CMMC レベル 2 の識別と認証 (IA) 制御を構成する
Microsoft Entra ID は、各 Cybersecurity Maturity Model Certification (CMMC) レベルで ID 関連の実施要件を満たすのに役立ちます。 他の構成やプロセスを CMMC V2.0 レベル 2 の要件に準拠させるのは、米国国防総省 (DoD) と協力して代わりに作業を行う企業の責任です。
CMMC レベル 2 には、ID に関連する 1 つ以上のプラクティスを持つ 13 のドメインがあります。 ドメインは次のとおりです。
- アクセスの制御 (AC)
- 監査とアカウンタビリティ (AU)
- 構成管理 (CM)
- 識別と認証 (IA)
- インシデント対応 (IR)
- メンテナンス (MA)
- メディア保護 (MP)
- 人的セキュリティ (PS)
- 物理的保護 (PE)
- リスク評価 (RA)
- セキュリティ評価 (CA)
- システムと通信の保護 (SC)
- システムと情報の整合性 (SI)
この記事の残りの部分では、識別と認可 (IA) ドメインのガイダンスを提供します。 プラクティスを実行するためのステップバイステップのガイダンスを提供するコンテンツへのリンクを含む表があります。
識別と認証
次の表に、実施規定と目標のリストと、Microsoft Entra ID でこれらの要件を満たせるようにするための Microsoft Entra ガイダンスと推奨事項を示します。
| CMMC 実施規定と目標 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| IA.L2-3.5.3 実施規定: 特権アカウントへのローカルおよびネットワークのアクセスと、非特権アカウントへのネットワーク アクセスに多要素認証を使用する。 目標: 次を確認します。 [a.] 特権アカウントが識別される。 [b.] 特権アカウントへのローカル アクセスのための多要素認証が実装されている。 [c.] 特権アカウントへのネットワーク アクセスのための多要素認証が実装されている。および [d.] 非特権アカウントへのネットワーク アクセスのための多要素認証が実装されている。 |
以下の項目は、この制御領域に使用される用語の定義です。 前述の要件を分析すると、次のようになります。 多要素認証を要求するように条件付きアクセスを構成する必要があります。 AAL2 以上を満たす Microsoft Entra 認証方法を有効にしてください。 条件付きアクセス ポリシーでの許可の制御 Microsoft Entra ID を使用して NIST 認証システムの保証レベルを実現する 認証方法と機能 |
| IA.L2-3.5.4 実施規定: 特権および非特権アカウントへのネットワーク アクセスに、リプレイ耐性のある認証メカニズムを採用する。 目標: 次を確認します。 [a.] 特権および非特権アカウントへのネットワーク アクセスに、リプレイ耐性のある認証メカニズムが実装されている。 |
AAL2 以上のすべての Microsoft Entra 認証方法にリプレイ耐性があります。 Microsoft Entra ID を使用して NIST 認証システムの保証レベルを実現する |
| IA.L2-3.5.5 実施規定: 定義された期間、識別子の再利用を禁止する。 目標: 次を確認します。 [a.] 識別子を再利用できない期間が定義されている。および [b.] 定義された期間内の識別子の再利用が禁止されている。 |
すべてのユーザー、グループ、デバイス オブジェクトのグローバル一意識別子 (GUID) は、Microsoft Entra テナントの有効期間中、一意で再利用できないことが保証されます。 ユーザー リソースの種類 - Microsoft Graph v1.0 グループ リソースの種類 - Microsoft Graph v1.0 デバイス リソースの種類 - Microsoft Graph v1.0 |
| IA.L2-3.5.6 実施規定: 定義された非アクティブな期間の経過後に識別子を無効にする。 目標: 次を確認します。 [a.] 識別子が無効になるまでの非アクティブ期間が定義されている。および [b.] 定義された非アクティブ期間の経過後に識別子が無効になる。 |
Microsoft Graph と Microsoft Graph PowerShell SDK を使って、アカウント管理の自動化を実装します。 Microsoft Graph を使ってサインイン アクティビティを監視し、Microsoft Graph PowerShell SDK を使って必要な期間内にアカウントに対するアクションを実行します。 非アクティブ状態を判断する Microsoft Entra ID で非アクティブなユーザー アカウントを管理する Microsoft Entra ID で古くなったデバイスを管理する アカウントを削除または無効にする Microsoft Graph でのユーザーの操作 ユーザーの取得 ユーザーの更新 ユーザーの削除 Microsoft Graph でのデバイスの操作 デバイスの取得 デバイスの更新 デバイスの削除 Microsoft Graph PowerShell SDK を使用する Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA.L2-3.5.7 実施規定: 目標: 新規パスワードの作成時に最小限のパスワードの複雑さと文字の変更を強制する。 次を判断します。 [a.] パスワードの複雑さの要件が定義されている。 [b.] パスワード変更の文字要件が定義されている。 [c.] 新規パスワードの作成時に、定義された最小限のパスワードの複雑さの要件が適用される。および [d.] 新規パスワードの作成時に、定義された最小限のパスワード変更の文字要件が適用される。 IA.L2-3.5.8 実施規定: 指定の生成回数についてパスワードの再利用を禁止する。 目標: 次を確認します。 [a.] パスワードを再利用できない生成回数が指定されている。および [b.] 指定された生成回数で、パスワードの再利用が禁止されている。 |
パスワードレスの戦略を強くお勧めします。 この制御はパスワード認証システムにのみ適用されるため、使用可能な認証システムとしてパスワードを削除すると、この制御は適用されません。 NIST SP 800-63 B セクション 5.1.1 に準拠: よく使用されたり、予想されたり、または侵害されたりするパスワードの一覧を保持します。 Microsoft Entra パスワード保護では、既定のグローバル禁止パスワード リストが Microsoft Entra テナント内のすべてのユーザーに自動的に適用されます。 ビジネス ニーズやセキュリティ ニーズに対応するため、カスタムの禁止パスワード リストにエントリを定義できます。 ユーザーがパスワードを変更またはリセットすると、これらの禁止パスワード リストがチェックされ、強力なパスワードの使用が強制されます。 パスワード文字の厳密な変更を必要とするお客様の場合、パスワードの再利用と複雑さの要件では、Password-Hash-Sync で構成されたハイブリッド アカウントが使用されます。このアクションにより、Microsoft Entra ID に同期されたパスワードでは、Active Directory パスワード ポリシーで構成されている制限が確実に継承されます。 Active Directory Domain Services 用にオンプレミスの Microsoft Entra パスワード保護を構成して、オンプレミスのパスワードをさらに保護します。 NIST Special Publication 800-63 B NIST Special Publication 800-53 リビジョン 5 (IA-5 - 制御の強化 (1) Microsoft Entra パスワード保護を使って不適切なパスワードを排除する Microsoft Entra ID とのパスワード ハッシュ同期とは |
| IA.L2-3.5.9 実施規定: システム ログオン時、常用パスワードに即時変更することを条件として一時的なパスワードの使用を許可する。 目標: 次を確認します。 [a.] システム サインオンに一時的なパスワードを使用する場合は、常用パスワードに即時変更する必要がある。 |
Microsoft Entra ユーザーの初期パスワードは、1 回限りの一時的なパスワードであり、一度正常に使用したら、すぐに永続的なパスワードに変更する必要があります。 Microsoft では、パスワードレス認証方法の導入を強くお勧めしています。 ユーザーは、一時アクセス パス (TAP) を使用してパスワードレス認証方法をブートストラップできます。 TAP は、管理者が発行する期限付きの用途に制限のあるパスコードであり、強力な認証要件を満たすものです。 期限付きの用途に制限のある TAP と共にパスワードレス認証を使用すると、パスワードの使用 (およびその再利用) が完全になくなります。 ユーザーを追加または削除する パスワードレスの認証方法を登録するように Microsoft Entra ID で一時アクセス パスを構成する パスワードレスの認証 |
| IA.L2-3.5.10 実施規定: 暗号で保護されたパスワードのみを保存および送信する。 目標: 次を確認します。 [a.] パスワードが暗号化によって保護され保存されている。および [b.] パスワードが転送中も暗号化により保護されている。 |
保存時のシークレット暗号化: ディスク レベルの暗号化に加えて、保存時にディレクトリに格納されているシークレットは、分散キー マネージャー (DKM) を使用して暗号化されます。 暗号化キーは Microsoft Entra コア ストアに格納され、スケール ユニット キーを使用して暗号化されます。 キーは、最高の特権を持つユーザーと特定のサービスのために、ディレクトリ ACL で保護されているコンテナーに格納されます。 対称キーは通常、6 か月ごとにローテーションされます。 環境へのアクセスは、運用制御と物理的なセキュリティによってさらに保護されます。 転送中の暗号化: データのセキュリティを確保するために、Microsoft Entra ID のディレクトリ データは、スケール ユニット内のデータ センター間の転送中に署名および暗号化されます。 データは、関連付けられている Microsoft データ センターのセキュリティで保護されたサーバー ホスティング領域内に存在する、Microsoft Entra コア ストア層によって暗号化および非暗号化されます。 顧客向け Web サービスは、トランスポート層セキュリティ (TLS) プロトコルを使用してセキュリティで保護されます。 詳細については、"データ保護に関する考慮事項 - データ セキュリティ" に関する記事をダウンロードしてください。 15 ページに詳細があります。 パスワード ハッシュ同期の解明 (microsoft.com) Microsoft Entra データ セキュリティに関する考慮事項 |
| IA.L2-3.5.11 実施規定: 認証情報のフィードバックを伏せる。 目標: 次を確認します。 [a.] 認証プロセス中に認証情報が隠される。 |
既定では、Microsoft Entra ID ですべての認証子フィードバックが隠されます。 |