(1)CMMCモデル(APPENDIX A.)
CMMC文書の「CMMC Model v1.02 (Appendix A) in tabular format」に掲載されている、CMMCモデルの見方について説明します。
各「領域」について、最初の列で、求められる一連の「能力」を定義しています。各「能力」には、一意の番号 C### が割り当てられています。次の5つの列で、CMMCの5つのレベルに関連する「プラクティス」を定義しています。各「プラクティス」には、一意の番号 P1### が割り当てられています。全ての「能力」について、全てのレベルで「プラクティス」があるわけではありません。下位のレベルの「プラクティス」は、全ての上位レベルに適用されています。
前記の例では、この「能力」に対してレベル3で必要な「プラクティス」はありません。 その結果、レベル3のセルは空白となっていますが、レベル3を達成するためには、レベル1とレベル2の「プラクティス」を達成する必要があります。
各「プラクティス」記述の下に、「プラクティス」の開発に使用した参考情報の箇条リストが記載されています。これらの参考情報箇条リストは、CMMCモデルの追加要件ではありません。一部の「プラクティス」には、複数の参考情報があります。
参考情報が“CMMC”と記載された「プラクティス」は、CMMC作業チームや業界とのコラボレーションによって策定されたものです。パブリックコメントにより、実装の課題とコストに関するフィードバックを受け、一部のセキュリティ要件について、除外されたものもあります。
以下に、主要な参考情報から派生した「プラクティス」数を示します。
CMMCモデルのCMMCの参考情報としては、上記以外にも次のような参考情報があります。
- 英国 Cyber Essentials (英国政府の政府調達要件となっているセキュリティ認証の枠組み)
- オーストラリア Essential Eight (オーストラリア政府のサイバーセキュリティインシデントを軽減するための成熟度レベルによる枠組み)
- ISO/IEC 27001 (ISMS:情報セキュリティマネジメントシステムのISO要求事項)
- NIST CSF v1.1 (NIST Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 : サイバーセキュリティリスクに関するフレームワーク)
- CERT RMM v1.2 (CERT Resilience Management Model:運用回復力管理に対するプロセス改善フレームワーク / DoDの資金援助を受けカーネギーメロン大学 ソフトウェア工学研究所(SEI)が作成)
(セキュリティ技術対策フレームワーク / 非営利団体The Center for Internet Security, Inc.が作成)
(2)CMMCレベル1〜レベル3、CMMC「プロセス」成熟度の説明と解説(APPENDIX B.~E.)
「APPENDIX B. CMMC LEVEL 1 DISCUSSION AND CLARIFICATION」「APPENDIX C. CMMC LEVEL 2 DISCUSSION AND CLARIFICATION」「APPENDIX D. CMMC LEVEL 3 DISCUSSION AND CLARIFICATION (EXCLUDING NIST SP 800-171 PRACTICES)」に、CMMCレベル1〜3の「プラクティス」について説明(DISCUSSION)と解説(CLARIFICATION)が掲載されています。
CMMCレベル1〜2の「プラクティス」について、NIST SP 800-171が参考情報となっている「プラクティス」の説明では、DRAFT NIST SP 800-171R2の説明が引用されています。
CMMCレベル3については、NIST SP 800-171以外の標準が参考情報となっているものについて、説明と解説が掲載されています。参考情報がない“CMMC”の「プラクティス」についても、説明と解説が掲載されており、具体的対応すべき事項が明確になっています。
また、「APPENDIX E. CMMC MATURITY PROCESS DISCUSSION AND CLARIFICATION」に、CMMC「プロセス」成熟度の説明と解説が掲載されています。