Keeper Security で CMMC を促進
Keeper Security Government Cloud(KSGC)のパスワードマネージャーと特権アクセスマネージャーは FedRAMP 認定を受けており、サイバーセキュリティ成熟度モデル認証(CMMC)の要件に対処します。
CMMC とは?
サイバーセキュリティ成熟度モデル認証(CMMC)とは、米国国防総省(DoD)のサイバーセキュリティのコンプライアンスと認証プログラムであり、管理された非格付け情報(CUI)を保護する NIST 800-171 セキュリティコントロールに対する防衛請負業者の独立評価に重点を置いています。
CMMC は、既存の DFARS 252.204-7012 の規定に基づいて構築されており、アクセス制御とデータ保護が、サイバー脅威のリスクを低減するモデルの最前線に置かれています。
CMMC のセキュリティ制御を満たすには、人材、プロセス、技術の組み合わせが必要となります。Keeper Security Government Cloud (KSGC) を実装することで、米国国防総省の請負業者は CMMC レベル 2 の 110 件の制御のうち 26 件の制御に対処できます。KSGC で網羅する制御の詳細については、以下の表をご参照ください。
Keeper Security Government CloudがパスワードセキュリティのCMMC要件を満たすのにどのように役立つか
CMMC のセキュリティ制御の大部分は、2020 年にリリースされた NIST 800-171 Revision 2 に基づいています。NIST 800-171 Revision 3 は 2024 年第 1 四半期にリリースされ、新しいパスワードセキュリティ要件が含まれます。
多くの DIB IT チームは、組織におけるパスワードセキュリティの状況を把握できていません。KSGC は、組織全体で保存されているパスワードの強度とセキュリティを分析します。KSGC は、各パスワードを複雑さや独自性、ダークウェブでの潜在的な漏洩の基準に対して評価し、個々のクレデンシャルと組織全体のパスワード衛生に関する包括的なリスクスコアを算出します。IT 管理者は、詳細なレポートやダッシュボードを通じて、脆弱なパスワード、使い回されたパスワード、漏洩したパスワードに重点を置いた情報を得ることで、パスワードポリシーを積極的に適用し、是正措置を講じることができます。
KSGC の継続的なモニタリングと警告システムにより、管理者は潜在的なセキュリティ脆弱性に迅速に対応することができ、強固で安全なクレデンシャルを維持することで、組織におけるサイバー脅威に対する防御を大幅に強化することができます。
DIB 請負業者がCMMC 要件を満たした上で安全にファイルを共有するのに Keeper Security Government Cloud ができること
DIB 組織は、CUI ファイルを定期的に受け取り、DoD と共同作業を行っています。CMMC により、組織が CUI を共有する際に、暗号化の使用や許可されたユーザのみにアクセスを制限するなど、厳密なセキュリティプロトコルに従うことが求められています。
Eメールは一般的には暗号化されていないため、転送中のEメールや添付ファイルは
一部の請負業者はマイクロソフトの暗号化Eメールを使用して、受信者に安全なログイン画面を送信して、添付ファイル付きのEメールできるようにします。しかし、多くの場合、政府の端末の内部制御によりこのログインプロセスが実行できないため、情報は届きません。
別の方法として、DIB 請負業者が暗号化された PDF を作成し、その PDF のパスワードを平文のEメールで政府機関に送信する場合があります。この方法は面倒であるのに安全ではなく、使いやすいものではありません。
KSGC でファイルを安全に保存および共有
KSGC は FedRAMP 認定済みのファイル共有機能を搭載しており、安全かつ簡単にファイルを共有できます。Keeper には安全なボルト間共有機能と楕円曲線暗号化によるワンタイム共有機能が搭載されているため、転送中のパスワードやファイルがサイバー犯罪者によって傍受されることはなく、意図された共有相手だけが共有された情報にアクセスできます。ワンタイム共有機能を使用すると共有相手側で暗号化されたファイルを開いたりダウンロードしたりするためにのに Keeper にログインしたり、Keeper のライセンスを取得している必要はありません。
さらに、Keeper 内のログには、ワンタイム共有機能のすべての送受信情報が表示されます。リアルタイムのセキュリティアラートをオンにして、共有が発生した際に、テキスト、メール、あるいは Slack や Teams のようなメッセージングアプリを介してシステム管理者に通知することも可能です。
暗号化されたファイル共有機能の使用は、国防総省と連携する組織にとっては必須となります。Keeper を使用すると、機密ファイルを暗号化された形式で保管、共有することが可能となり、コンプライアンスと監査の合理化を実現します。
KSGC で対応できる CMMC セキュリティ制御
CMMC は最終的に NIST 800-171 の第 3 改訂版を採用する予定であり、防衛産業の請負業者は新たな要件に対応する必要があります。
今後の CMMC の変更
- 新規または更新されたパスワードが、一般的に使用されるもの、予想されるもの、漏洩したパスワードのリストにないことを確かにする
- パスワードが漏洩した場合はパスワードを変更する
下の表の用語の定義
- 充足 - Keeper を、システムセキュリティ計画(SSP)のセキュリティ制御を満たす主要な手段として使用できる。
- サポート - Keeper を、システムセキュリティ計画(SSP)のセキュリティ制御に対する姿勢を強化するために使用できる。
セキュリティ制御とタイトル
ステータス
コメント
AC.L2-3.1.1 許可されたアクセスの制御(CUI)
サポート
Keeper の Enterprise Password Manager(EPM)によりユーザーは、認証をサポートする安全な独自のパスワードを生成、保管できます。
AC.L2-3.1.11
セッションの終了
サポート
期間に基づいてプラットフォーム限定でセッションを終了させるよう制御できます。また、EPM では、パスワードの自動入力のようなアクションで再認証オプションを利用できます。
AC.L2-3.1.12
リモートアクセスの制御
充足
KCM は、最小特権原則に従ってユーザーにリソースへのアクセスを許可するために使用するリモートアクセスゲートウェイです。RDP、HTTPS、SSH、VNC、Telnet、Kubernetes、MySQL、PostgreSQL、SQL などの接続プロトコルを使用します。
AC.L2-3.1.13
リモートアクセスの機密性
充足
KCM は、リモートアクセスの機密性を確保するために、FIPS 140-3 で検証された暗号化を使用しています。
AC.L2-3.1.14
リモートアクセスのルーティング
充足
KCM は、管理されたアクセスコントロールポイントとして機能するリモートアクセスゲートウェイです。
AC.L2-3.1.15
特権リモートアクセス
充足
KCM は、ユーザーアクセスを特定の接続に制限したり、RDP セッション内の特定のアプリケーションへのアクセスを制限、接続時に自動的に SSH コマンドを実行してアクセスを制限できます。
AU.L2-3.3.1 システム監査
サポート
Keeper の高度なレポートとアラートモジュール(ARAM)では、管理者とユーザーのアクティビティに関する、エンタープライズレベルの監査とレポートがご利用になれます。
AU.L2-3.3.5
監査結果の相互の関連付け
サポート
Keeper の ARAM は、SIEM ソリューションと統合し、長期ストレージと監査結果の相互関連付けを実現します。
AU.L2-3.3.6
削減とレポート
サポート
Keeper の ARAM は 200 以上に及ぶイベントタイプのフィルタがご利用になれます。
CM.L2-3.4.2
セキュリティ設定の適用
サポート
EPM は、Keeper の使用方法を制御する広範なグループ単位のポリシーがご利用になれます。
CM.L2-3.4.6
最小機能
サポート
KCM を使用することで、リモート RDP セッションを単一のアプリケーションへ制限したり、クリップボードの動作の制御、印刷を無効にするなどが可能です。
IA.L2-3.5.10
暗号で保護されたパスワード
充足
EPM では、FIPS 140-3 で検証された暗号化を使用して、パスワードを安全に保管および送信します。
IA.L2-3.5.11
フィードバックを隠す
サポート
EPM ではパスワードおよびその他の機密情報がマスクされます。Keeper では、各カスタムフィールドのマスキング設定が可能なカスタムの記録タイプを作成できます。
IA.L2-3.5.3
多要素認証
サポート
Keeper では TOTP、RSA SecureID、Duo Security、FIDO2 セキュリティキー、Windows Hello および携帯端末の生体認証を含む複数の MFA メソッドがサポートされています。また、新規デバイスがアカウントへのアクセスに使用される場合、追加の承認を必要とします。
IA.L2-3.5.4
リプレイ耐性認証
充足
KSM は暗号化された TLS トンネルでシークレットを送信します。シークレットはユーザーのデバイスにより復号されます。
IA.L2-3.5.7
マスターパスワードの複雑性
充足
EPM では、マスターパスワードや、特定のドメインや IP アドレスに対して生成されるパスワードの複雑さをカスタマイズできます。セキュリティ監査レポートでは、組織内のパスワードの強度と脆弱性に関する統計が表示されます。
IA.L2-3.5.8
パスワードの使いまわし
充足
EPM ですべてのアカウントに固有のパスワードを生成することで、パスワードの使い回しを排除できます。セキュリティ監査レポートには、パスワードの使い回しに関する統計が表示されます。
IA.L2-3.5.9
一時的なパスワード
サポート
EPM では、パスワード記録の所有権を譲渡したり、ワンタイム共有機能を通じて、一時的な認証情報を安全に共有できます。
SC.L2-3.13.10
鍵の管理
サポート
KSM では、SSH 鍵、API 鍵、暗号鍵、パスワードなどのシークレットが、FIPS 140-3 で検証されたゼロ知識暗号化を使用して安全に保管および送信されます。また、自動的にシークレットをローテーションさせることができます。
SC.L2-3.13.11
CUI の暗号化
充足
EPM では、FIPS 140-3 で検証されたゼロ知識暗号化を使用してあらゆる CUI が暗号化されます。Moderate Impact Level(中程度の影響レベル)で FedRAMP の認定を受けています。
SC.L2-3.13.16
Data At Rest
充足
EPM では、FIPS 140-3 で検証されたゼロ知識暗号化を使用して、静止状態でシステムに保存されたあらゆる CUI が暗号化されます。Moderate Impact Level(中程度の影響レベル)で FedRAMP の認定を受けています。
SC.L2-3.13.6
例外によるネットワーク通信
サポート
ネットワークアクセスについては、IP アドレスのホワイトリストを有効にすることで制限できます。
SC.L2-3.13.8
Data In Transit
充足
EPM では、FIPS 140-3 で検証されたゼロ知識暗号化を使用して、転送中のあらゆる CUI が暗号化されます。Moderate Impact Level(中程度の影響レベル)で FedRAMP の認定を受けています。
SC.L2-3.13.9
接続の終了
充足
KCM のセッションのタイムアウト設定が可能です。
SI.L2-3.14.3
セキュリティアラート&アドバイザリー
サポート
Keeper の BreachWatch が、パスワードの漏えいをモニタリングし、いずれかのパスワードが漏えいの影響を受けた場合、ユーザーまたは管理者に警告を行います。
SI.L2-3.14.7
不正使用の特定
サポート
Keeper の ARAM は、200 以上のイベントタイプに基づいてアラートを作成できます。EPM のコンプライアンスレポートモジュールでは、追加レポートを作成してパスワードの不正な共有または使用を特定します。
KSGC は FedRAMP の認定を受けています
Keeper Security Government Cloud のパスワードマネージャーと特権アクセスマネージャーは、 FedRAMP の認定を受けており、ゼロ知識セキュリティアーキテクチャとともに、Keeper Security のゼロトラストセキュリティフレームワークを搭載しています。
KSGC で利用できるもの:
社員のパスワード強度の完全な可視化と制御
安全なファイル共有とファイルストレージ
きめ細かなロール単位のアクセス制御(RBAC)
ゼロトラスト・ネットワークアクセス
ダークウェブ漏洩のアラート
