国防総省向けのソフトウェア アプリケーションを開発する請負業者に対して CMMC 評価を実施しています。
AUドメインの評価中に、請負業者の監査およびアカウンタビリティに関するポリシー、アクセス制御手順、および監査ログ機能の管理に関連するシステム構成ドキュメントの調査を依頼しました。ドキュメントを確認したところ、請負業者はロールベースアクセス制御（RBAC）モデルを実装しており、特権ユーザーには責任に基づいて異なるロールが割り当てられていることがわかりました。これらのロールの1つは「監査管理者」ロールで、請負業者のシステム全体の監査ログ機能を管理するために必要な権限が付与されています。しかし、システム管理者との面談で、監査管理者ロールに加えて、「システム管理者」や「ネットワーク管理者」など、他の複数の特権ロールも監査ログ機能を管理できることがわかりました。複数の特権ロールに監査管理機能へのアクセスを許可する理由を尋ねると、請負業者のセキュリティチームは、このアプローチにより運用の柔軟性が向上し、異なるチームがそれぞれの責任分野に基づいて監査ログタスクを実行できるようになると説明しました。シナリオで提供された情報に基づいて、請負業者の CMMC プラクティス AU.L2-3.3.9 - 監査管理への準拠をどのように評価しますか?

CCAのアンジェラは、OSCであるオブシディアン・テクノロジーズのCMMC評価を実施しています。評価中に、アンジェラは配偶者がオブシディアン・テクノロジーズの株式を大量に保有していることを知りました。彼女はこの情報をオブシディアン・テクノロジーズにもC3PAOにも開示していませんでした。このシナリオにおいて、アンジェラはCMMC CoPCのどの指針に違反したでしょうか？

あなたはCMMCレベル2評価の主任評価者です。評価中に、OSCは、直前の準備作業のため、あるプラクティスが評価開始のわずか1週間前に実施されたことを認めました。提供された証拠に基づくと、そのプラクティスは目標を達成しているように見えます。この証拠をどのように評価すべきでしょうか？

あなたは、機密扱いの政府ネットワーク向け暗号アルゴリズムを開発する請負業者であるConedge Ltd.を評価しています。同社のネットワークアーキテクチャ文書を確認したところ、Active Directoryのグループポリシーを用いてワークステーションにロールベースのアクセス制御が実装されていることがわかりました。ソフトウェア開発者は「Dev_Roles」グループに割り当てられ、コードモジュールのコンパイルとテストへのアクセスが許可されています。システム管理業務のための昇格された権限を持つ「Admin_Roles」グループは、ITスタッフのみに制限されています。しかし、開発者ワークステーションのイベントログを調べたところ、開発者が保護されたカーネルメモリ（特権機能）にアクセスするためのデバッグ権限を有効にできたという証拠が見つかりました。開発者がこの特権機能を実行するのを阻止できた可能性のある制御は次のどれですか？

CCAがCMMC評価を実施している際、OSCの証拠に日付が記載されていないシステム構成のスクリーンショットが含まれていることに気づきました。OSCはスクリーンショットが最新のものであると主張しています。CCAはどのように対応すべきでしょうか？