マイクロソフト クラウドを使用した防衛産業基盤サプライヤーとしての CMMC コンプライアンスの準備方法

2020 年、米国国防総省 (DoD) は、防衛産業基盤 (DIB) として知られる、サプライ チェーンを保護するための新しいフレームワークの段階的な展開を開始しました。この新しい Cybersecurity Maturity Model Certification 1 (CMMC) システムでは、DIB のセキュリティを強化する定期的な監査が必要です。DIB は、Abrams タンク、衛星、Reaper ドローンからラップトップ コンピューター、制服、食料配給に至るまで、あらゆるものを製造する約 350,000 の営利企業で構成されています。医療用品など。

国防総省がサプライ チェーンのセキュリティを強化したい理由は秘密ではありません。国防総省の職員によると、DIB 内の組織は、機密情報 (兵器システムの設計など) を求める国家と悪党の攻撃者の両方から絶え間なく攻撃を受けています。 DIB 請負業者の違反は、国家安全保障にリスクをもたらすだけでなく、米国の納税者に重大な損失をもたらします。 CyberSecurity Ventures 2による 2021 年のレポートによると、サイバー犯罪は 2025 年までに世界中の企業に年間 10.5 兆ドルの損害を与えると推定されています。偶然にも、2025 年は、DIB のすべての企業がビジネスを継続したい場合、CMMC への準拠を示す必要がある年です。ペンタゴンと。 Microsoft のCMMC アクセラレーション プログラムの詳細を確認し、これらのリソースを活用して、コンプライアンスへの取り組みを開始してください。

CMMC はどのように機能しますか?

CMMC暫定規則により、企業はNIST 800-171への準拠を証明することができますが、自己証明する機能は最終的に廃止されます。 2021 年以降、段階的なアプローチにより、国防総省の請負業者は、独立した認定第三者評価機関 (C3PAO) からの認定が必要になります。認定は、請負業者 (プライムまたはサブ) が管理された非機密情報 (CUI) および連邦契約情報 (FCI) を保存することを信頼できるという保証を国防総省に提供します。 CMMC モデルは DoD によって作成および管理され、「基本」から「高度」に及ぶサイバーセキュリティの「成熟度」、つまりプロセスの有効性と実践の自動化をもたらします。

1 回限りのチェックボックスではなく、 CMMC への準拠は継続しており、3 年ごとに再評価する必要があります。

CMMC の 5 つのレベル。

図 1: CMMC の 5 つのレベル。

  • レベル 1認定は、主に人員とプロセスに関係し、公開を意図していない FCI を扱うすべての企業に必要です。ほとんどの DIB サプライヤーは、このカテゴリに分類されます。レベル 1 は、商用クラウドに最適です。
  • レベル 3は、CUI を扱う企業、または国際武器取引規則 (ITAR) に拘束される企業 (約 50,000 の DIB 請負業者) に必要です。ただし、市場の圧力により、一部の企業は競争力のためだけにレベル 3 に認定される可能性があります。レベル 3 は、政府のクラウドに最適です。
  • レベル 5は、 高度で持続的な脅威(APT) および国家活動の標的になる可能性が最も高い DIB 請負業者のごく一部にのみ必要です。レベル 5 は、政府のクラウドに最適です。

レベル 2 と 4 は移行段階と見なされます。契約でそれらが必要になるとは予想されていません。

2021 年 9 月に、DoD は CMMC に準拠する 75 件のパイロット契約を監督します。 2023 年までにその数は 250 に達し、2024 年には最大 479 のパイロット契約になります。2025年 10 月までに、DIB のすべてのビジネスは CMMC に準拠する必要があります。

マイクロソフトはコンプライアンスを知っています

Microsoft は DoD と 40 年間取引を行ってきました。 DIB の 350,000 社のうち、80% が中小企業(SMB) です。そのため、国防総省と直接連携する元請業者であろうと、小規模な下請け業者であろうと、 Microsoft Office 365 Government プランは、期待される Office 365 のすべての機能をビジネスに提供できますが、セグメント化された政府コミュニティ クラウド (GCC) で提供されます。さらに、Microsoft は、データを暗号化し、従業員、ベンダー、下請け業者に厳格なアクセス制御を適用することで、コンプライアンスの負担を軽減します。

Microsoft Office 365 Government – GCC Highは、米国本土 (CONUS) にあるソブリン クラウド プラットフォームであり、クラウド サービスに関する米国政府の要件に準拠しています。 Office 365 Government – GCC High は、DoD および DIB で使用するために特別に設計されており、このクラウドに展開する前に組織を検証する必要があります。 Office 365 に期待されるすべての機能に加えて、GCC High に展開すると、次のことが保証されます。

  • コンテンツは、商用 Office 365 サービスの顧客コンテンツから分離されます。
  • 組織のコンテンツは米国内に保存されています
  • DIBコンテンツへのアクセスは、厳格なバックグラウンド チェックに合格した選別されたマイクロソフトの担当者に制限されています。
  • クラウドの展開は、米国の公共部門の顧客に必要な認定と認定に準拠しています。

Microsoft Azure Governmentは、ハイブリッドな柔軟性も提供するソブリン CONUS クラウド プラットフォームです。顧客は、クラウド プロバイダーの最も広範なレベルの認定を有効にしながら、一部のデータと機能をオンプレミスで維持できます。この専用インスタンスにアクセスできるのは、米国の連邦政府、州政府、地方政府、部族政府、およびそのパートナーのみであり、運用は審査された米国市民によってのみ制御されます。

Microsoft Commercial、M365 GCC、および M365 GCC High の比較表。

図 2: Microsoft 365 Government + Azure Government コンプライアンス。

さまざまなクラウド プラットフォームのサイバーセキュリティの成熟度レベルは CMMC に準拠している可能性がありますが、Microsoft では、CMMC レベル 3 ~ 5 に準拠した Azure Government および Microsoft 365 Government – GCC High を備えた US Sovereign Cloud を推奨しています。組織の CMMC コンプライアンスを有効にする適切なプラットフォーム。

Microsoft CMMC アクセラレーション プログラム

CMMC コンプライアンスへの取り組みを加速するために、当社のCMMC アクセラレーション プログラムは、パートナーと DIB 企業の両方にリソースを提供します。 Microsoft の目標は、 Microsoft AzureMicrosoft 365 、およびMicrosoft Dynamics 365でホストされているインフラストラクチャ、アプリケーション、およびサービスのコンプライアンスのギャップを埋めるのに役立つベースライン フレームワークを提供することです。私たちはパートナーや顧客と協力して、リスクを軽減し、テナントが顧客の責任を共有するのを支援し、評価と認証のためのソリューションを提供します。

Microsoft CMMC アクセラレーション プログラムの最新の更新内容は次のとおりです。

  • CMMC のマイクロソフト製品プレースマット:マイクロソフトのクラウド製品とサービスが CMMC プラクティスの要件をどのように満たしているかを表すインタラクティブなビュー。
  • Azure Sentinel CMMC ブック: Azure 環境全体 (Office 365、Teams、Intune、Windows Virtual Desktop など) からMicrosoft Azure Sentinelログ クエリを表示するためのメカニズムを提供します。 5 つの成熟度レベル。
  • 商用および政府のクラウド環境で利用可能な Compliance Manager:データ保護リスクのインベントリ作成から、制御の実装の複雑さの管理、規制や認定の最新の維持、監査人への報告まで、組織が CMMC コンプライアンス要件をより簡単かつ便利に管理できるようにします。
  • CMMC レベル 3 の Azure Policy とブループリントのサンプル: Azure PolicyAzure Blueprintsを使用すると、組織は一元管理されたポリシー イニシアチブを介してコンプライアンス環境を簡単に確立できます。これにより、一貫したリソース ガバナンスを実践しながら、構成ミスを回避できます。
  • Azure を使用して、DoD STIG 準拠のイメージを迅速に展開し、コンプライアンスを視覚化します。Security Technical Implementation Guides (STIG) は、DoD Information Assurance (IA) 対応のデバイスとシステムのインストールとメンテナンスのための安全な構成標準です。 Azure チームは、ファースト パーティの Azure ツールを使用してサンプル ソリューションを作成し、STIG 自動化とコンプライアンス レポートを提供しています。これらのクイックスタート リソースを使用してください。
  • Azure Security Benchmark Foundation の Azure Blueprint:開発者とセキュリティ管理者がアプリケーション ワークロード用に強化された環境を作成できるようにし、ID、デバイス、アプリケーション、データ、インフラストラクチャ、およびネットワーク全体にゼロ トラストコントロールを実装するのに役立ちます。

肯定的な裁定を保証できるプロバイダーはありませんが、Microsoft の CMMC アクセラレーション プログラムは、CMMC 認定機関 (AB) 基準に従って正式なレビューに入る CMMC の姿勢を改善するのに役立ちます。

ゼロ トラストは CMMC の鍵

Microsoft は、連邦政府のフレームワークでゼロ トラストアーキテクチャを促進した経験があります。これは、環境内で攻撃者がアクセスを昇格させるのを防ぐために重要な概念です。ゼロ トラストは、3 つの基本原則に基づいて構築されています。利用可能なすべてのデータ ポイントに基づく検証。 Just-In-Time および Just-Enough-Access (JIT/JEA) で最小特権アクセス使用します。爆発半径を最小限に抑え、横方向の動きを防ぐために違反を想定します。 Microsoft は、連邦情報システムにゼロ トラストを実装するために、米国国立標準技術研究所 (NIST) SP 800-207Trusted Internet Connections (TIC) 3.0Continuous Diagnostics and Mitigation (CDM) など、いくつかのリファレンスを採用しています。これらの原則はテクノロジーにとらわれず、エンドポイント、オンプレミス システム、クラウド プラットフォーム、運用テクノロジー (OT) に適用されます。

Azure Sentinel: ゼロ トラスト (TIC 3.0) ワークブックは、マイクロソフトのセキュリティ サービスをゼロ トラスト モデルに重ねて提供するもので、セキュリティ アナリストとマネージド セキュリティ サービス プロバイダー (MSSP) がクラウド セキュリティ体制を認識できるようにします。このワークブックには、TIC 3.0 セキュリティ機能に合わせた 76 を超えるコントロール カードが含まれており、自動化、AI、機械学習、クエリ/アラート、視覚化、カスタマイズされた推奨事項、およびドキュメントの参照を通じて、セキュリティ オペレーション センター (SOC) の取り組みを強化できます。各パネルは特定のコントロールに対応しており、ギャップを埋めてアラートを改善するための実用的なパスを提供し、サードパーティのセキュリティ ソリューションを組み込むこともできます。

組織が国防総省またはそのサプライヤーとの契約を追求することに関心がある場合は、サイバーセキュリティの成熟度について積極的に取り組むことがあなたの利益になります。 Microsoft が組織のコンプライアンス状況の改善にどのように役立つかについては、新しいCMMC ホームページを参照してください。

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

 


1サイバーセキュリティ成熟度モデル認証、CMMC 認定機関。

22021 年レポート: 経営幹部のサイバー戦争、サイバーセキュリティ ベンチャーズ、2021 年 1 月 21 日。

参考: https ://www.microsoft.com/en-us/security/blog/2021/08/30/prepare-for-cmmc-compliance-with-microsoft/

コメント

タイトルとURLをコピーしました