Dynamics 365文書管理における一般的なギャップとNISTコンプライアンスリスク

確実に NISTコンプライアンス 機密データや文書を扱う企業にとって、コンプライアンスはますます重要になっている。 契約資格の前提条件となることが多い.

の出版から1年が経った。 NISTサイバーセキュリティフレームワークv.2.0によれば ケビン・スタインNISTのアプライド・サイバーセキュリティ部門チーフであるDr.Dr.は、「利害関係者と緊密に協力し、最新のサイバーセキュリティの課題と管理手法を反映して開発された」とし、「組織、部門、さらには国家全体がサイバーセキュリティのリスクをよりよく理解し、管理するのに役立つだろう」と述べた。

それでもなお、文書管理にDynamics 365を使用している多くの組織は、NISTの主要な要件、特に次のような要件を満たす上での課題に直面している。 NIST SP 800-171 そして SP 800-53.

この不整合の主な理由は、デフォルトのDynamics 365コンフィギュレーションが、必ずしもNISTコンプライアンス基準を満たしていないことである。これは、コンプライアンス上の問題だけでなく、組織が知らず知らずのうちにセキュリティ・ギャップを抱えている可能性があるためでもある。

なぜこれらのコンフィギュレーションはNISTと一致しないのか？それは Dynamics 365の主要課題 環境がある：

• 過剰なアクセス許可 無制限ファイルアクセス
• 脆弱な認証メカニズム 権限のないユーザーに文書を公開する
• 適切な監査ロギングの欠如事故の発見と調査を困難にする

朗報は、企業はプロアクティブなコンフィギュレーションと、セキュリティ、コンプライアンス、ITの各チームが連携した取り組みによって、こうしたリスクを効果的に回避できるということだ。

この記事では、Dynamics 365環境でそれを行う方法に焦点を当てる。. 以下のトピックを取り上げる：

NIST のサイバーセキュリティ・ガイドラインを制定する。 管理された非機密情報（CUI）の保護 そしてその情報を扱う組織にとっても。

あなたの組織が マイクロソフトDynamics 365 文書管理については、特に以下の点に注意する必要がある：

• NIST SP 800-171 (政府機密データの安全な取り扱い）
• NIST SP 800-53 (連邦政府と民間企業システムのセキュリティとプライバシー管理）
• NIST SP 800-207（ゼロ・トラスト・アーキテクチャ - ZTA - 継続的な認証と最小特権アクセスの強制)

先に述べたように、マイクロソフトのビルトインセキュリティ設定にもかかわらず、Dynamics 365のすぐに使える設定の多くは、NISTのコントロールに完全には合致しておらず、潜在的なコンプライアンスリスクにつながる。

以下はその内容である。 Dynamics 365におけるトップ・コンプライアンス・リスク:

• 過剰アクセス- ユーザー・ロールが過剰な特権を与え、違反する 最小特権 (NIST SP 800-53 AC-6「最小特権の原則を採用し、割り当てられた組織的なタスクを達成するために必要なユーザに対してのみ、許可されたアクセスを許可する」）。また、AC-6 (7) "The need for certain assigned user privileges may change over time" に違反するため、必要なときに特権が更新されないことも懸念されます。

• マイクロセグメンテーションの欠如 - マイクロセグメンテーションは、Dynamics 365とSharePointの統合における重要なセキュリティ対策です。マイクロセグメンテーションを行わないと、ユーザーは意図した範囲を超えたドキュメントに不必要にアクセスすることがよくあります。これについては、以下を読むことをお勧めします。 Dynamics 365とSharePointの統合におけるマイクロセグメンテーションに関するこの記事.
• データ保持 - NISTは正確な期限を規定していないが、NIST SP 800-53 SI-12「情報システムのログ」管理は、組織が「適用される法律、行政命令、指令、規則に従って、システム内の情報およびシステムから出力される情報を管理し、保持する」ことを求めている。
• 多要素認証（MFA）なし - 多くのDynamics 365環境は、いまだにパスワード・ベースの認証だけに頼っている。しかし NIST SP 800-171 (3.5.3) は、管理者アクセスとリモート・ログインにMFAを義務付けている。 NIST SP 800-53IA-2 は、システム間の本人確認を強化するために MFA を要求している。MFA はまた ゼロ・トラスト・セキュリティの柱.
• 不完全な監査ログ - 不足 包括的なファイルアクティビティ追跡 Dynamics 365では、次のような問題がある。 NIST AU-2、AU-12、およびAU-14（監査ログ統制)であり、セキュリティ・ギャップを生み出し、発見されない違反やコンプライアンス上の罰則につながる可能性がある。NIST チェックリスト 1169 は、すべてのアクセス試行、変更、および失敗した認証イベントの自動ロギングを義務付けています。監査ログの完全性を確保するために、組織は以下のような高度なソリューションを導入する必要があります。 Truth Enforcer.このようなソリューションは、真正性検証メカニズムを持つべきである。

これらの問題への対処を怠ると、Dynamics 365のセキュリティ・リスクが増大し、NISTコンプライアンスにギャップが生じる。

次のシナリオは、Dynamics 365 と文書アクセス制御に関連する一般的なコンプライアンス違反の例である：

シナリオ金融サービス企業のアクセス・コントロール

• Dynamics 365とSharePointを使用している金融サービス会社では、マイクロセグメンテーションが実施されていなかったため、機密データへの広範な内部アクセスが許可されていた。
• 財務記録は経理部や法務部以外の従業員も閲覧可能だった。
• 同社はNISTコンプライアンス監査に不合格となった。
• 結果:会社 連邦政府との契約を失う コンプライアンス違反により、数百万ドル相当の損害が発生した。

このシナリオは仮定のものだが、現実の問題を反映している。 Dynamics 365で文書へのアクセスを確保することが重要である理由 取扱事業者向け 規制または機密データ.契約が失われただけでなく、Dynamics 365で文書へのアクセスを確保できなかった場合、風評被害が発生する可能性があります。 罰則 GDPRのような他の規制基準の下で。  

確実に Dynamics 365のセキュリティはNISTの要件に適合 には積極的なリスク軽減が必要である。

Dynamics 365におけるNIST準拠のための主要ソリューション

実施することにより これらのソリューション組織は次のことができる。 Dynamics 365のリスクを低減し、管理された未分類情報（CUI）を保護する。

Dynamics 365は強力な機能を提供しますが、そのデフォルト設定はNISTのセキュリティ・コントロール・フレームワークに完全には適合していません。積極的な監視がなければ、組織はデータ漏洩、監査の失敗、連邦政府との契約の喪失といった真のリスクに直面することになります。

良いニュース：適切なツールとチーム間の連携があれば、ギャップを埋め、リスクを減らし、Dynamics 365の文書管理に関するNISTの要件を確実に満たすことは十分可能です。

考慮すべき重要な点は以下の通りである：

• 最小権限、マイクロセグメンテーション、多要素認証の実施により、不正なデータ漏洩を防止し、アクセスを厳格に制御。アクセス制御がDynamics 365とMicrosoft 365で一貫性を保つようにし、以下によるコンプライアンス違反のリスクを低減します。 ずれたパーミッション.
• 堅牢な監査ロギング、一貫した分類、自動化された保存ポリシーによって実現される可視性とトレーサビリティ。

Dynamics 365の文書セキュリティ構成はNISTに準拠していますか？ そうでない場合は、まずチェックリストを使って、あなたが抱えているかもしれない問題を発見してください。