CMMC評価要件の理解
CMMC評価では、セキュリティ対策への準拠を確認するために3つの評価方法を使用します。
調査する - 文書、ポリシー、ログ、または記録を確認する。
インタビュー：担当者と面談し、理解度と実行状況を確認する。
テスト：技術的または運用上の手段を用いて、その手順が実行されていることを検証すること。
提示されたシナリオにおける評価結果
練習は毎月実施されていると記録されているが、ログには四半期ごとに実施されていることが示されている。
インタビューでは月1回実施されていると示唆されているが、文書ではこの主張を裏付けていない。
組織が実践に失敗する理由
回答A（不正解）：作業は行われているが、文書化が不十分なため、失敗は実行漏れだけが原因ではない。
回答B（不正解）：記録された頻度がログの証拠と一致しないため、手順は完全に記録された通りに行われていません。
正解はCです。CMMCでは、3つの評価方法（検査、インタビュー、テスト）すべてが一致している必要があります。ログに記載されている頻度と矛盾するため、この方法は準拠していません。
回答D（不正解）：インタビューの回答だけでは不十分です。CMMCCAPガイドとNIST SP 800-
171ログ（調査）と技術的検証（テスト）による裏付けが必要です。
結論
正解はCです。組織が実務に合格するには、3つの評価方法すべてにおいて証拠を提出する必要があります。
CMMC評価プロセス（CAP）ガイド - Cyber​​ AB
NIST SP 800-171A - CUIのセキュリティ要件の評価
DoD CMMC 2.0 スコープ設定および評価ガイド

SI.L2-3.14.6の理解：攻撃に対する通信の監視NIST SPの実践SI.L2-3.14.6
800-171（CMMCレベル2に準拠）では、組織は攻撃の兆候がないか組織内の通信を監視することが求められます。これには通常、以下が含まれます。
#侵入検知システム（IDS）と侵入防御システム（IPS）
#ログ分析とネットワーク監視
#検出された脅威に対するインシデント対応計画
CMMCレベル2評価の一環として、認定CMMC評価者（CCA）は、OSC（認証取得を目指す組織）が監視機能を適切に実装し、文書化していることを確認する必要があります。
* CCAは、コンプライアンスを判断するために十分な客観的証拠を収集しなければならない。
* システム構成、IDS/IPSログ、セキュリティポリシーなどの成果物をレビューすることで、侵入検知が適切に実装されていることを検証できます。
* 設定内容は、攻撃監視が効果的に実施されているかどうかを直接的に示す証拠となる。
「IDSまたはIPSの設定に関する重要な参照を確認するために、成果物をレビューする」が正しいのはなぜですか？
回答選択肢の内訳
説明
正しい？
A：侵入テストを実施する
#誤り - 侵入テストはCMMCレベル2の評価には必要なく、評価者の責任範囲外です。
B：侵入検知システムの供給業者にインタビューする。
#誤り - サプライヤーはコンプライアンスを判断しません。評価者はOSCの実施状況に関する証拠を必要とします。
C：既知の悪意のあるコードをアップロードし、システムの反応を観察します。
#誤り - これは侵襲的な検査であり、CMMC評価の一部ではありません。
D: 侵入検知および防御システムに関する追加のガイダンスを得るために、IDSまたはIPSの実践における構成に関する重要な参照事項を確認するために、成果物をレビューします。
#正解 - システム成果物をレビューすることで、SI.L2-3.14.6への準拠の直接的な証拠が得られます。
* NIST SP 800-171 SI.L2-3.14.6 - 攻撃の兆候を監視するために通信を監視する必要がある。
* CMMC評価プロセスガイド（CAP）- 成果物レビューを必須の評価方法として説明しています。
CMMC 2.0 および NIST SP 800-171 ドキュメントからの公式参照最終検証と結論正解は D です。侵入検知および防御システムに関する追加のガイダンスについては、IDS または IPS プラクティスの構成に関する主要な参照を確認するためにアーティファクトを確認します。
これは、CMMC 2.0 レベル 2 の評価要件および SI.L2-3.14.6 準拠検証に準拠しています。

Understanding the Definition of a "Practice" in CMMC 2.0In CMMC 2.0, the term"practice"refers to specific cybersecurity activities that organizations must implement to achieve compliance with defined security objectives.
* Definition from CMMC Documentation:
* According to theCMMC Model Overview, apracticeis defined as:
Step-by-Step Breakdown:"An activity or activities performed to meet defined CMMC objectives."
* This means that practices are theactions and implementations required to protect Controlled Unclassified Information (CUI) and Federal Contract Information (FCI).
* How Practices Fit into CMMC 2.0:
* CMMC 2.0 Level 1 consists of17 practices, which align withFAR 52.204-21 (Basic Safeguarding of Covered Contractor Information Systems).
* CMMC 2.0 Level 2 consists of110 practices, aligned directly withNIST SP 800-171 Rev. 2.
* Each practice has anobjectivethat must be met to demonstrate compliance.
* Official CMMC 2.0 References:
* TheCMMC 2.0 Model Documentationdefines practices as "the fundamental cybersecurity activities necessary to achieve security objectives."
* TheCMMC Assessment Process (CAP) Guideoutlines how assessors verify the implementation of these practices during an assessment.
* TheNIST SP 800-171A Guideprovidesassessment objectivesfor each practice to ensure they are implemented effectively.
* Comparison with Other Answer Choices:
* A. A business transaction# Incorrect. CMMC practices focus on cybersecurity activities, not financial or operational transactions.
* B. A condition arrived at by experience or exercise# Incorrect. While practices evolve over time, they are defined activities, not just experience-based conditions.
* C. A series of changes taking place in a defined manner# Incorrect. A practice is a set of security actions, not just a process of change.
結論：ACMMCの実践とは、定義されたCMMCの目的を達成するために実施される特定のサイバーセキュリティ活動を指します。したがって、選択肢Dが正解です。