次の方法で共有

FedRAMP High Impact レベルを満たすようにその他の制御を構成する

  • [アーティクル]

制御と制御の強化に関する次の一覧は、Microsoft Entra テナントでの構成が必要になる場合があります。

下の表の各行に、規範的なガイダンスが記載されています。 このガイダンスは、制御や制御の強化に関連する共同責任に対する組織の対応を構築するのに役立ちます。

監査とアカウンタビリティ

下の表のガイダンスは次の事柄に関連します。

  • AU-2 監査イベント
  • AU-3 監査の内容
  • AU-6 監査の確認、分析、報告
FedRAMP コントロール ID と説明 Microsoft Entra のガイダンスとレコメンデーション
AU-2 監査イベント
組織:
(a.) 情報システムで次のイベントを監査できることを決定する。["FedRAMP 割り当て: [成功および失敗したアカウント ログオン イベント、アカウント管理イベント、オブジェクト アクセス、ポリシー変更、特権機能、プロセス追跡、システム イベント。Web アプリケーションの場合: すべての管理者アクティビティ、認証チェック、認可チェック、データ削除、データ アクセス、データ変更、アクセス許可の変更"]。
(b.) セキュリティ監査機能と、監査関連の情報を必要とする他の組織エンティティとの間を調整し、相互のサポートを強化して、監査可能なイベントの選択を支援する。
(c.) 監査可能なイベントがセキュリティ インシデントの事後調査をサポートするのに十分であると見なされる理由の根拠を提供する。
(d.) 次のイベントを情報システム内で監査することを決定する。["FedRAMP 割り当て: 識別されたイベントごとに継続的に監査される、AU-2 a. で定義された監査可能なイベントの、組織が定義したサブセット"]。

AU-2 追加の FedRAMP 要件とガイダンス:
要件: サービス プロバイダーとコンシューマー間の調整は、JAB/AO によって文書化され、受け入れられる必要がある。

AU-3 内容と監査レコード
情報システムでは、発生したイベントの種類、イベントが発生した日時、イベントが発生した場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を設定する情報を含む監査レコードを生成する。

AU-3(1)
情報システムでは、次の追加情報を含む監査レコードを生成する。["FedRAMP 割り当て: 組織が定義した追加の詳細情報"]。

AU-3 (1) 追加の FedRAMP 要件とガイダンス:
要件: サービス プロバイダーでは、監査レコードの種類 ["FedRAMP 割り当て: セッション、接続、トランザクション、またはアクティビティの期間; クライアントとサーバーのトランザクションの場合、受信バイト数と送信バイト数; イベントを診断または識別するための追加情報メッセージ; 操作対象のオブジェクトまたはリソースを記述または識別する特性; グループ アカウント ユーザーの個々の ID; 特権コマンドのフルテキスト"] を定義する。 監査レコードの種類は JAB/AO によって承認され、受け入れられる。
ガイダンス: クライアントとサーバーのトランザクションの場合、送受信されたバイト数によって、調査や問い合わせ中に役立つ双方向の転送情報が提供される。

AU-3(2)
情報システムでは、["FedRAMP 割り当て: すべてのネットワーク、データ ストレージ、コンピューティング デバイス"] によって生成された監査レコードでキャプチャされる内容の一元管理と構成を可能にする。		 AU-2 パート a. で定義されたイベントをシステムで監査できることを確認し、 組織の監査可能イベントのサブセットに含まれるその他エンティティとの調整を行い、事後調査をサポートします。 監査レコードの集中管理を実装します。

すべてのアカウント ライフサイクル操作 (アカウントの作成、変更、有効化、無効化、削除の各アクション) は、Microsoft Entra 監査ログ内で監査されます。 すべての認証および認可イベントは Microsoft Entra サインイン ログ内で監査され、検出されたリスクがあれば Microsoft Entra ID 保護ログで監査されます。 これらの各ログは、Microsoft Sentinel などのセキュリティ情報イベント管理 (SIEM) ソリューションに直接ストリーム配信できます。 または、Azure Event Hubs を使用して、ログをサードパーティ製の SIEM ソリューションと統合します。

イベントを監査する

  • Microsoft Entra 管理センターでアクティビティ レポートを監査する
  • Microsoft Entra 管理センターのサインイン アクティビティ レポート
  • 方法: リスクの調査

    SIEM の統合

  • Microsoft Sentinel: Microsoft Entra ID からデータを接続する
  • Azure イベント ハブやその他の SIEM へのストリーミング
    		•
    AU-6 監査の確認、分析、報告
    組織:
    (a.) ["FedRAMP 割り当て: 少なくとも毎週"]、情報システム監査レコードで ["割り当て: 組織が定義した不適切または異常なアクティビティ"] の兆候を確認および分析する。
    (b.) 調査結果を ["割り当て: 組織が定義した担当者またはロール"] に報告する。
    AU-6 追加の FedRAMP 要件とガイダンス:
    要件: サービス プロバイダーとコンシューマー間の調整は、認可担当者によって文書化され、受け入れられる必要がある。 マルチテナント環境では、コンシューマーに関連するデータの確認、分析、報告をコンシューマーに提供するための機能と手段を文書化する必要がある。

    AU-6(1)
    組織は、不審なアクティビティの調査と対応に関する組織のプロセスをサポートするために、監査の確認、分析、報告のプロセスを統合する自動化されたメカニズムを導入する。

    AU-6(3)
    組織は、異なるリポジトリ間の監査レコードを分析して関連付け、組織全体の状況を把握できるようにする。

    AU-6(4)
    情報システムでは、システム内の複数のコンポーネントからの監査レコードを集中的に確認および分析する機能を提供する。

    AU-6(5)
    組織は、監査レコードの分析と、["FedRAMP 選択 (1 つ以上): 脆弱性スキャン情報; パフォーマンス データ; 情報システム監視情報; 侵入テスト データ;" ["割り当て: 組織が定義した、他のソースから収集されたデータ/情報]] の分析を統合し、不適切または異常なアクティビティの識別能力をさらに強化する。

    AU-6(6)
    組織は、監査レコードからの情報と、物理アクセスの監視から得られた情報を関連付けて、疑わしい、不適切、異常、または悪意のあるアクティビティの識別能力をさらに強化する。
    AU-6 追加の FedRAMP 要件とガイダンス:
    要件: サービス プロバイダーとコンシューマー間の調整は、JAB/AO によって文書化され、受け入れられる必要がある。

    AU-6(7)
    組織は、監査情報の確認、分析、報告に関連付けられた [FedRAMP 選択 (1 つ以上): 情報システム プロセス; ロール; ユーザー] ごとに許可されるアクションを指定する。

    AU-6(10)
    組織は、法執行機関の情報、インテリジェンス情報、または他の信頼性の高い情報源に基づいてリスクに変更がある場合に、情報システム内での監査の確認、分析、報告のレベルを調整する。    		 少なくとも毎週 1 回監査レコードをレビューおよび分析し、不適切または異常なアクティビティを特定し、結果を適切な担当者にレポートします。

    前出の AU-02 および AU-03 のガイダンスにより、監査レコードの毎週のレビューと適切な担当者へのレポートが可能になります。 Microsoft Entra ID のみを使用してこれらの要件を満たすことはできません。 Microsoft Sentinel などの SIEM ソリューションも使用する必要があります。 詳細については、「Microsoft Sentinel とは」を参照してください。

    インシデント対応

    下の表のガイダンスは次の事柄に関連します。

    • IR-4 インシデント処理

    • IR-5 インシデント監視

    FedRAMP コントロール ID と説明 Microsoft Entra のガイダンスとレコメンデーション
    IR-4 インシデント処理
    組織:
    (a.) 組織は、準備、検出と分析、封じ込め、根絶、復旧を含むセキュリティ インシデントのインシデント処理機能を実装する。
    (b.) インシデント処理アクティビティをコンティンジェンシー計画アクティビティと調整する。
    (c.) 進行中のインシデント処理アクティビティから学習した教訓をインシデント対応手順、トレーニング、テストと演習に組み込み、それに応じて結果として得られた変更を実装する。
    IR-4 追加の FedRAMP 要件とガイダンス:
    要件: サービス プロバイダーは、インシデント処理を行う個人が、情報システムによって処理、格納、送信される情報の重要度/機密性に見合った人員のセキュリティ要件を確実に満たすようにする。

    IR-04(1)
    組織は、インシデント処理プロセスをサポートするための自動化されたメカニズムを使用する。

    IR-04(2)
    組織は、インシデント対応機能の一部として、["FedRAMP 割り当て: すべてのネットワーク、データ ストレージ、コンピューティング デバイス"] の動的再構成を含める。

    IR-04(3)
    組織は、["割り当て: 組織が定義したインシデントのクラス"] と ["割り当て: インシデントのクラスに対応して実行する、組織で定義されたアクション"] を識別して、組織のミッションおよびビジネス機能の継続性を確保する。

    IR-04(4)
    組織は、インシデントの認識および対応に関する組織全体にわたる観点を実現するために、インシデント情報と個々のインシデント対応を関連付ける。

    IR-04(6)
    組織は、内部関係者の脅威に対するインシデント処理機能を実装する。

    IR-04(8)
    組織は、内部関係者の脅威に対するインシデント処理機能を実装する。
    組織は、["FedRAMP 割り当て: コンシューマー インシデント対応者やネットワーク防御者を含む外部組織と、適切なコンシューマー インシデント対応チーム (CIRT)/コンピューター緊急対応チーム (CERT) (US-CERT、DoD CERT、IC CERT など)"] と連携し、["割り当て: 組織が定義したインシデント情報"] を関連付けて共有し、インシデント認識とより効果的なインシデント対応に関する組織間の観点を得る。

    IR-05 インシデント監視
    組織は、情報システム セキュリティ インシデントを追跡および文書化する。

    IR-05(1)
    組織は、セキュリティ インシデントの追跡やインシデント情報の収集および分析をサポートするための自動化されたメカニズムを使用する。    		 インシデントの処理と監視の機能を実装します。 これには、自動インシデント処理、動的再構成、運用の継続性、情報の相関、インサイダーの脅威、外部組織との相関、インシデントの監視と自動追跡などがあります。

    監査ログには、構成の変更がすべて記録されます。 認証および認可イベントはサインイン ログ内で監査され、検出されたリスクはすべて ID保護 ログで監査されます。 これらのログはそれぞれ、Microsoft Sentinel などの SIEM ソリューションに直接ストリーム配信することができます。 または、Azure Event Hubs を使用して、ログをサードパーティ製の SIEM ソリューションと統合します。 Microsoft Graph や PowerShell を使用して、SIEM 内のイベントに基づいて動的再構成を自動化します。

    イベントを監査する

  • Microsoft Entra 管理センターでアクティビティ レポートを監査する
  • Microsoft Entra 管理センターのサインイン アクティビティ レポート
  • 方法: リスクの調査

    SIEM の統合

  • Microsoft Sentinel: Microsoft Entra ID からデータを接続する
  • Azure イベント ハブやその他の SIEM へのストリーミング
    		•

    人的セキュリティ

    下の表のガイダンスは次の事柄に関連します。

    • PS-4 職員の離職
    FedRAMP コントロール ID と説明 Microsoft Entra のガイダンスとレコメンデーション
    PS-4
    職員の離職
    組織は、個々の雇用の終了時に、次のようにする。
    (a.) ["FedRAMP 割り当て: 8 時間"] 以内に情報システムへのアクセスを無効にする。
    (b.) 個人に関連付けられているすべての認証子/資格情報を終了するか取り消す。
    (c.) ["割り当て: 組織が定義した情報セキュリティに関するトピック"] の議論を含む退職者面談を実施する。
    (d.) セキュリティに関連するすべての組織情報システム関連の使用権を回収する。
    (e.) 離職した個人が以前に管理していた組織の情報および情報システムへのアクセスを保持する。
    (f.) ["割り当て: 組織が定義した期間"] 内に ["割り当て: 組織が定義した職員または役割"] に通知する。

    PS-4(2)
    組織は、個人の雇用の終了時に ["FedRAMP 割り当て: システムへのアクセスを無効にするアクセス制御担当者"] に通知するための自動化されたメカニズムを利用する。    		 システムへのアクセスの無効化に責任を負う担当者に自動的に通知します。

    8 時間以内に、アカウントを無効にし、関連付けられているすべての認証子と資格情報を取り消します。

    外部人事システムから、オンプレミスの Active Directory から、またはクラウド内で直接、Microsoft Entra ID のアカウントのプロビジョニング (離職時の無効化を含む) を構成します。 既存のセッションを取り消して、すべてのシステム アクセスを終了します。

    アカウント プロビジョニング

  • AC-02 の詳細なガイダンスを参照してください。

    関連付けられているすべての認証子を取り消します

  • Microsoft Entra ID で緊急時にユーザー アクセスを取り消す
    		•

    システムと情報の整合性

    下の表のガイダンスは次の事柄に関連します。

    • SI-4 情報システムの監視
    FedRAMP コントロール ID と説明 Microsoft Entra のガイダンスとレコメンデーション
    SI-4 情報システムの監視
    組織:
    (a.) 次のものを検出する情報システムを監視する。
    (1.) ["割り当て: 組織が定義した監視目標"] に従った攻撃および潜在的な攻撃のインジケーター。
    (2.) 認可されていないローカル、ネットワーク、リモート接続。
    (b.) ["割り当て: 組織が定義した技法と手法"] を使用して情報システムの不正な使用を識別する。
    (c.) 監視デバイスを (i) 情報システム内に戦略的にデプロイして組織が決定した重要な情報を収集し、(ii) システム内のアドホックな場所で組織にとって関心のある特定の種類のトランザクションを追跡する。
    (d.) 侵入監視ツールから取得した情報を、不正なアクセス、変更、削除から保護する。
    (e.) 法律実施情報、インテリジェンス情報、信頼性の高い他の情報源に基づいて組織の運営と資産、個人、他の組織、または国に対するリスクが上昇する兆候がある場合は常に、情報システム監視アクティビティのレベルを引き上げる。
    (f.) 該当する連邦法、大統領命令、指令、ポリシー、または規制に従って、情報システム監視アクティビティに関する法律専門家の意見を入手する。
    (d.) ["割り当て: 組織が定義した情報システム監視情報"] を ["選択 (1 つ以上): 必要に応じて; [割り当て: 組織が定義した頻度]] で、[割り当て: 組織が定義した担当者またはロール"] に提供する。
    SI-4 追加の FedRAMP 要件とガイダンス:
    ガイダンス: US-CERT インシデント対応レポート ガイドラインを参照。

    SI-04(1)
    組織は、個別の侵入検出ツールを情報システム全体の侵入検出システムに接続して構成する。    		 情報システム全体の監視と侵入検出システムを実装します。

    すべての Microsoft Entra ログ (監査、サインイン、ID 保護) を情報システム監視ソリューション内に含めます。

    Microsoft Entra ログを SIEM ソリューションにストリーム配信します (IA-04 を参照)。                                                                              

    次のステップ

    アクセス制御の構成

    ID および認証のコントロールを構成する

    その他のコントロールの構成