CMMCレベル2管理策AC.L2-3.1.12: リモートアクセスでは、外部からのアクセス時にCUIを保護するため、あらゆるリモートアクセス方法を承認、監視、および制御することが求められます。評価ガイドでは、評価者はリモートセッションが識別、許可、および制御されていることを確認する必要があると規定されています。リモートアクセスセッションを「検証」する必要はありません。これは、このプラクティスの評価目標には含まれていません。
正確な抜粋:
* 「評価目標...次の事項を確認します。* リモート アクセス方法が識別されているか。* リモート アクセスは、接続を許可する前に承認されているか。* リモート アクセス セッションが制御されているか。* リモート アクセス セッションの機密性と整合性を保護するために暗号化メカニズムが採用されているか。」
* 「組織システムへのリモートアクセスは、管理されたアクセス制御ポイントを通じて実現されます。すべてのリモートアクセスセッションの詳細な記録が保持され、セッションは監視および制御の対象となります。」他のオプションが必要な理由：
* 識別済み (B): OSC は、使用中のすべてのリモート アクセス方法を識別する必要があります。
* 許可 (C): リモート アクセスは、許可される前に明示的に承認される必要があります。
* 制御 (D): セッションは制御される必要があります (例: 暗号化、多要素認証、監視など)。
* 検証済み (A): 必須の評価目標ではなく、気をそらすためのオプションです。
参考資料（CCA文書/学習ガイド）：
* CMMC 評価ガイド - レベル 2、バージョン 2.13、AC.L2-3.1.12「リモート アクセス」(評価目標、説明、潜在的な評価方法と評価対象)。
* NIST SP 800-171 Rev. 2、3.1.12 (リモート アクセス)。

包括的かつ詳細な説明:
CAP では、完了評価中にいずれかの POA&M プラクティスが「MET」スコアを獲得できなかった場合、主任評価者は最終認証に反対する勧告をし、OSC に修正後の再申請を要求することが義務付けられています。
オプション A、C、および D はこの要件に準拠していません。
公式文書からの抜粋 (CAP v1.0):
* セクション3.4 - POA&M完了評価（35ページ）：「POA&Mレビューのいずれかの実践が「MET」スコアに至らなかった場合、主任評価者はOSCをCMMCレベル2最終認証に推奨しないことを推奨します。」参考文献：
CMMC 評価プロセス (CAP) v1.0、セクション 3.4。

CMMC 2.0 レベル2では、POA&Mは、一部のプラクティスに対してのみ、かつ組織が少なくとも80%のコンプライアンスを達成し、重要度の高いプラクティスが不合格にならない場合にのみ許可されます。23のプラクティスが不合格であるため、OSCはこのしきい値を下回ります。したがって、主任評価者は不合格を推奨し、是正と再評価を要求します。
正確な抜粋:
* レベル 2 では、OSC は少なくとも 80% のスコアを獲得する必要があり、加重の高い実践で不合格になってはなりません。
* 「POA&M は、少数の選択された診療所に対して許可される場合がありますが、180 日以内に閉鎖する必要があります。」
* 「OSCが最低要件を満たしていない場合、評価結果は不合格となり、OSCは再申請前に是正措置を講じる必要があります。」他の選択肢が間違っている理由：
* 回答: POA&M では、これほど多数の欠陥をカバーできません。
* C/D: CMMC 2.0 には暫定認証は存在しません。
参考文献:
CMMC 評価ガイド - レベル 2、POA&M ポリシー。
最低合格点と不合格条件に関する DoD CMMC 2.0 プログラム ガイダンス。

システムベースラインは構成管理（CM）の一部です。ハードウェアとソフトウェアのインベントリを維持することは重要ですが、ベースライン管理の根拠は、標準的なシステム構成、承認済みソフトウェア、および変更管理を確立し、文書化する構成管理プロセスにあります。
CMMCプラクティスCM.L2-3.4.1では、OSCがベースライン構成を確立し、維持することを要求しています。
正確な抜粋:
* 「ベースライン構成は、構成管理の一環として文書化され、正式にレビューされ、維持されます。」
* 「評価目標...ベースライン構成が確立されているか、ベースライン構成が維持されているかを判断します。」
* 「潜在的な評価方法 - 構成管理ポリシー、文書化されたベースライン構成、システムコンポーネントのインベントリを調査する。」詳細な説明：
* ハードウェア/ソフトウェアのリストには存在するものが表示されますが、ベースライン制御がなければ効果的な管理を示すことはできません。
* 構成管理の証拠には、CM ポリシー、オペレーティング システムのベースライン、ソフトウェア バージョン、パッチ レベル、構成チェックリストが含まれます。
* これにより、不正な変更や承認されていないソフトウェアがセキュリティ体制から逸脱することがなくなります。
他のオプションが間違っている理由:
* A (メディア保護): ベースラインではなく、ストレージ デバイスと処理に関連します。
* B (物理的保護): 構成ではなく、施設およびハードウェアのセキュリティに関連します。
* D (識別および認証ポリシー): ベースライン構成ではなく、ユーザー アクセスに対処します。
参考文献:
CMMC アセスメントガイド - レベル 2、CM.L2-3.4.1「ベースライン構成の確立と維持」。NIST SP 800-171 Rev. 2、3.4.1。

包括的かつ詳細な説明:
CAPでは、透明性とトレーサビリティを維持するために、証拠収集アプローチへの重要な変更を事前評価データフォームに記録し、CMMC eMASSを更新する必要があります。オプションA（文書化なしで進める）は、CAPの記録保持要件に違反するリスクがあります。オプションC（元に戻す）は、デモンストレーションとテストがCAPで有効な方法であるため、過度に厳格です。オプションD（一時停止）は、変更が評価に根本的な支障をきたさない限り不要です。オプションBは、柔軟性を保ちながらCAPへの準拠を確保します。
公式文書からの抜粋 (CAP v1.0):
* セクション1.6 - 評価の準備（18ページ）：「証拠収集アプローチの重要な変更は、事前評価データフォームを更新し、更新されたファイルをCMMC eMASSにエクスポートすることによって文書化されるものとする。」参考文献：
CMMC 評価プロセス (CAP) v1.0、セクション 1.6。