CMMC実践記述の最良の情報源を理解するCMMCアセスメントガイド（レベル1および
2) さまざまな CMMC ドメイン内の各プラクティスとプロセスを詳細に説明した主要かつ最も権威のある文書です。
ステップごとの詳細:#1. CMMC アセスメント ガイドとは何ですか?
* CMMC アセスメント ガイドでは、次の点について詳しく説明されています。
* 各ドメイン内の各 CMMC プラクティス。
* 実装を確認するための評価目標。
* コンプライアンスを証明するために必要な証拠の例。
* CMMC 2.0 には 2 つのレベルが含まれます。
* レベル 1: 17 の基本的なサイバーセキュリティの実践。
* レベル 2: NIST SP 800-171 に準拠した 110 のプラクティス。
* 評価ガイドでは、評価者がコンプライアンスを評価する方法を定義します。
#2. 他の回答の選択肢が間違っている理由:
* (A) CMMC用語集#
* 用語集では、CMMC で使用される用語の定義が提供されていますが、具体的な実践方法については詳しく説明されていません。
* (B) CMMC付録#
* 付録には参考資料やスコープ設定のガイダンスなどの補足情報が含まれていますが、実践方法の詳細な説明は提供されていません。
* (C) CMMC評価プロセス#
* 評価プロセス ガイドでは、評価の実施方法については説明していますが、各実践方法については詳しく説明していません。
CMMC ドキュメントからの最終検証:CMMC アセスメント ガイド (レベル 1 および 2) は、各 CMMC プラクティスとプロセスの説明の公式ソースであり、コンプライアンス要件を理解するための最適なリファレンスになります。

CMMC レベル 2 における RA.L2-3.11.1 リスク評価範囲の理解CMMC レベル 2 は RA を制御します。
L2-3.11.1 は NIST SP 800-171、要件 3.11.1 に準拠しており、CUI の処理、保存、または送信によって生じる運用、資産、および個人へのリスクを組織が定期的に評価することを義務付けています。
* コンプライアンスには何が必要ですか?
* 組織は、CUI の取り扱いに関係するすべての資産およびエンティティに対してリスク評価を実行する必要があります。
* リスク評価では、潜在的な脅威、脆弱性、および CUI セキュリティへの影響を評価する必要があります。
* 包括的なリスク管理を確実に行うには、対象範囲に人、プロセス、物理的な場所、IT システムを含める必要があります。
* 正解が「CUI が処理、保存、または送信されるプロセス、人、物理エンティティ、および IT システム」である理由:
* CUI は、IT システムだけでなく、人為的エラー、物理的なセキュリティのギャップ、プロセスの弱点など、さまざまな方法でリスクにさらされる可能性があります。
* リスク評価では、CUI セキュリティに影響を与える可能性のあるすべての領域を評価する必要があります。これには以下が含まれます。
* 人的セキュリティリスク（例：内部脅威、フィッシング攻撃）。
* プロセスの脆弱性 (例: CUI の誤った取り扱い、ポリシーの弱点)。
* 物理的なセキュリティリスク（例：サーバー、保管室への不正アクセス）。
* IT システム (例: ネットワーク、サーバー、CUI を処理するクラウド環境)。
* A. 「IT システム」#範囲が狭すぎます。リスク評価は、IT システムだけでなく、人、物理的資産、CUI に影響を与えるプロセスもカバーする必要があります。
* B.「エンタープライズ システム」#範囲が広すぎます。エンタープライズ システムが評価される場合もありますが、すべてのエンタープライズ操作ではなく、CUI を処理する領域に焦点が当てられています。
* C.「CUI マーキング プロセス」# 焦点が間違っています。CUI を正しくマーキングすることは重要ですが、RA.L2-3.11.1 はデータ分類ではなくリスク評価に関係します。
参考資料:NIST SP 800-171 Rev. 2 - 要件 3.11.1(NIST 公式サイト) CMMC 2.0 レベル 2 評価ガイド - リスク評価ドメイン(Cyber​​ AB)
#最終回答: D. CUI が処理、保存、または送信されるプロセス、人、物理エンティティ、および IT システム。

物理的なアクセス制御の欠陥などのセキュリティギャップに対処するための支援を求める組織には、実際の CMMC 評価に関与せずに実装サポートを提供できる認定プロフェッショナルが必要です。
* 登録実践者 (RP) は、組織に対してコンサルティングと実装サポートを提供しますが、評価は実行しない CMMC 認定を受けた個人です。
* RP は C3PAO から独立して作業し、評価の前後にセキュリティ制御のギャップを修正するのに役立ちます。
* RP は評価者ではないため、利益相反なく直接的な修復サポートを提供できます。
* OSC は、セキュリティ制御の実装 (評価ではない) に関して支援を必要としています。
* RP は、修復およびアドバイス サービスを提供するためのトレーニングを受け、権限を付与されています。
* 利益相反規則により、評価を行う C3PAO は実装サポートを提供できません。
* A. 評価を実施するC3PAOのCCA（誤り）
* 認定 CMMC アセッサー (CCA) は、評価の実施のみを担当します。
* 評価を実施する C3PAO は、利益相反のため、修復も提供できません。
* C. 評価LTPを実施する組織の専門家（誤り）
* 評価担当のリード テクニカル プラクティショナー (LTP) は、評価対象の OSC に対する修復サポートを提供できません。
* D. 評価を実施する組織の国防総省契約担当者（誤り）
* 国防総省の契約担当者は契約の遵守を監督しますが、サイバーセキュリティの実装サポートは提供しません。
* 正解は B です。評価の一部ではない組織の RP です。独立した RP のみが修復と実装サポートを支援できます。
参考文献:
CMMC 2.0 登録実践者（RP）プログラム
CMMC職業倫理規範（CoPC）利益相反ポリシー
CMMC 2.0 評価プロセス (CAP) ガイド

CMMC 2.0 フレームワークは、CUI を処理、保存、または送信する非連邦システムに適用されます。
スコープ設定により、どのシステム コンポーネントが CMMC プラクティスに準拠する必要があるかが決定されます。
システムが CUI を処理、保存、または送信したり、それらのシステムにセキュリティを提供したりする場合、そのシステムは評価範囲に含める必要があります。
CMMCは連邦政府のシステムではなく、請負業者に適用されます
CMMC は、連邦政府システムではなく、国防総省 (DoD) の請負業者向けに設計されています。
連邦システムは、すでに NIST SP 800-53 およびその他の規制によって管理されています。
対象範囲にはCUIを処理するシステムとそれを保護するシステムが含まれます
CUI を処理、保存、または送信するシステムが対象範囲となります。
CUI システムの保護を提供するシステム (ファイアウォール、監視ツール、セキュリティ アプライアンスなど) も対象範囲に含まれます。
A). CUIを処理、保存、または送信する連邦システム。.偽
CMMC は連邦システムには適用されません。
B). CUI を処理、保存、または送信する非連邦システム。#部分的に正しいが不完全。CUI 資産を保護するセキュリティ システムは除外されますが、これも対象範囲に含まれます。
C). CUI を処理、保存、または送信する、あるいはシステム コンポーネントを保護する連邦システム。
＃正しくない
CMMC は非連邦システムにのみ適用されます。
CMMC スコープ ガイド (2021 年 11 月) - CMMC が非連邦システム処理 CUI に適用されることを確認します。
NIST SP 800-171 Rev. 2 - CUI を処理する非連邦システムのセキュリティ要件を指定します。
DFARS 252.204-7012 - DoD の請負業者は、CUI を処理する非連邦システムに NIST SP 800-171 を実装する必要があります。
CMMC 2.0 のスコープ設定について正しい答えが「D. CUI を処理、保存、または転送する、あるいはシステム コンポーネントを保護する非連邦システム」である理由は何ですか?他の選択肢ではないのはなぜですか?関連する CMMC 2.0 参照:最終的な理由:CMMC は CUI を処理するかそれらのシステムを保護する非連邦システムに適用されるため、正しい答えは D. CUI を処理、保存、または転送する、あるいはシステム コンポーネントを保護する非連邦システムです。