権ユーザーがセキュリティで保護されたこれらのデバイスを使用することを要求する、条件付きアクセス ポリシーを構成します。 条件付きアクセス ポリシーでのクラウド アプリ、アクション、認証コンテキスト 特権アクセスのセキュリティ保護の概要 条件付きアクセス ポリシーの条件としてのデバイスのフィルター |
| AC.L2-3.1.18 実施規定: モバイル デバイスの接続を制御する。 目標: 次を確認します。 [a.] CUI を処理、保存、または送信するモバイル デバイスが特定される。 [b.] モバイル デバイス接続が許可されている。および [c.] モバイル デバイス接続が監視され、ログに記録される。 |
MDM (Microsoft Intune など)、Configuration Manager、またはグループ ポリシー オブジェクト (GPO) を使用して、モバイル デバイス構成と接続プロファイルを強制するようにデバイス管理ポリシーを構成します。 デバイスのコンプライアンスを適用するように、条件付きアクセス ポリシーを構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります Microsoft Entra ハイブリッド参加済みデバイスが必要 InTune Microsoft Intune のデバイス コンプライアンス ポリシー Microsoft Intune でのアプリの管理とは |
| AC.L2-3.1.19 実施規定: モバイル デバイスとモバイル コンピューティング プラットフォームで CUI を暗号化する 目標: 次を確認します。 [a.] CUI を処理、保存、または送信するモバイル デバイスおよびモバイル コンピューティング プラットフォームが特定される。および [b.] 特定されたモバイル デバイスやモバイル コンピューティング プラットフォームで CUI を保護するために暗号化が採用されている。 |
マネージド デバイス 条件付きアクセス ポリシーを構成して、準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスに適用し、マネージド デバイスがデバイス管理ソリューションを使用して CUI を暗号化するように、適切に構成されることを確認します。 アンマネージド デバイス アプリ保護ポリシーを必要とするように条件付きアクセス ポリシーを構成します。 条件付きアクセス ポリシーの許可コントロール - デバイスは準拠としてマーク済みであることが必要 条件付きアクセス ポリシーの許可コントロール - Microsoft Entra ハイブリッド参加済みデバイスが必要 条件付きアクセス ポリシーの許可コントロール - アプリの保護ポリシーが必要 |
| AC.L2-3.1.21 実施規定: 外部システムでのポータブル ストレージ デバイスの使用を制限する。 目標: 次を確認します。 [a.] 外部システムでの CUI を含むポータブル ストレージ デバイスの使用が特定され、文書化されている。 [b.] 外部システムでの CUI を含むポータブル ストレージ デバイスの使用制限が定義されている。および [c.] 外部システムでの CUI を含むポータブル ストレージ デバイスの使用が定義どおりに制限されている。 |
MDM (Microsoft Intune など)、Configuration Manager、またはグループ ポリシー オブジェクト (GPO) を使用して、システム上でのポータブル ストレージ デバイスの使用を制御するようにデバイス管理ポリシーを構成します。 Windows デバイス上でポリシー設定を構成して、ポータブル ストレージの使用を OS レベルで完全に禁止または制限します。 ポータブル ストレージへのアクセスをきめ細かく制御できない可能性がある他のすべてのデバイスについては、Microsoft Defender for Cloud Apps を使用してダウンロードを完全にブロックします。 デバイスのコンプライアンスを適用するように、条件付きアクセス ポリシーを構成します。 条件付きアクセス デバイスは準拠としてマーク済みである必要があります Microsoft Entra ハイブリッド参加済みデバイスが必要 認証セッション管理を構成する Intune Microsoft Intune のデバイス コンプライアンス ポリシー Microsoft Intune の管理用テンプレートを使用して USB デバイスを制限する Microsoft Defender for Cloud Apps Defender for Cloud Apps でセッション ポリシーを作成する |