[M4] CMMCレベル3のNIST SP 800-171以外の「プラクティス」への対応

 CMMCレベル3のNIST SP 800-171以外の「プラクティス」は、21あり、ルール整備で対応可能なものと、システム整備が必要なものがあります。(詳細は、別紙「CMMCレベル3のNIST SP 800-171以外の「プラクティス」への対応」を参照。)

 CMMCレベル3のNIST SP 800-171以外の「プラクティス」で、システム整備が必要となるも6個の「プラクティス」を以下に示します。

プラクティス対応
P1048  
Collect audit logs into a central repository.システム対応監査ログを中央に集約管理する必要がある
⇒システム整備が必要
監査ログを中央の格納場所に収集する。  
CMMC  
P1139  
Regularly perform complete and comprehensive data back-ups and store them off-site and offline.ルール+システム対応171-3.8.9 に関連し、定期バックアップを行い、バックアップデータをシステムから切り離し、別の場所に保管する必要がある。
⇒ルール整備の中に含める。バックアップデータ管理のシステム整備を行う。
完全かつ包括的なデータバックアップを定期的に実施し、オフサイトおよびオフラインで保存する。  
• CIS Controls v7.1 10.1, 10.2, and 10.5  
自動化されたバックアップを定期的に確認する  
システムバックアップを完全に実施する  
バックアップに少なくとも 1 つの宛先があり、それが継続的にアドレス指定可能ではないことを確認する  
P1192  
Implement Domain Name System (DNS) filtering services.システム対応DNS フィルタリングサービスを導入する必要がある
⇒システム整備が必要
DNS フィルタリングサービスを実装する。  
CMMC  
• CIS Controls v7.1 7.7  
DNS フィルタリングサービスの使用  
P1218  
Employ spam protection mechanisms at information system access entry and exit points.システム対応通信の入口出口でのスパム対策メカニズム(スパムフィリタリング)を導入する必要がある
⇒システム整備が必要
情報システムのアクセスの入口と出口でスパム対策メカニズムを使用する。  
CMMC  
P1219  
Implement DNS or asymmetric cryptography email protections.システム対応高度なメール保護として、DNSまたは非対称暗号化方式(公開鍵暗号方式)電子メール保護(SPF、DKIM、DMARC等)を実装する必要がある
⇒システム整備が必要
DNSまたは非対称暗号化方式(公開鍵暗号方式)電子メール保護を実装する。  
CMMC  
P1220  
Utilize email sandboxing to detect or block potentially malicious email attachments.システム対応高度なメール保護として、電子メールサンドボックスを実装する必要がある
⇒システム整備が必要
電子メールサンドボックスを利用して、潜在的に悪意のある電子メールの添付ファイルを検出またはブロックする。  
• CIS Controls v7.1 7.10  
すべての電子メールの添付ファイルをサンドボックスで実行する  

前の記事

[M3] CMMC文書の附属書(APPENDIX)

次の記事

[M5] 参考1. CMMIについて