CMMC 2.0 機密コンテンツ通信のコンプライアンスマッピング
CMMCの概要
米国国防総省(DoD)は、サプライチェーンリスク管理アプローチを採用し、すべての第三者パートナーにサイバーセキュリティ成熟度モデル認証(CMMC)を取得することを求めることで、サイバーセキュリティの向上を図っています。CMMCは、制御されていない分類情報(CUI)や連邦契約情報(FCI)などの機密国家安全保障情報の保護を確実にするために設計されています。この認証は、すべてのDoD請負業者および下請け業者に適用され、コンプライアンスを維持できない請負業者はDoD契約に入札することができません。
DFARSおよびDoDの規則とポリシーの下で、DoDはCUIとFCIを保護するためにCMMC規格にサイバーセキュリティコントロールを実装しました。したがって、CMMCは組織のFCIとCUIを保護する能力を測定します。FCIは、公共に公開されることを意図していない情報であり、政府に製品やサービスを開発または提供するために契約の下で政府によって提供されるか、または生成されるものです。CUIは、連邦法、規制、および政府全体のポリシーに従い、一貫して保護または配布制御が必要な情報です。
CMMC 2.0
CMMC 2.0は、頻繁で複雑なサイバー攻撃から防衛産業基盤を保護するための更新された包括的なフレームワークです。この簡素化されたバージョンは、2021年後半にリリースされ、最も重要なセキュリティとコンプライアンス要件に焦点を当てています。コンプライアンスレベルは5から3に削減され、第三者評価は重要な国家安全保障情報を管理するレベル2および3のパートナーにのみ必要です。このモデルは、広く受け入れられている連邦情報処理規格(FIPS)200のセキュリティ関連分野および国立標準技術研究所(NIST)SP 800-171および800-172の管理策ファミリーと整合しています。
図1. CMMC 1.0と2.0の比較。
Kiteworksプラットフォーム
KiteworksのFedRAMPおよびFIPS-140-2準拠のプラットフォームは、プライバシーとコンプライアンスガバナンスを可能にし、組織が機密コンテンツを送信、共有、受信、保存できるようにします。セキュアメール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)などの通信チャネルを統合し、Kiteworksプラットフォームは、機密デジタル通信を追跡、制御、保護しながら、可視性とメタデータを統一するプライベートコンテンツネットワークを作成します。Kiteworksプラットフォームの機能には以下が含まれます:
セキュアメール
Kiteworksはプライベートなメール通信をロックダウンし、規制コンプライアンスを確保します。ユーザーはどこからでも、どのデバイスからでもメールと添付ファイルを送信するだけで、Kiteworksプラットフォームが自動的にそれらを保護します。
セキュアファイル共有
Kiteworksは、政府職員や連邦請負業者がCUIに安全にアクセスし、共有できるようにし、データ侵害、マルウェア攻撃、データ損失のリスクを軽減します。
マネージドファイル転送
政府機関や企業が機密ファイルを転送する際に、大規模なファイル転送を効率化、自動化、セキュア化し、コンプライアンス違反を防ぐためのポリシーコントロールを確立します。
ウェブフォーム
政府機関の職員や請負業者、第三者のビジネスユーザーは、プライバシーとコンプライアンスポリシーによって管理される機密情報をアップロードできます。
アプリケーションプログラミングインターフェース(API)
組織は、Kiteworksプラットフォーム上でカスタムコンテンツアプリケーションと統合を開発し、データ侵害とコンプライアンス違反のリスクを管理することができます。
CMMC 2.0の以下の分析により、KiteworksがCMMC 2.0レベル2の要件の約90%を標準でサポートしていることが明らかになりました(付録参照)。
米国DoDとビジネスを行う請負業者および下請け業者にとって、これはコンプライアンス監査を劇的に迅速化し、さらには収益機会を拡大することを意味します。さらに、CMMC 2.0が施行されると、CMMC 2.0に準拠した機密コンテンツ通信を証明できない企業は、DoDプロジェクトに競争し、参加することができません。
アクセス制御
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル 1 AC.L1-3.1.1 | 認可されたアクセス制御 [CUIデータ] | 情報システムへのアクセスを認可されたユーザー、ユーザーの代理で動作するプロセス、およびデバイス(他のシステムを含む)に制限する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、CUIを含むすべてのコンテンツを保護するために厳格なアクセス制御を実施します。資格情報ベースの認証、証明書ベースの認証、多要素認証(MFA)、SAML 2.0 シングルサインオン(SSO)、Kerberos SSO、OAuth、LDAP/マイクロソフトActive Directory統合、Azure Active Directory(Azure AD)、およびローカルで管理されるユーザーと資格情報など、複数の認証方法をサポートしています。 |
| レベル 1 AC.L1-3.1.2 | トランザクションと機能の制御 | 情報システムへのアクセスを、認可されたユーザーが実行を許可されているトランザクションと機能の種類に制限する | はい、コンプライアンスをサポートします | システム管理者とコンテンツ所有者は、詳細な役割ベースの権限を通じてアクセスを制御し、ファイルやフォルダーにオーナー、マネージャー、コラボレーター、ダウンローダー、ビューアー、またはアップローダーなどの役割を割り当て、ユーザーが実行を許可されているトランザクションと機能の種類を制限します。 |
| レベル 1 AC.L1-3.1.20 | 外部接続 [CUIデータ] | 外部情報システムへの接続を確認し、制御/制限する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、Google Drive、Box、Dropbox、Microsoft OneDrive、Microsoft SharePoint Onlineなどのクラウドエンタープライズコンテンツ管理システムへの制御されたアクセスを提供します。 |
| レベル 1 AC.L1-3.1.22 | 公開情報の制御 [CUIデータ] | 公開アクセス可能な情報システムに投稿または処理される情報を制御する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、FedRAMP要件に従って、プライベートまたはハイブリッドクラウドとして、またはAWSの隔離された環境でのプライベートホスト展開として導入できます。 |
| レベル 2 AC.L2-3.1.3 | CUIフローの制御 | 承認された許可に従ってCUIのフローを制御する | はい、コンプライアンスをサポートします | 管理者とコンテンツ所有者は、コンテンツベースのリスクポリシー(属性ベースのアクセス制御)を使用してCUIのフローを制御します。これらのポリシーは、コンテンツ属性(フォルダーパスや感度ラベルなど)、ユーザー属性(ドメインやプロファイルなど)、および実行されるアクションに基づいて動的なアクセス制御を強制し、CUIが承認された許可に従って処理されることを保証します。 |
| レベル 2 AC.L2-3.1.4 | 職務の分離 | 共謀なしに悪意のある活動のリスクを減らすために個人の職務を分離する | はい、コンプライアンスをサポートします | 管理者は、CUIのために異なる役割とアクセスレベルを定義し、共謀のリスクを減らします。 |
| レベル 2 AC.L2-3.1.5 | 最小特権 | 特定のセキュリティ機能や特権アカウントを含む最小特権の原則を採用する | はい、コンプライアンスをサポートします | プラットフォームは、階層的な権限を持つカスタマイズ可能な管理者役割をサポートしています。役割、IPアドレス、地理的な場所、ドメイン、時間ベースの制限に基づいてアクセスポリシーを定義することで、プラットフォームはユーザーと管理者の両方に対して最小特権の原則を強制します。 |
| レベル 2 AC.L2-3.1.6 | 非特権アカウントの使用 | 非セキュリティ機能にアクセスする際に非特権アカウントまたは役割を使用する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、非特権ユーザーが管理機能を実行することを防ぎます。プラットフォームはまた、すべてのセキュリティ機能へのアクセスをログに記録し、それらの機能の実行を監査可能にします。 |
| レベル 2 AC.L2-3.1.7 | 特権機能 | 非特権ユーザーが特権機能を実行することを防ぎ、そのような機能の実行を監査ログに記録する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、管理者が異なるタイプのアカウントとアクセス権を定義できるようにし、非特権ユーザーが特権コンテンツやコントロールにアクセスすることを防ぎます。すべての管理アクションは包括的な監査ログに記録され、特権機能の実行が追跡され、アカウンタビリティとコンプライアンス要件をサポートします。 |
| レベル 2 AC.L2-3.1.8 | ログイン失敗試行 | ログイン失敗試行を制限する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がログイン失敗試行の制限を設定できるようにします。その制限に達した場合、そのアカウントはロックされ、管理者やセキュリティ専門家にアラートが送信されます。 |
| レベル 2 AC.L2-3.1.9 | プライバシーとセキュリティ通知 | 適用されるCUIルールに一致するプライバシーとセキュリティ通知を提供する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、組織が必要とするプライバシーとセキュリティ通知を表示するようにカスタマイズできます。 |
| レベル 2 AC.L2-3.1.10 | セッションロック | 非活動期間後にデータへのアクセスと表示を防ぐためにパターン隠蔽ディスプレイを使用したセッションロックを使用する | 部分的にコンプライアンスをサポートします | Kiteworksプラットフォームは、非活動期間後にセッションをロックしますが、パターン隠蔽ディスプレイは使用しません。 |
| レベル 2 AC.L2-3.1.11 | セッション終了 | 定義された条件後にユーザーセッションを自動的に終了する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がアイドル時間の設定後にユーザーを自動的にログアウトさせるポリシーを定義できるようにします。システム管理者はアクティブなセッションを監視し、手動で終了することもできます。 |
| レベル 2 AC.L2-3.1.12 | リモートアクセスの制御 | リモートアクセスセッションを監視し制御する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、すべてのリモートアクセスを監視し、ログに記録します。すべてのリモートアクセスは厳格なアクセス制御ポリシーによって管理されます。システム管理者はアクティブなセッションを監視し、手動で終了することができます。 |
| レベル 2 AC.L2-3.1.13 | リモートアクセスの機密性 | リモートアクセスセッションの機密性を保護するために暗号化メカニズムを使用する | はい、コンプライアンスをサポートします | プラットフォームは、TLS 1.3および1.2などの暗号化メカニズムを使用して、リモートアクセスセッションの機密性を保護します。保存中のコンテンツは、ファイルレベルとディスクレベルの両方でAES-256暗号化を使用して二重に暗号化されます。顧客は自分の暗号化キーを所有し、プラットフォームはキー管理のためにハードウェアセキュリティモジュール(HSM)との統合をサポートし、認可されたユーザーのみが機密データを復号できるようにします。 |
| レベル 2 AC.L2-3.1.14 | リモートアクセスルーティング | 管理されたアクセス制御ポイントを介してリモートアクセスをルーティングする | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がクライアントアクセス(HTTPSまたはSFTP)用に利用可能なノード(サーバー)を制御できるようにします。 |
| レベル 2 AC.L2-3.1.15 | 特権リモートアクセス | 特権コマンドのリモート実行とセキュリティ関連情報へのリモートアクセスを認可する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、認証を必要とし、独自のIPアクセス制限を提供する別の管理インターフェースを提供します。 |
| レベル 2 AC.L2-3.1.16 | ワイヤレスアクセスの認可 | そのような接続を許可する前にワイヤレスアクセスを認可する | 対象外 | N/A |
| レベル 2 AC.L2-3.1.17 | ワイヤレスアクセスの保護 | 認証と暗号化を使用してワイヤレスアクセスを保護する | 対象外 | N/A |
| レベル 2 AC.L2-3.1.18 | モバイルデバイス接続 | モバイルデバイスの接続を制御する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、Kiteworksモバイルアプリからのアクセスを有効または無効にします。システム管理者は、ユーザーセッションを管理および終了することもできます。モバイルデバイスが紛失または盗難された場合、システム管理者はデバイス上のKiteworksセキュアコンテナ内のすべてのCUIをリモートワイプすることができます。 |
| レベル 2 AC.L2-3.1.19 | モバイルでのCUIの暗号化 | モバイルデバイスおよびモバイルコンピューティングプラットフォームでCUIを暗号化する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、モバイルデバイスおよびモバイルコンピューティングプラットフォームでCUIを保存中に暗号化します。さらに、CUIをセキュアコンテナに保存し、モバイルデバイス上のCUIを不正アクセス、データ破損、マルウェアから保護します。 |
| レベル 2 AC.L2-3.1.21 | ポータブルストレージの使用 | 外部システムでのポータブルストレージデバイスの使用を制限する | 対象外 | N/A |
意識とトレーニング
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 AT.L2-3.2.1 | 役割ベースのリスク意識 | 管理者、システム管理者、および組織システムのユーザーが、自分の活動に関連するセキュリティリスクと、それらのシステムのセキュリティに関連する適用可能なポリシー、標準、および手順を認識するようにします。 | はい、コンプライアンスをサポートします | KiteworksのFedRAMP運用管理者および管理担当者は、プラットフォームに関連するセキュリティリスクと適用可能なポリシー、標準、および手順について訓練を受けています。システムは、最小特権の原則に従わないアクセス制御など、潜在的にリスクのある設定について顧客管理者に警告します。 |
| レベル2 AT.L2-3.2.2 | 役割ベースのトレーニング | 担当者が割り当てられた情報セキュリティ関連の職務と責任を遂行するための訓練を受けるようにします。 | 部分的にコンプライアンスをサポートします | KiteworksのFedRAMP運用担当者は、プラットフォームに関連するセキュリティリスクと適用可能なポリシー、標準、および手順について訓練を受けています。 |
| レベル2 AT.L2-3.2.3 | 内部脅威意識 | 内部脅威の潜在的な指標を認識し報告するためのセキュリティ意識トレーニングを提供します。 | 部分的にコンプライアンスをサポートします | KiteworksのFedRAMP運用担当者は、定期的にセキュリティ意識トレーニングを受ける必要があります。 |
監査とアカウンタビリティ
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 AU.L2-3.3.1 | システム監査 | 違法または無許可のシステム活動の監視、分析、調査、報告を可能にするために必要な範囲でシステム監査ログと記録を作成し、保持する | はい、コンプライアンスをサポートします | Kiteworksは、すべてのユーザーおよびシステム活動を詳細かつタイムリーにキャプチャする包括的な監査ログを提供します。ログには、ユーザー認証試行、ファイルアクセス、共有活動、管理者のアクションが含まれ、複数のsyslogフィードを介してリアルタイムでSIEMシステムにエクスポートできます。 |
| レベル2 AU.L2-3.3.2 | ユーザーアカウンタビリティ | 個々のシステムユーザーの行動をそのユーザーに一意に追跡できるようにし、行動に対する責任を持たせる | はい、コンプライアンスをサポートします | プラットフォームは一意のユーザーIDを割り当て、すべての行動を個々のユーザーに一意に追跡できる詳細な監査ログを保持します。認証試行、ファイルアクセス、編集、削除、共有などの活動が記録されます。 |
| レベル2 AU.L2-3.3.3 | イベントレビュー | 記録されたイベントをレビューし、更新する | はい、コンプライアンスをサポートします | ログはレビュー可能ですが、更新や削除はできません。 |
| レベル2 AU.L2-3.3.4 | 監査失敗アラート | 監査ログプロセスの失敗時にアラートを発する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、ログプロセスの失敗時に管理者にアラートを発します。 |
| レベル2 AU.L2-3.3.5 | 監査相関 | 違法、無許可、疑わしい、または異常な活動の兆候に対する調査と対応のために、監査記録のレビュー、分析、報告プロセスを相関させる | はい、コンプライアンスをサポートします | Kiteworksは、統合された正規化ログを通じて監査記録の相関を促進し、分析を簡素化します。SIEMツールとの統合と組み込みの検出メカニズムが、違法、無許可、疑わしい、または異常な活動の兆候に対する調査と対応をサポートします。 |
| レベル2 AU.L2-3.3.6 | 削減と報告 | オンデマンド分析と報告をサポートするために監査記録の削減と報告生成を提供する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、SIEMシステムにエクスポート可能な包括的な監査ログを提供し、オンデマンドレポートで分析できます。ログには、ユーザー名、メールアドレス、IPアドレス、ファイルまたはフォルダ名、イベントタイプなどのコンテンツ固有の監査記録フィールドが含まれます。Kiteworksはまた、CISOダッシュボードを提供し、CISOや他のセキュリティ関係者にとってのシステム問題や関心事項を強調し、活動や異常行動の視覚的で読みやすいプレゼンテーションを提供します。 |
| レベル2 AU.L2-3.3.7 | 権威ある時間源 | 監査記録のタイムスタンプを生成するために、内部システムクロックを権威あるソースと比較し、同期するシステム機能を提供する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、Network Time Protocol(NTP)サーバーと統合し、監査記録のための権威あるタイムスタンプを提供します。 |
| レベル2 AU.L2-3.3.8 | 監査保護 | 無許可のアクセス、変更、削除から監査情報と監査ログツールを保護する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームによって生成されたログは、イベント相関と脅威ハンティングのためにSIEMシステムや他のセキュリティ分析プラットフォームにエクスポートできます。プラットフォームはまた、異常行動を本質的に検出し、そのアラートを監査ログの一部として含めます。 |
| レベル2 AU.L2-3.3.9 | 監査管理 | 監査ログ機能の管理を特権ユーザーのサブセットに限定する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームのログは、編集や削除から保護されています。 |
構成管理
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 CM.L2-3.4.1 | システムベースライニング | 組織のシステム(ハードウェア、ソフトウェア、ファームウェア、ドキュメントを含む)のベースライン構成とインベントリを、それぞれのシステム開発ライフサイクル全体で確立し維持する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、Kiteworksシステムのベースライン構成を追跡するために使用できるワンクリックコンプライアンスレポートを提供します。 |
| レベル2 CM.L2-3.4.2 | セキュリティ構成の強制 | 組織のシステムで使用される情報技術製品のセキュリティ構成設定を確立し、強制する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームのシステム管理者は、プラットフォームのセキュリティ設定を構成できます。管理者は、プラットフォームの管理下でCUIにアクセスするユーザーとそのモバイルデバイスのセキュリティ設定も構成できます。 |
| レベル2 CM.L2-3.4.3 | システム変更管理 | 組織のシステムへの変更を追跡、レビュー、承認または不承認し、ログに記録する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がプラットフォームに加えられたすべての変更を追跡、レビュー、制御できるようにします。 |
| レベル2 CM.L2-3.4.4 | セキュリティ影響分析 | 実装前に変更のセキュリティ影響を分析する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、推奨レベル以下にセキュリティを低下させる構成変更を報告するコンプライアンス監査を提供します。 |
| レベル2 CM.L2-3.4.5 | 変更に対するアクセス制限 | 組織のシステムへの変更に関連する物理的および論理的なアクセス制限を定義、文書化、承認、強制する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、管理下のCUIに適用されるすべての論理的アクセス制限を強制し、ログに記録します。 |
| レベル2 CM.L2-3.4.6 | 最小機能性 | 組織のシステムを構成して、必要な機能のみを提供することにより、最小機能性の原則を採用する | はい、コンプライアンスをサポートします | Kiteworksの強化されたアプライアンスは、必要最小限のポートとサービスのみを公開します。システムは、ユーザーや管理者にオペレーティングシステムへのアクセスを提供しません。 |
| レベル2 CM.L2-3.4.7 | 不要な機能性 | 不要なプログラム、機能、ポート、プロトコル、サービスの使用を制限、無効化、または禁止する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、不要なサービスが無効化された強化されたアプライアンスとして出荷されます。すべての未使用ポートはブロックされます。また、SFTP/SSHアクセスを有効/無効にする機能も提供しています。 |
| レベル2 CM.L2-3.4.8 | アプリケーション実行ポリシー | 許可されていないソフトウェアの使用を防ぐために、例外による拒否(ブラックリスト)ポリシーを適用するか、許可されたソフトウェアの実行を許可するために、すべてを拒否し、例外による許可(ホワイトリスト)ポリシーを適用する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、プラットフォームにアクセスするモバイルデバイス上のアプリのホワイトリスト化を強制します。 |
| レベル2 CM.L2-3.4.9 | ユーザーインストールソフトウェア | ユーザーインストールソフトウェアを制御および監視する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、エンドユーザーに提供されるプラグインやアプリを制御することを可能にします。プラットフォームはまた、モバイルアプリのホワイトリスト化を強制し、許可されていない第三者アプリがCUIにアクセスするのを防ぎます。 |
識別と認証
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル1 IA.L1-3.5.1 | 識別 [CUIデータ] | 情報システムのユーザー、ユーザーの代理として動作するプロセス、またはデバイスを識別する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、個々のユーザーにユニークなIDを割り当て、すべてのデバイスでプラットフォーム上のユーザー活動を追跡します。 |
| レベル1 IA.L1-3.5.2 | 認証 [CUIデータ] | 組織の情報システムへのアクセスを許可する前提条件として、これらのユーザー、プロセス、またはデバイスの身元を認証(または確認)する | はい、コンプライアンスをサポートします | KiteworksはユーザーにユニークなIDを割り当て、アクセスを許可する前に認証を要求します。認証方法には、資格情報ベース、証明書ベース、多要素認証(MFA)、SAML 2.0 SSO、Kerberos SSO、OAuth、LDAP/Active Directory統合、Azure AD、時間ベースのOTP認証器などをサポートしています。 |
| レベル2 IA.L2-3.5.3 | 多要素認証 | 特権アカウントへのローカルおよびネットワークアクセス、非特権アカウントへのネットワークアクセスに多要素認証を使用する | はい、コンプライアンスをサポートします | プラットフォームは、RADIUSプロトコル、PIV/CACカード、メールベースのOTP、SMSベースのOTP、時間ベースのOTP、証明書ベースの認証などの方法を使用して、特権および非特権アカウントの両方に多要素認証(MFA)をサポートおよび強制できます。これにより、すべてのユーザーのセキュリティが強化されます。 |
| レベル2 IA.L2-3.5.4 | リプレイ耐性認証 | 特権および非特権アカウントへのネットワークアクセスにリプレイ耐性のある認証メカニズムを採用する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、管理セッションに多要素認証を要求するように設定できます。多要素認証は、メールを介したワンタイムパスコードによっても強制されます。あるいは、SMSベースのパスコードやRADIUSプロトコルをサポートするサードパーティの認証ソリューションとの統合を通じて、多要素認証が強制されます。また、アイドル時間のしきい値に達した後にセッションをタイムアウトするように設定することもできます。これにより、古い資格情報のリプレイを防ぎます。Kiteworksはまた、資格情報を使用せず、リプレイに対して脆弱でないPIV/CACカードもサポートしています。 |
| レベル2 IA.L2-3.5.5 | 識別子の再利用 | 定義された期間、識別子の再利用を防ぐ | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、各ユーザーにユニークなIDを割り当て、ユーザーごとおよびファイルごとの活動を追跡します。 |
| レベル2 IA.L2-3.5.6 | 識別子の取り扱い | 定義された非活動期間後に識別子を無効にする | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がセッションタイムアウトポリシーを設定し、定義された非活動期間後にユーザーを切断することを可能にします。必要に応じて、一定期間後にエンドユーザーのアクセスを完全に削除することもできます。 |
| レベル2 IA.L2-3.5.7 | パスワードの複雑性 | 新しいパスワードが作成される際に、最低限のパスワードの複雑性と文字の変更を強制する | はい、コンプライアンスをサポートします | プラットフォームは、マネージャーやシステム管理者がパスワードの構成要件を定義することを可能にし、パスワードの複雑性に関する要件を含みます。 |
| レベル2 IA.L2-3.5.8 | パスワードの再利用 | 指定された世代数の間、パスワードの再利用を禁止する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、パスワードの再利用を禁止するように設定できます。 |
| レベル2 IA.L2-3.5.9 | 一時パスワード | システムログオンのために一時パスワードの使用を許可し、即座に恒久的なパスワードに変更する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がユーザーパスワードをリセットし、次回のログオン時にパスワード変更を強制することを可能にします。そうでなければ、ユーザーはアカウント確認リンクまたはパスワードリセットリンクを使用してパスワードを設定またはリセットします。 |
| レベル2 IA.L2-3.5.10 | 暗号化されたパスワード | 暗号化されたパスワードのみを保存および送信する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、パスワードを転送中および保存中に暗号化します。保存中のパスワードはソルトハッシュとして保存されます。パスワードは決して安全でない方法で保存または送信されません。 |
| レベル2 IA.L2-3.5.11 | フィードバックの隠蔽 | 認証情報のフィードバックを隠蔽する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、すべての認証情報を安全なトランスポート層セキュリティ(TLS)接続を使用して送信します。デフォルトでは、パスワードは画面上に平文で表示されません。 |
インシデント対応
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 IR.L2-3.6.1 | インシデントハンドリング | 準備、検出、分析、封じ込め、復旧、ユーザー対応活動を含む組織システムの運用インシデントハンドリング能力を確立する | 部分的にコンプライアンスをサポート | Kiteworksプラットフォームによって生成されたログは、SIEMシステムや他のセキュリティ分析プラットフォームにエクスポートされ、イベントの相関や脅威ハンティングに利用されます。プラットフォームは異常な行動を自動的に検出し、監査ログの一部としてこれらのアラートを含めます。 |
| レベル2 IR.L2-3.6.2 | インシデント報告 | 組織内外の指定された役員および/または当局にインシデントを追跡、文書化、報告する | はい、コンプライアンスをサポート | Kiteworksプラットフォームによって生成されたログは、SIEMシステムや他のセキュリティ分析プラットフォームにエクスポートされ、イベントの相関や脅威ハンティングに利用されます。プラットフォームは異常な行動を自動的に検出し、監査ログの一部としてこれらのアラートを含めます。 |
| レベル2 IR.L2-3.6.3 | インシデント対応テスト | 組織のインシデント対応能力をテストする | 範囲外 | N/A |
メンテナンス
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 MA.L2-3.7.1 | メンテナンスの実施 | 組織システムのメンテナンスを実施する | はい、コンプライアンスをサポート | Kiteworksのスタッフは、文書化され監査されたプロセスと手順に従って、FedRAMP Kiteworksシステムのメンテナンスを実施します。 |
| レベル2 MA.L2-3.7.2 | システムメンテナンス管理 | システムメンテナンスを実施するために使用されるツール、技術、メカニズム、および人員に対する管理を提供する | はい、コンプライアンスをサポート | 顧客のスタッフは、安全で監査された管理者ユーザーインターフェースを使用してのみメンテナンスを実施でき、オペレーティングシステムへのアクセスはできません。FedRAMPシステムの場合、Kiteworks組織は、監査されたKiteworks FedRAMPプロセスで定義されたツール、技術、メカニズム、および人員に対する管理を提供します。 |
| レベル2 MA.L2-3.7.3 | 機器の消毒 | オフサイトメンテナンスのために取り外された機器がCUIを消去されていることを確認する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、紛失、盗難、または廃棄されたモバイルデバイスの安全なコンテナをリモートで消去することができます。 |
| レベル2 MA.L2-3.7.4 | メディア検査 | 組織システムで使用する前に、診断およびテストプログラムを含むメディアを悪意のあるコードがないか確認する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、F-Secureアンチウイルスソフトウェアを使用して、デフォルトでCUIをウイルスやその他のマルウェアからスキャンします。プラットフォームはCheck Point SandBlastと統合されており、APIを通じて他の高度な脅威防止技術と統合し、持続的標的型攻撃やゼロデイ攻撃をスキャンします。 |
| レベル2 MA.L2-3.7.5 | 非ローカルメンテナンス | 外部ネットワーク接続を介して非ローカルメンテナンスセッションを確立するために多要素認証を要求し、非ローカルメンテナンスが完了したらその接続を終了する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、管理セッションに多要素認証を要求するように設定できます。多要素認証は、メールを介したワンタイムパスコードによっても強制されます。あるいは、SMSベースのパスコードやRADIUSプロトコルをサポートするサードパーティの認証ソリューションとの統合を通じて、多要素認証が強制されます。また、アイドル時間のしきい値を超えた場合にセッションをタイムアウトするように設定することもできます。 |
| レベル2 MA.L2-3.7.6 | メンテナンス担当者 | 必要なアクセス承認なしにメンテナンス担当者のメンテナンス活動を監督する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、すべてのユーザーの活動をログに記録し、さまざまな特権を持つユーザーのメンテナンス活動も含まれます。 |
メディア保護
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル1 MP.L1-3.8.3 | メディア廃棄 [CUIデータ] | 廃棄または再利用のためにリリースする前に、連邦契約情報を含む情報システムメディアを消去または破壊する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、紛失、盗難、または廃棄されたモバイルデバイスの安全なコンテナ内のCUIをリモートで消去することができます。 |
| レベル2 MP.L2-3.8.1 | メディア保護 | CUIを含むシステムメディア(紙およびデジタル)を保護(物理的に管理し、安全に保管)する | はい、コンプライアンスをサポート | Kiteworks FedRAMPシステムは、メディアに保存されているすべてのCUIを暗号化し、物理メディアはKiteworksが使用するデータセンターで手続き的に管理され、監査されます。 |
| レベル2 MP.L2-3.8.2 | メディアアクセス | システムメディア上のCUIへのアクセスを認可されたユーザーに制限する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、コンテンツを暗号化し、アクセス制御を強制することでCUIを保護します。 |
| レベル2 MP.L2-3.8.4 | メディアマーキング | 必要なCUIマーキングと配布制限をメディアにマークする | はい、コンプライアンスをサポート | ユーザーは、ファイル名やフォルダ名、メールの件名にCUIをマークすることができます。Kiteworksは、Microsoft MIP感度ラベルに基づくポリシーを自動化し、CUIをマークするために使用できます。 |
| レベル2 MP.L2-3.8.5 | メディアアカウンタビリティ | CUIを含むメディアへのアクセスを制御し、管理されたエリア外での輸送中にメディアのアカウンタビリティを維持する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、モバイルデバイスの場所に関係なくアクセス制御を強制します。 |
| レベル2 MP.L2-3.8.6 | ポータブルストレージ暗号化 | 代替の物理的保護策によって保護されていない限り、輸送中のデジタルメディアに保存されているCUIの機密性を保護するために暗号化メカニズムを実装する | はい、コンプライアンスをサポート | Kiteworksプラットフォームは、すべてのCUIをAES-256暗号化で保存中に暗号化します。 |
| レベル2 MP.L2-3.8.7 | リムーバブルメディア | システムコンポーネントでのリムーバブルメディアの使用を制御する | 範囲外 | N/A |
| レベル2 MP.L2-3.8.8 | 共有メディア | 識別可能な所有者がいないポータブルストレージデバイスの使用を禁止する | 範囲外 | N/A |
| レベル2 MP.L2-3.8.9 | バックアップの保護 | 保存場所でのバックアップCUIの機密性を保護する | はい、コンプライアンスをサポート | Kiteworksは、文書化され監査された手順に従ってFedRAMPシステムのバックアップの機密性を保護します。すべてのCUIは、顧客が所有するキーで暗号化されます。 |
人事セキュリティ
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 PS.L2-3.9.1 | 個人の審査 | CUIを含む組織システムへのアクセスを許可する前に個人を審査する | はい、コンプライアンスをサポートします | KiteworksのFedRAMP人員は審査済みの米国市民です。 |
| レベル2 PS.L2-3.9.2 | 人事措置 | 解雇や異動などの人事措置中および後に、CUIを含む組織システムが保護されていることを確認する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、従業員や請負業者が解雇または異動された場合でもCUIを保護します。CUIはモバイルデバイスからリモートで消去でき、プライベートまたはパブリッククラウドリポジトリへのアクセスをブロックできます。 |
物理的保護
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル1 PE.L1-3.10.1 | 物理アクセスの制限 [CUIデータ] | 組織の情報システム、機器、およびそれに関連する運用環境への物理アクセスを許可された個人に限定する | はい、コンプライアンスをサポートします | KiteworksのFedRAMPシステムは、物理アクセスを制限する厳格で監査された手順を備えた管理環境に展開されています。 |
| レベル1 PE.L1-3.10.3 | 訪問者のエスコート [CUIデータ] | 訪問者をエスコートし、訪問者の活動を監視する | はい、コンプライアンスをサポートします | KiteworksのFedRAMPシステムは、訪問者のエスコートと監視を含む厳格で監査された手順を備えた管理環境に展開されています。 |
| レベル1 PE.L1-3.10.4 | アクセスログ [CUIデータ] | 物理アクセスの監査ログを維持する | はい、コンプライアンスをサポートします | Kiteworksは、FedRAMPシステムのすべての物理アクセスの監査ログを維持しています。 |
| レベル1 PE.L1-3.10.5 | 物理アクセスの管理 [CUIデータ] | 物理アクセスデバイスを制御および管理する | はい、コンプライアンスをサポートします | KiteworksのFedRAMPシステムは、カードリーダー、アクセスカード、その他のアクセスデバイスを制御する厳格で監査された手順を備えた管理環境に展開および管理されています。 |
| レベル2 PE.L2-3.10.2 | 施設の監視 | 組織システムの物理施設とサポートインフラを保護および監視する | はい、コンプライアンスをサポートします | KiteworksのFedRAMPシステムは、厳格で監査された保護と監視を備えた管理環境に展開されています。 |
| レベル2 PE.L2-3.10.6 | 代替作業場所 | 代替作業場所でのCUIの保護措置を強制する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、すべての場所でCUIを保護します。CUIへのリモートアクセスは、モバイルデバイス上のセキュアコンテナの使用や、転送中および保存中のすべてのCUIの暗号化を含むベストプラクティスとともに、認証制御で保護されています。 |
リスク評価
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 RA.L2-3.11.1 | リスク評価 | 組織の運用(ミッション、機能、イメージ、評判を含む)、組織資産、および個人に対するリスクを、組織システムの運用および関連するCUIの処理、保存、または送信から定期的に評価する | 範囲外 | N/A |
| レベル2 RA.L2-3.11.2 | 脆弱性スキャン | 組織システムおよびアプリケーションの脆弱性を定期的に、またそれらのシステムおよびアプリケーションに影響を与える新しい脆弱性が特定された場合にスキャンする | はい、コンプライアンスをサポートします | Kiteworksのセキュリティエンジニアは、コードベースを定期的にスキャンして新しい脆弱性を発見します。 |
| レベル2 RA.L2-3.11.3 | 脆弱性の修正 | リスク評価に従って脆弱性を修正する | はい、コンプライアンスをサポートします | Kiteworksのセキュリティエンジニアは、文書化されたセキュアソフトウェア開発ライフサイクルに従って修正を優先し、リリースします。Kiteworks製品は、ホスト型であれ顧客の施設に展開されているものであれ、新しい更新の可用性を検出し、クリックで適用できます。Kiteworks組織は、プレミアムサポートパッケージの一部として更新をサービスとして提供します。 |
セキュリティ評価
| CMMC 2.0 | 名前 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル2 CA.L2-3.12.1 | セキュリティコントロール評価 | 組織システムのセキュリティコントロールを定期的に評価し、コントロールがその適用において効果的であるかどうかを判断する | はい、コンプライアンスをサポートします | KiteworksはSOC 2認証を受けており、FedRAMP認可済みで、FIPS 140-2に準拠しており、すべてのガイドラインとレビューに従っています。 |
| レベル2 CA.L2-3.12.2 | 運用行動計画 | 組織システムの欠陥を修正し、脆弱性を減少または排除するための行動計画を策定し、実施する | はい、コンプライアンスをサポートします | KiteworksはSOC 2認証を受けており、FedRAMP認可済みで、FIPS 140-2に準拠しており、すべてのガイドラインとレビューに従っています。 |
| レベル2 CA.L2-3.12.3 | セキュリティコントロールの監視 | コントロールの継続的な効果を確保するために、セキュリティコントロールを継続的に監視する | はい、コンプライアンスをサポートします | KiteworksのFedRAMPセキュリティコントロールとインシデントは、第三者評価機関(3PAO)によって毎年監査されます。 |
| レベル2 CA.L2-3.12.4 | システムセキュリティ計画 | システムの境界、運用環境、セキュリティ要件の実施方法、および他のシステムとの関係や接続を説明するシステムセキュリティ計画を策定、文書化し、定期的に更新する | はい、コンプライアンスをサポートします | KiteworksはSOC 2認証を受けており、FedRAMP認可済みで、FIPS 140-2に準拠しており、すべてのガイドラインとレビューに従っています。 |
システムと通信の保護
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル 1 SC.L1-3.13.1 | 境界保護 [CUIデータ] | 組織の通信(すなわち、組織の情報システムによって送信または受信される情報)を、情報システムの外部境界および主要な内部境界で監視、制御、保護する | はい、コンプライアンスをサポートします | プラットフォームは、未使用のポートをすべてブロックし、攻撃面を最小限に抑える組み込みネットワークファイアウォールを使用して、システム境界での通信を監視、制御、保護します。組み込みのWebアプリケーションファイアウォール(WAF)は、WebおよびAPI攻撃を検出してブロックします。IPアドレスブロックメカニズムは、過剰なログイン失敗後の不正アクセスを防ぎます。プラットフォームはゼロトラストアーキテクチャを採用し、TLS 1.3および1.2を使用して通信の暗号化を強制し、組織の通信のセキュリティを確保します。 |
| レベル 1 SC.L1-3.13.5 | 公共アクセスシステムの分離 [CUIデータ] | 内部ネットワークから物理的または論理的に分離された、公共にアクセス可能なシステムコンポーネントのためのサブネットワークを実装する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームの階層アーキテクチャにより、Webインターフェースやその他のシステム機能をネットワークDMZの外で公共アクセス用に展開しながら、アプリケーションロジックとCUIストレージを内部ネットワークに保持します。 |
| レベル 2 SC.L2-3.13.2 | セキュリティエンジニアリング | 組織システム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発技術、およびシステムエンジニアリング原則を採用する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、情報セキュリティを考慮して設計および開発されています。プラットフォームの階層アーキテクチャは、機能を分離し、スケーラビリティを向上させ、データ主権ポリシーの施行をサポートします。プラットフォームのソースコードは、品質とセキュリティのために定期的に分析されます。プラットフォームは、プライベートまたはハイブリッドクラウド、またはAWS上の隔離された環境でのプライベートホスト展開として利用可能であり、顧客がセキュリティニーズに最適な展開モデルを採用できるようにします。 |
| レベル 2 SC.L2-3.13.3 | 役割の分離 | ユーザー機能をシステム管理機能から分離する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者、CUIマネージャー、エンドユーザーを含むユーザーの役割に特化したセキュリティコントロールを強制します。特権のないユーザーは、システム管理機能にアクセスすることはありません。Kiteworksプラットフォームは、CUIの不正アクセスや共有を防ぎます。 |
| レベル 2 SC.L2-3.13.4 | 共有リソースの制御 | 共有システムリソースを介した不正または意図しない情報転送を防ぐ | はい、コンプライアンスをサポートします | 許可されたユーザーとプロセスのみがCUIにアクセスして共有できます。 |
| レベル 2 SC.L2-3.13.6 | 例外によるネットワーク通信 | デフォルトでネットワーク通信トラフィックを拒否し、例外によってネットワーク通信トラフィックを許可する(すなわち、すべて拒否し、例外で許可) | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、IPアドレスのホワイトリストおよびブラックリストをサポートし、デフォルトでネットワークトラフィックを拒否するように構成できます。 |
| レベル 2 SC.L2-3.13.7 | スプリットトンネリング | リモートデバイスが組織システムと同時に非リモート接続を確立し、外部ネットワークのリソースと通信することを防ぐ(すなわち、スプリットトンネリング) | 対象外 | N/A |
| レベル 2 SC.L2-3.13.8 | 転送中のデータ | 暗号化メカニズムを実装して、他の物理的な保護手段によって保護されていない限り、転送中のCUIの不正開示を防ぐ | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、トランスポート層セキュリティを使用して転送中のCUIを暗号化します。システム管理者は、プラットフォームがTLS 1.0または1.1接続を受け入れないように構成できます。 |
| レベル 2 SC.L2-3.13.9 | 接続の終了 | 通信セッションの終了時または一定期間の非アクティブ後に、通信セッションに関連するネットワーク接続を終了する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、システム管理者がセッションタイムアウトポリシーを設定し、一定期間の非アクティブ後にユーザーを切断することを可能にします。 |
| レベル 2 SC.L2-3.13.10 | 鍵管理 | 組織システムで使用される暗号化のための暗号鍵を確立し、管理する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、転送中および保存中のコンテンツを暗号化するために鍵を使用します。Kiteworksの顧客は、自分の暗号鍵を完全に所有しています。鍵は、Kiteworksプラットフォーム内で直接管理するか、ハードウェアセキュリティモジュールに保存することができます。 |
| レベル 2 SC.L2-3.13.11 | CUI暗号化 | CUIの機密性を保護するために使用される場合、FIPS検証済みの暗号化を採用する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、FIPS 140-2構成で利用可能です。 |
| レベル 2 SC.L2-3.13.12 | 共同デバイス制御 | 共同コンピューティングデバイスのリモート起動を禁止し、デバイスにいるユーザーにデバイスの使用状況を示す | 対象外 | N/A |
| レベル 2 SC.L2-3.13.13 | モバイルコード | モバイルコードの使用を制御し、監視する | はい、コンプライアンスをサポートします | Kiteworksは、安全なコーディングプラクティスを使用し、OWASPトップ10の緩和戦略に従います。私たちのSDLCは、SOC 2、FedRAMP、IRAP、およびFIPS-140の認証/監査を通じて証明され、検証されているように、厳密にレビューおよびテストされています。 |
| レベル 2 SC.L2-3.13.14 | インターネットプロトコルによる音声通信 | インターネットプロトコル(VoIP)技術の使用を制御し、監視する | 対象外 | N/A |
| レベル 2 SC.L2-3.13.15 | 通信の真正性 | 通信セッションの真正性を保護する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、NIST 800-53、SC-23に準拠して通信セッションの真正性を保護します。具体的には、プラットフォームはユーザーログアウトまたはその他のセッション終了時にセッション識別子を無効にし、事前に定義されたランダム性要件を持つユニークなセッション識別子を各セッションに生成し、システム生成されたセッション識別子のみを認識し、保護されたセッションの確立の検証には事前に定義された証明書機関のみを使用します。 |
| レベル 2 SC.L2-3.13.16 | 保存中のデータ | 保存中のCUIの機密性を保護する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、厳格なアクセス制御の施行とAES-256暗号化の使用を通じて、保存中のCUIの機密性を保護します。さらに、モバイルデバイス上の保存中のCUIは、他のアプリケーションやプロセスからのアクセスを遮断する安全なコンテナに保存されます。 |
システムと情報の整合性
| CMMC 2.0 | 名称 | 実践の説明 | Kiteworksのコンプライアンスサポート | Kiteworksソリューション |
| レベル 1 SI.L1-3.14.1 | 欠陥修正 [CUIデータ] | 情報および情報システムの欠陥を迅速に特定、報告、修正する | はい、コンプライアンスをサポートします | Kiteworksは、Kiteworksプラットフォームの脆弱性を監視およびレビューし、影響と重大度に基づいてこれらの脆弱性を優先的に解決します。 |
| レベル 1 SI.L1-3.14.2 | 悪意のあるコードの保護 [CUIデータ] | 組織の情報システム内の適切な場所で悪意のあるコードから保護する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、ウイルス、持続的標的型攻撃、ゼロデイ攻撃に対してCUIをスキャンすることで悪意のあるコードから保護します。モバイルデバイスでは、KiteworksはCUIをマルウェア感染から保護する安全なコンテナ(ストレージとメモリの保護領域)に保存します。 |
| レベル 1 SI.L1-3.14.4 | 悪意のあるコード保護の更新 | 新しいリリースが利用可能な場合に悪意のあるコード保護メカニズムを更新する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、F-SecureおよびCheck Pointの統合および組み込みのアンチマルウェアソリューションに自動的に更新を適用します。 |
| レベル 1 SI.L1-3.14.5 | システムとファイルのスキャン [CUIデータ] | 情報システムの定期的なスキャンと、外部ソースからのファイルがダウンロード、開封、または実行される際のリアルタイムスキャンを実施する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、アップロードされたすべてのファイルをマルウェア感染やゼロデイ脅威の兆候についてスキャンします。データ損失防止(DLP)サービスと統合されている場合、プラットフォームはコンテンツをスキャンし、DLPポリシーに違反する可能性のあるCUIの送信をブロックまたは隔離することもできます。 |
| レベル 2 SI.L2-3.14.3 | セキュリティアラートと勧告 | システムのセキュリティアラートと勧告を監視し、対応する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、セキュリティ監視とアラートのために使用されているSIEMシステムにログをエクスポートするように設定できます。 |
| レベル 2 SI.L2-3.14.6 | 攻撃のための通信の監視 | 攻撃や潜在的な攻撃の兆候を検出するために、組織のシステムを含む入出力通信トラフィックを監視する | はい、コンプライアンスをサポートします | Kiteworksプラットフォームは、管理下のすべての通信を監視し、攻撃の存在を示す可能性のあるマルウェアやその他のセキュリティ異常の兆候を検出します。 |
| レベル 2 SI.L2-3.14.7 | 不正使用の特定 | 組織のシステムの不正使用を特定する | はい、コンプライアンスをサポートします | Kiteworksは、侵入検知システムと異常検知メカニズムを使用して、組織のシステムの不正使用を特定します。包括的なログは、ログイン失敗やその他のセキュリティ関連イベントを記録し、リアルタイム通知は管理者に疑わしい活動を警告し、迅速な対応を可能にします。 |
付録: KiteworksのCMMC 2.0 レベル2実践との整合性
| 実践領域 | Kiteworks準拠 | 共有責任 | 対象外 | 合計 |
| アクセス制御 | 18 | 1 | 3 | 22 |
| 意識向上とトレーニング | 1 | 2 | 3 | |
| 監査と説明責任 | 9 | 9 | ||
| 構成管理 | 9 | 9 | ||
| 識別と認証 | 11 | 11 | ||
| インシデント対応 | 1 | 1 | 1 | 3 |
| メンテナンス | 6 | 6 | ||
| メディア保護 | 7 | 2 | 9 | |
| 人事セキュリティ | 2 | 2 | ||
| 物理的保護 | 6 | 6 | ||
| リスク評価 | 2 | 1 | 3 | |
| セキュリティ評価 | 4 | 4 | ||
| システムと通信の保護 | 13 | 3 | 16 | |
| システムと情報の整合性 | 7 | 7 | ||
| 合計 | 96 | 4 | 10 | 110 |
このガイドに記載されている情報は、法的助言を構成するものではなく、その意図もありません。代わりに、このガイドに含まれるすべての情報、コンテンツ、および資料は、一般的な情報提供を目的としています。このガイドの情報は、最新の法的またはその他の情報を構成しない場合があります。コンプライアンスをサポートするために必要な追加オプションがこのガイドに含まれています。