OktaはCMMC 2.0のアイデンティティおよびアクセス管理要件を満たす上でどのように役立つか

ドメイン

レベル 1

レベル2

Oktaを活用

アクセスコントロール

(AC)

AC.L1-3.1.1Authorized Access Control

情報システムへのアクセスを、許可されたユーザー、許可されたユーザーに代わって行動するプロセス、またはデバイス (他の情報システムを含む) に制限します。

従業員および承認された第三者向けの正式なアクセス登録および初期プロビジョニングプロセスがOktaに導入されており、すべてのユーザータイプに対するすべてのシステムおよびサービスへのアクセス権を、ポリシーおよび標準に沿って割り当てます。

AC.L1-3.1.2トランザクションと機能の制御

情報システムへのアクセスを、許可されたユーザーが実行できる種類のトランザクションと機能に制限します。

AC.L2-3.1.3

CUIフローの制御

承認された認可に従って CUI のフローを制御します。

組織のコミュニケーションとデータフローがマッピングされ、強制されます。データ検出方法論を使用して、機密データを特定、分類、および追跡できます。機密データフローは、企業が定義した情報管理ポリシーによって管理されます。

AC.L2-3.1.4

職務の分離

共謀なしに悪意のある行為のリスクを軽減するために、個人の職務を分離します。

Oktaは、最小特権の原則と職務分掌を採用しています。許可されたアクセスは、組織の使命およびビジネス機能に従ってタスクに割り当てられたユーザー（またはユーザーに代わって行動するプロセス）に許可されます。

AC.L2-3.1.5

最小権限

特定のセキュリティ機能および特権アカウントを含め、最小特権の原則を採用します。

AC.L2-3.1.6

非特権アカウントの使用

セキュリティ機能にアクセスしない場合は、非特権アカウントまたはロールを使用してください。

AC.L2-3.1.7

特権機能

特権のないユーザーが特権機能を実行するのを防ぎ、そのような機能の実行を監査ログに記録します。

ログは、特に管理ユーザー権限を持つ個人が実行したアクションをキャプチャするように構成されています。ログは保護され、不正に使用されたアカウントを特定および検出するためにレビューされます。矛盾は調査および修正されます。

特権ユーザーアクセスは、管理されたベースで確立および管理され、ユーザーおよびサービスが職務を遂行するために必要なもののみに制限されます。特権ユーザーには、特権アクセスを必要とするタスクのみに使用される専用の特権アカウントが割り当てられます。

AC.L2-3.1.8

ログイン試行の失敗

ログイン試行の失敗回数を制限します。

一定回数のログイン試行の失敗またはユーザーの非アクティブ状態の後、アクセスを制限するためにロックアウト機能が有効になります。アカウントは、特定の期間ロックアウトされるか、管理者がユーザーアカウントを有効にするまでロックアウトされます。ユーザーは、ログインの成功/失敗時に通知を受けます。

AC.L2-3.1.9

プライバシーとセキュリティに関する通知

適用されるCUIルールに準拠したプライバシーおよびセキュリティに関する通知を提供します。

同意を必要とする、または同意に依存する個人データ処理活動が特定され、同意なしにそのようなデータが収集されないようにするためのプロセスが整っています。同意を取得、文書化、追跡、および管理するためのメカニズムは、同意の撤回を含む、適用される規制に従って定義および実装されます。

AC.L2-3.1.10

セッションロック

非アクティブ期間後、パターン非表示ディスプレイでセッションロックを使用して、データへのアクセスと表示を防止します。

一定回数のログイン試行の失敗またはユーザーの非アクティブ状態の後、アクセスを制限するためにロックアウト機能が有効になります。アカウントは、特定の期間ロックアウトされるか、管理者がユーザーアカウントを有効にするまでロックアウトされます。ユーザーは、ログインの成功/失敗時に通知されます。

AC.L2-3.1.11

セッション終了

定義された条件の後、ユーザーセッションを（自動的に）終了します。

AC.L2-3.1.12

リモートアクセスを制御する

リモートアクセスセッションを監視および制御します。

リモートアクセスは、Okta 承認の VPN クライアントを介して制御、監視、および許可されます。

AC.L2-3.1.13

Remote Access Confidentiality

暗号メカニズムを使用して、リモートアクセスセッションの機密性を保護します。

AC.L2-3.1.14

リモートアクセスルーティング

管理されたアクセス制御ポイントを経由してリモートアクセスをルーティングします。

AC.L2-3.1.15

特権リモートアクセス

特権コマンドのリモート実行と、セキュリティ関連情報へのリモートアクセスを承認する

AC.L2-3.1.16

ワイヤレスアクセス認証

そのような接続を許可する前に、ワイヤレスアクセスを承認します。

該当なし

AC.L2-3.1.17

ワイヤレスアクセスの保護

認証と暗号化を使用して、ワイヤレスアクセスを保護します。

該当なし

AC.L2-3.1.18

モバイルデバイス接続

モバイルデバイスの接続を制御します。

該当なし

AC.L2-3.1.19

モバイルでCUIを暗号化する

モバイルデバイスおよびモバイルコンピューティングプラットフォームでCUIを暗号化します。

Oktaは、セキュリティ標準に準拠するために、暗号化および暗号制御を含むセキュリティ制御を通じて、組織的に分類されたデータ型を保存時に保護します。

AC.L1-3.1.20

外部接続

外部情報システムへの接続とその使用を検証および制御/制限します。

該当なし

AC.L2-3.1.21

ポータブルストレージの使用

外部システムでのポータブルストレージデバイスの使用を制限します。

該当なし

AC.L1-3.1.22

パブリック情報を制御する

公にアクセス可能な情報システムに投稿または処理される情報を制御します。

該当なし

Identification and Authentication (IA)

string

識別

情報システムのユーザー、ユーザーに代わって行動するプロセス、またはデバイスを特定します。

安全な認証方法が、システムおよびアプリケーションへのアクセスに使用されます。

IA.L1-3.5.2

後

組織の情報システムへのアクセスを許可する前提条件として、それらのユーザー、プロセス、またはデバイスのアイデンティティを認証（または検証）します。

IA.L2-3.5.3

Multi-factor Authentication

特権アカウントへのローカルおよびネットワークアクセス、ならびに非特権アカウントへのネットワークアクセスには、多要素認証（MFA）を使用してください。

従業員、管理者、および許可されたサードパーティがネットワークおよび情報システムにアクセスできるように、多要素認証（MFA）方式が実装されています。

IA.L2-3.5.4

リプレイ耐性認証

特権アカウントおよび非特権アカウントへのネットワークアクセスには、リプレイ攻撃耐性のある認証メカニズムを採用してください。

安全な認証方法が、システムおよびアプリケーションへのアクセスに使用されます。

IA.L2-3.5.5

識別子の再利用

定義された期間、識別子の再利用を防ぎます。

該当なし

IA.L2-3.5.6

識別子の取り扱い

定義された非アクティブ期間の後、識別子を無効にします。

該当なし

IA.L2-3.5.7

パスワードの複雑さ

新しいパスワードが作成されるときに、パスワードの最小複雑さと文字の変更を適用します。

パスワード構成は、業界、政府、およびその他のコンプライアンス要件に沿って確立、実装、および適用されます。パスワード管理システムはインタラクティブであり、高品質のパスワードを保証します。

IA.L2-3.5.8

パスワードの再利用

指定された世代数において、パスワードの再利用を禁止します。

IA.L2-3.5.9

一時パスワード

システムログイン時に一時パスワードの使用を許可し、すぐに恒久的なパスワードに変更します。

IA.L2-3.5.10

暗号で保護されたパスワード

暗号化によって保護されたパスワードのみを保存および送信します。

IA.L2-3.5.11

不明瞭なフィードバック

認証情報のフィードバックを隠します。

安全な認証方法が、システムおよびアプリケーションへのアクセスに使用されます。