4.CMMCレベル3NIST SP 800-171以外の「プラクティス」への対応

 CMMCレベル3のNIST SP 800-171 以外の「プラクティス」は、21あり、ルール整備で対応可能なものと、システム整備が必要なものがある。(詳細は、別紙「CMMCレベル3のNIST SP 800-171 以外の「プラクティス」への対応」を参照。)

 CMMCレベル3のNIST SP 800-171 以外の「プラクティス」で、システム整備が必要となるも6個の「プラクティス」を以下に示す。

プラクティス   対応
P1048 Collect audit logs into a central repository.
監査ログを中央の格納場所に収集する。
システム対応監査ログを中央に集約管理する必要がある
⇒システム整備が必要
P1139 Regularly perform complete and comprehensive data back-ups and store them off-site and offline.
 完全かつ包括的なデータバックアップを定期的に実施し、オフサイトおよびオフラインで保存する。
• CIS Controls v7.1 10.1, 10.2, and 10.5
 自動化されたバックアップを定期的に確認する
 システムバックアップを完全に実施する
バックアップに少なくとも 1 つの宛先があり、それが継続的にアドレス指定可能ではないことを確認する
ルール+システム対応171-3.8.9 に関連し、定期バックアップを行い、バックアップデータをシステムから切り離し、別の場所に保管する必要がある。
⇒ルール整備の中に含める。バックアップデータ管理のシステム整備を行う。
P1192 Implement Domain Name System (DNS) filtering services.
 DNS フィルタリングサービスを実装する。
• CMMC
• CIS Controls v7.1 7.7
 DNS フィルタリングサービスの使用
システム対応 DNS フィルタリングサービスを導入する必要がある
⇒システム整備が必要
P1218 Employ spam protection mechanisms at information system access entry and exit points.
 情報システムのアクセスの入口と出口でスパム対策メカニズムを使用する。
• CMMC
システム対応 通信の入口出口でのスパム対策メカニズム(スパムフィリタリング)を導入する必要がある
⇒システム整備が必要
P1219 Implement DNS or asymmetric cryptography email protections.
 DNSまたは非対称暗号化方式(公開鍵暗号方式)電子メール保護を実装する。
• CMMC
システム対応   高度なメール保護として、DNSまたは非対称暗号化方式(公開鍵暗号方式)電子メール保護(SPF、DKIM、DMARC等)を実装する必要がある
⇒システム整備が必要
P1220 Utilize email sandboxing to detect or block potentially malicious email attachments.
 電子メールサンドボックスを利用して、潜在的に悪意のある電子メールの添付ファイルを検出またはブロックする。
• CIS Controls v7.1 7.10
 すべての電子メールの添付ファイルをサンドボックスで実行する
システム対応 高度なメール保護として、電子メールサンドボックスを実装する必要がある
⇒システム整備が必要