[M3] CMMC文書の附属書(APPENDIX)

(1)CMMCモデル(APPENDIX A.)

 CMMC文書の「APPENDIX A.CMMC Model Version 0.7」に、CMMCモデルが掲載されている。このCMMCモデルDraft V0.7の見方について説明します。なお、CMMC正式版(v1.0)で、形式が変更される可能性があります。

 以下の図は、CMMCモデルDraft V0.7を抜粋したものです。

 各「領域」について、最初の列で、求められる一連の「能力」を定義しています。各「能力」には、一意の番号 C### が割り当てられています。次の5つの列で、CMMCの5つのレベルに関連する「プラクティス」を定義しています。各「プラクティス」には、一意の番号 P1### が割り当てられています。全ての「能力」について、全てのレベルで「プラクティス」があるわけではありません。下位のレベルの「プラクティス」は、全ての上位レベルに適用されています。

 前記の例では、この「能力」に対してレベル3で必要な「プラクティス」はありません。 その結果、レベル3のセルは空白となっていますが、レベル3を達成するためには、レベル1とレベル2の「プラクティス」を達成する必要があります。

 各「プラクティス」記述の下に、「プラクティス」の開発に使用した参考情報の箇条リストが記載されています。これらの参考情報箇条リストは、CMMCモデルの追加要件ではありません。一部の「プラクティス」には、複数の参考情報があります。

 参考情報が“CMMC”と記載された「プラクティス」は、CMMC作業チームや業界とのコラボレーションによって策定されたものです。パブリックコメントにより、実装の課題とコストに関するフィードバックを受け、一部のセキュリティ要件について、除外されたものもあります。

 以下に、主要な参考情報から派生した「プラクティス」数を示します。

CMMC レベル合計48 CFR 52.204-21NIST SP 800-171r1Draft NIST SP 800-171B
レベル1171517
レベル25548
レベル35945
レベル42613
レベル5165
対象外 – 除外15
合計1731511033

 CMMCモデルDraft V0.7のCMMC参考情報としては、上記以外にも次のような参考情報があります。

  • オーストラリア Essential Eight (オーストラリア政府のサイバーセキュリティインシデントを軽減するための成熟度レベルによる枠組み)
  • ISO/IEC 27001 (ISMS:情報セキュリティマネジメントシステムのISO要求事項)
  • NIST CSF v1.1 (NIST Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 : サイバーセキュリティリスクに関するフレームワーク)
  • CERT RMM v1.2 (CERT Resilience Management Model:運用回復力管理に対するプロセス改善フレームワーク / DoDの資金援助を受けカーネギーメロン大学 ソフトウェア工学研究所(SEI)が作成)

(セキュリティ技術対策フレームワーク / 非営利団体The Center for Internet Security, Inc.が作成)

(2)CMMCレベル1〜レベル3、CMMC「プロセス」成熟度の説明と解説(APPENDIX B.~E.)

 「APPENDIX B. CMMC LEVEL 1 DISCUSSION AND CLARIFICATION」「APPENDIX C. CMMC LEVEL 2 DISCUSSION AND CLARIFICATION」「APPENDIX D. CMMC LEVEL 3 DISCUSSION AND CLARIFICATION (EXCLUDING NIST SP800-171 PRACTICES)」に、CMMCレベル1〜3の「プラクティス」について説明(DISCUSSION)と解説(CLARIFICATION)が掲載されています。

 CMMCレベル1〜2の「プラクティス」について、NIST SP800-171が参考情報となっている「プラクティス」の説明では、DRAFT NIST SP800-171R2の説明が引用されています。

 CMMCレベル3については、NIST SP800-171以外の標準が参考情報となっているものについて、説明と解説が掲載されています。参考情報がない“CMMC”の「プラクティス」についても、説明と解説が掲載されており、具体的対応すべき事項が明確になっています。

 また、「APPENDIX E. CMMC MATURITY PROCESS DISCUSSION AND CLARIFICATION」に、CMMC「プロセス」成熟度の説明と解説が掲載されています。