CMMCレベル2における構成管理（CM）の理解CMMCレベル2では、構成管理（CM）ドメインは、不正な変更を防ぐためにシステムが安全に構成、保守、監視されることを保証する上で非常に重要です。CMの重要な側面の1つは、ユーザーがインストールしたソフトウェアの管理です。これは、適切に管理されないとセキュリティリスクを引き起こす可能性があります。
ユーザーがインストールしたソフトウェアを管理するための正しいアプローチは、NIST SP 800-171のCM.3.068に準拠しており、組織には以下のことが求められます。
#セキュリティを確保するために、構成設定を確立し、適用します。
組織のシステム上で、ユーザーがインストールしたソフトウェアを監視および制御し、不正なアプリケーションや安全でないアプリケーションが実行されないようにします。
「制御および監視されている」が正しい理由とは？インタビューを実施するCCP（認定CMMCプロフェッショナル）は、ユーザーがインストールしたソフトウェアがCMMCレベル2の要件に準拠するように制御および監視されているかどうかに焦点を当てる必要があります。これは、以下の点を確認することを意味します。
* ユーザーがインストールするソフトウェアの承認プロセス。
* ソフトウェアの変更を追跡するための監視メカニズム（システムログ、監査など）。
* セキュリティリスクを防止するため、不正なインストールを制限するポリシー。
回答選択肢の内訳
説明
正しい？
A：制御および監視されている
#CM.3.068への準拠を保証し、ユーザーがインストールしたソフトウェアが安全に管理されていることを確認します。
＃正しい
B: システムから削除されました
ソフトウェアは必ずしも削除する必要はありません。削除すべきなのは、不正なソフトウェアや危険なソフトウェアのみです。
＃正しくない
C: 悪意のあるコードをスキャンしました
スキャンは重要ですが（SI.3.218で説明）、構成管理の主要な焦点ではありません。
＃正しくない
D：任務遂行に不可欠な用途に限定
ソフトウェアの使用を制限することも有効だが、監視と制御こそが重要なセキュリティ対策である。
＃正しくない
* NIST SP 800-171、CM.3.068 - 「ユーザーがインストールしたソフトウェアの制御と監視」
* CMMC 2.0 レベル 2 の要件 - NIST SP 800-171 セキュリティ管理策に直接準拠しています。
CMMC 2.0 ドキュメントからの公式参照最終検証と結論正解は A です。
NIST SP 800-171のCM.3.068およびCMMC 2.0文書に従って、管理および監視されています。

In the CMMC assessment process, conflicts of interest must be identified early to ensure an impartial and objective evaluation of an organization's compliance with CMMC 2.0 requirements. The appropriate phase for identifying conflicts of interest is during the"Verify Readiness to Conduct Assessment"phase.
Step-by-Step Explanation:
Assessment Planning & Conflict of Interest Consideration
Before an assessment begins, theC3PAO (Certified Third-Party Assessment Organization)or theDIBCAC (Defense Industrial Base Cybersecurity Assessment Center) for DOD-led assessmentsmust confirm that there are no conflicts of interest between assessors and the organization being assessed.
A conflict of interest may arise if an assessor haspreviously worked for, consulted with, or provided direct assistance tothe organization under review.
CMMC Assessment Process and Phases
The CMMC assessment process involves multiple steps, and the verification of readiness is acritical early phaseto ensure that the assessment is unbiased:
Analyze Requirements:This phase focuses on defining the assessment scope, but it does not include conflict of interest verification.
Develop Assessment Plan:This phase focuses on structuring the assessment methodology, not on identifying conflicts.
Verify Readiness to Conduct Assessment (Correct Answer):
At this stage, theC3PAO or assessment team must review potential conflicts of interest.
TheDefense Industrial Base Cybersecurity Assessment Center (DIBCAC)also ensures assessors do not have any prior relationships that could compromise the objectivity of the evaluation.
Generate Final Recommended Assessment Results:This phase occurs at the end of the process, after the assessment is complete, so conflict of interest identification is too late by this stage.
Official CMMC Documentation & References
CMMC Assessment Process (CAP) Guide- The CAP details procedures assessors must follow, including conflict of interest verification.
CMMC 2.0 Scoping and Assessment Guides- Published by the Cyber AB and DoD, these guides reinforce the need for impartiality and independence in assessments.
DoD Instruction 5200.48 (Controlled Unclassified Information Program)- Outlines requirements for ensuring objective cybersecurity assessments.
「評価実施準備状況の確認」段階で利益相反が特定されるようにすることで、CMMC認証プロセスの完全性が維持され、評価が公正かつ独立して、国防総省のサイバーセキュリティポリシーに従って実施されることが保証されます。

CMMCモデルv2.0は累積型です。アドバンストレベル（レベル3）では、NIST SP 800-171（レベル2に準拠）の完全な実装が必要であり、NIST SP 800-172から追加のプラクティスのサブセットが追加されます。レベルは互いに積み重ねられていくため、レベル3のアクセス制御（AC）プラクティスには、必然的にレベル2のプラクティスが含まれます。
レベル1（基本的なFCI保護）、レベル2（CUI保護）、および追加のレベル3要件。
公式コンテンツからの補足抜粋：
CMMC モデル v2.0 の概要: 「このモデルは累積的であり、上位レベルのプラクティスには下位レベルのすべてのプラクティスが含まれます。」 レベル 3 の説明: 「高度な...エキスパート レベルでは、NIST SP 800-171 に加えて NIST SP 800-172 のサブセットの実装が必要です。」 オプション D が正しい理由:
上級レベルには、レベル1とレベル2のすべてのAC実践に加え、レベル3独自の追加実践が含まれます。
したがって、本書にはレベル1、レベル2、レベル3のアクセス制御手法が含まれています。
参考文献（CMMC v2.0公式コンテンツ）：
CMMCモデルv2.0、レベルの概要（実践の累積的な性質）。
NIST SP 800-171およびNIST SP 800-172（レベル2およびレベル3の制御源）。

* 主契約者（契約組織）は、FCIまたはCUIを含む国防総省の契約に下請け業者を参加させる前に、下請け業者が必要なCMMC認証レベルを取得していることを確認する責任があります。
* この要件は、DFARS 252.204-7021 のフローダウン条項を通じて強制され、CUI を扱う下請業者は必要な CMMC レベル 2 またはレベル 3 の要件を満たすことが義務付けられています。
参照：
DFARS 252.204-7021（CMMC準拠）
CMMC 2.0 プログラムドキュメント
ステップ2：他の選択肢が間違っている理由A. CMMC-AB（不正解）：
Cyber​​ AB（旧CMMC-AB）は、C3PAOの認定と評価プロセスの管理を担当していますが、下請け業者のコンプライアンスを強制する権限はありません。
B: OUSDA&S (誤り):
国防次官補（調達・維持担当）室（OUSD A&S）はCMMCポリシーを策定・監督するが、個々の下請け業者の遵守状況を監視したり強制したりすることはない。
C：国防総省機関またはクライアント（誤り）：
While theDoD sets CMMC requirements, it relies onprime contractors to ensure compliance among their subcontractorsthrough contract flow-down requirements.
Final Confirmation of Correct Answer:Prime contractors must ensure their subcontractors have the required CMMC certification level to handle FCI or CUI.
Thus, the correct answer is:D. Contractor organization