航空宇宙および防衛事業は、Microsoft 365 および Summit 7 で新しい連邦規制に適合

2020年5月15日公開

概要

Integration Innovation, Inc. (I3) は、航空宇宙および防衛産業の主要なエンジニアリングおよびテクノロジ サービス企業であり、Summit 7 Systems (S7) と協力して、Microsoft 365 US Government Community (GCC) のハイ テナントを導入し、会議を目的としていました。 NIST 800-171、管理された非機密情報 (CUI) および国際武器取引規則 (ITAR) の要件。

チャレンジ

I3 は、Google の G-Suite プラットフォームで業務を行っており、独自のスタンドアロン プロジェクトやビジネス ユニット用に異なるファイル共有を使用していました。さらに、この 500 人の企業は、増加するサイバー攻撃から防御し、Defence Acquisition Regulation Supplement (DFARS) 252.204-7012 のコンプライアンス要件を満たすために、Microsoft 365 に見られる高度なセキュリティ機能を必要としていました。 I3 は、ネイティブ ID およびデバイス管理機能を備えたプラットフォームと、国防総省 (DoD) をサポートするために使用される情報システムを保護する方法をガイドするパートナーを必要としていました。

I3 と Microsoft 365 GCC High への展開が直面しているもう 1 つの複雑さは、ユーザー ベースが定期的にやり取りする機密データの範囲でした。 I3 のコンプライアンス要件には、データと文書のラベル付け義務が含まれていました。これらのコンプライアンス要件を満たすために、I3 は Google の G-Suite プラットフォームとそれらの異なるファイル共有から、より安全な FedRAMP Moderate クラウド プラットフォームに移行し、統一されたラベル付け戦略を構成する必要がありました。

ストラテジー

DFARS に準拠するには、オンプレミスおよびクラウド システムを DISA レベル 4 および FedRAMP Moderate 認定環境でホストする必要があります。 Summit 7 は、オンライン サービス政府協定 (AOS-G) プログラムの一環として Microsoft 365 GCC High プラットフォームを提案することで、DFARS と NIST の変革の最初のハードルに対処しました。この環境は FedRAMP High を独自に満たし、Google の G-Suite などの他のクラウド プラットフォームとは異なり、DoD への適切なインシデント レポートを可能にします。

I3 と S7 は、NIST 内の 110 のセキュリティ コントロールを、GCC High、Azure Government、および Enterprise Mobility Security (EM+S) 内の 750 を超えるそれぞれの構成にマッピングしました。このソリューションには、Azure Active Directory (AAD) と AAD Connect の初期構成と、NIST 準拠の ID 管理アプローチを完成させるための多要素認証が含まれていました。さらに、I3 はデータ損失防止 (DLP) ポリシー、高度な脅威保護 (ATP)、および Azure 情報保護 (AIP) ポリシーを確立して、CUI に適切なラベルを付け、ドキュメントとデータに適切なセキュリティを適用しました。 I3 のソリューションは、条件付きアクセス ポリシーと共に、モバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) のプロファイルとポリシーを使用した Enterprise Mobility – Intune のロールアウトで終了しました。

クラウド プラットフォーム内で CUI を処理する I3 が直面した懸念は、データとコンテンツを Microsoft Teams、OneDrive、SharePoint などに保存できる場所の数です。 NIST は、企業に対し、すべてのコンテナ内の機密データを保護し、アクセスを制限し、誰がいつアクセスしているかを把握し、悪意のある人物がアクセスしようとしたときに管理者に警告することなどを要求しています。

Microsoft 365 GCC High テナント、プラットフォーム内のワークロード、および AIP などの EM+S 製品を構成することにより、I3 のユーザーは、データ資産全体 (Microsoft 365、Azure 政府、およびオンプレミスとハイブリッド アーキテクチャに統合された独自のワークロード) に CUI をより自由に格納できます。規制監査に失敗する懸念。さらに、I3 は、ユーザーがコンプライアンスを損なうことなくプラットフォームを最大限に活用できるようにすることで、このソリューションの恩恵を受けました。 I3 のユーザー ベースは、展開後 12 か月以内に四半期ごとに Teams の使用を増加させており、これは現在も続いています。

結果

NIST 実装ソリューションにより、I3 は、情報システムの統合、すべてのデータ ソースにわたる認証の統合、および複数のセキュリティ製品やベンダーを必要としない単一のセキュリティ ペインの提供によるメリットを実現しました。 I3 は、クラウドとセキュリティ ベンダーのポートフォリオを 5 つから 1 つに減らすことができました。これは、Summit 7 が、セキュリティとコンプライアンスの目標を達成するための適切なライセンスとサービスを提供できたためです。

S7 の専門知識がなければ、I3 は約 $300,000 の費用で追加のスタッフを雇用し、既存の Google 環境から移行して新しい Office 365 環境を NIST 標準に適切に保護するための調査と計画にさらに数千時間を費やすことを期待していました。プロジェクトの完了時に、I3 のリーダーは次のように説明しました。 Summit 7 は、実装とコンプライアンスを簡単に処理してくれました。」