CMMC資産スコープ要件の理解CMMCレベル2評価を実施する前に、認定取得を目指す組織（OSC）は、すべての資産を分類して評価スコープを定義する必要があります。これにより、関連するシステムのみがCMMCプラクティスに基づいて評価され、不要なコンプライアンス負担が軽減されます。
レベル 2 の CMMC スコープ ガイドによれば、資産カテゴリは次の 4 つあります。
CUI 資産 - 制御された非機密情報 (CUI) を処理、保存、または送信する資産。
セキュリティ保護資産 (SPA) - セキュリティ機能 (ファイアウォール、侵入検知システム、ID 管理システムなど) を提供する資産。
請負業者リスク管理資産 (CRMA) - CUI を直接保存/処理しないが、CUI 環境と対話する資産 (BYOD デバイス、リモート アクセスに使用されるパーソナル コンピューターなど)。
特殊資産 - 運用技術 (OT)、IoT、政府提供機器 (GFE) などの独自のシステム。限定的な CMMC 評価が必要になる場合があります。
常に評価される資産カテゴリはどれですか?#1. CUI 資産 (常に評価) これらは CUI を扱うため、CMMC レベル 2 の主な焦点となります。
これらの資産には、NIST SP 800-171 のすべてのコントロールが適用されます。
#2. セキュリティ保護資産（SPA）（常に評価）
CUI 資産を保護するセキュリティ ツールは常に評価に含まれます。
例としては、ファイアウォール、ウイルス対策、エンドポイント検出および応答 (EDR) ツール、ID 管理システムなどが挙げられます。
（A）CUI資産と特殊資産#
CUI 資産は評価されますが、特殊資産は CUI セキュリティにおける役割に応じて限定された方法でのみ評価されます。
（C）特殊資産および請負業者リスク管理資産#
特殊資産と CRM は通常、CUI セキュリティに直接影響しない限り、CMMC コントロールに対して完全に評価されることはありません。
（D）セキュリティ保護資産および請負業者リスク管理資産#
SPA は常に評価されますが、CRMA は CUI に直接影響しない限り、必ずしも評価されるわけではありません。
CMMC スコープ ガイド (レベル 2) では、CUI 資産とセキュリティ保護資産は常に CMMC プラクティスに基づいて評価されることが明確に規定されています。
他の回答の選択肢が間違っている理由:CMMC ドキュメントからの最終検証:したがって、正しい答えは次のとおりです。
B). セキュリティ保護資産と CUI 資産。

CMMC における多機能デバイス (MFD) のセキュリティの理解スキャナー、プリンター、コピー機などの多機能デバイス (MFD) は、FCI を処理、保存、送信するため、不正アクセスの潜在的な攻撃対象領域となります。
MFD のアクセスを許可されたシステムのみに制限するための最善の技術的制御は、ネットワーク トラフィックをセグメント化して分離する仮想 LAN (VLAN) 制限です。
VLAN制限によるネットワークセグメンテーション
VLAN は MFD を許可されていないシステムから分離し、承認されたデバイスのみが MFD と通信できるようにします。
特定の IP またはサブネットへの接続を制限することで、不正なネットワーク アクセスを防止します。
CMMC 2.0ネットワークセキュリティコントロールに準拠
ネットワークのセグメンテーションとアクセス制御については、CMMC システムおよび通信保護 (SC) プラクティスに準拠しています。
スキャンおよび印刷された FCI への不正アクセスのリスクを軽減します。
B). 単一の管理アカウント.偽
単一の管理者アカウントでは、デバイス間のアクセスは制限されず、MFD を構成できるユーザーのみが制御されます。
C). MFD構成を示すドキュメント.偽
ドキュメントはコンプライアンスに役立ちますが、アクセスを積極的に制限するものではありません。
D). IT管理者のみが知っているアクセスリスト.偽
アクセス リストは、管理者に「知られている」だけでなく、システムによって強制される必要があります。
CMMC プラクティス SC.3.192 (ネットワーク セグメンテーション) - VLAN などのネットワーク セグメンテーション技術を使用してアクセスを制限する必要があります。
NIST SP 800-171 (SC ファミリ) - VLAN やその他のセグメンテーション制御を使用して機密デバイスの分離をサポートします。
正解が「A. 仮想 LAN (VLAN) 制限」である理由は何ですか?他の選択肢ではないのはなぜですか?関連する CMMC 2.0 参照:最終的な理由:仮想 LAN (VLAN) 制限はネットワーク レベルでアクセス制御を実施するため、正解は A. 仮想 LAN (VLAN) 制限です。

CMMCレベル2の評価方法CMMCレベル2の評価は、NIST SP 800-171の要件への準拠の検証に重点を置いています。CMMC評価プロセス（CAP）文書では、このレベルの評価には以下が含まれると規定されています。
検査 - 文書、メカニズム、およびアクティビティを確認します。
インタビュー - 担当者と話し合って実装を検証します。
テスト - セキュリティ制御の動作を観察および検証します。
「検査」には何が含まれますか?CMMC 評価方法によると、検査には次の内容の確認が含まれます。
#ドキュメント（ポリシー、手順、セキュリティ計画）
#メカニズム（セキュリティ管理、認証システム）
#活動内容（バックアップ運用、ネットワーク監視、セキュリティトレーニング）
検査には文書、メカニズム、活動の検討が含まれるため、正解は A です。
B). システム内で使用される特定のハードウェア、ソフトウェア、またはファームウェアのセーフガード。#不正解。セーフガードは検査対象となりますが、CMMCでは検査対象をハードウェア、ソフトウェア、またはファームウェアに限定していません。定義はより広範です。
C). ポリシー、手順、セキュリティ計画、侵入テスト、およびセキュリティ要件。#不正解。これらの項目の一部は検査対象となりますが、CMMCレベル2の評価では侵入テストは必須ではありません。
D). システムバックアップ操作の観察、緊急時対応計画の実行、およびネットワークトラフィックの監視。
#不正解です。これらの活動は試験だけでなく、テストや面接にも該当します。
他の回答が間違っている理由
CMMC 評価プロセス (CAP) ドキュメント - 「検査」をドキュメント、メカニズム、およびアクティビティのレビューとして定義します。
CMMC 公式リファレンスしたがって、オプション A (ドキュメント、メカニズム、またはアクティビティ) は、CMMC レベル 2 の評価方法と一致しているため、正解です。