3. CMMC文書の附属書APPENDIX

(1)CMMCモデル(APPENDIX A.)

 CMMC文書の「APPENDIX A.CMMC Model Version 0.7」に、CMMCモデルが掲載されている。このCMMCモデルDraft V0.7の見方について説明する。なお、CMMC正式版(v1.0)で、形式が変更される可能性がある。(以下の図は、CMMCモデルDraft V0.7を抜粋した)

 各「領域」について、最初の列で、求められる一連の「能力」を定義している。各「能力」には、一意の番号 C### が割り当てられている。

 次の5つの列で、CMMCの5つのレベルに関連する「プラクティス」を定義している。各「プラクティス」には、一意の番号 P1### が割り当てられている。全ての「能力」について、全てのレベルで「プラクティス」があるわけではない。下位のレベルの「プラクティス」は、全ての上位レベルに適用される。前記の例では、この「能力」に対してレベル3で必要な「プラクティス」はない。 その結果、レベル3のセルは空白となっているが、レベル3を達成するためには、レベル1とレベル2の「プラクティス」を達成する必要がある。

 各「プラクティス」記述の下に、「プラクティス」の開発に使用した参考情報の箇条リストが記載されている。これらの参考情報箇条リストは、CMMCモデルの追加要件ではない。一部の「プラクティス」には、複数の参考情報がある。参考情報が“CMMC”と記載された「プラクティス」は、CMMC作業チームや業界とのコラボレーションによって策定されたものである。パブリックコメントにより、実装の課題とコストに関するフィードバックを受け、一部のセキュリティ要件について、除外されたものもある。

 以下に、主要な参考情報から派生した「プラクティス」数を示す。

CMMCモデルDraft V0.7のCMMCの参考情報としては、上記以外にも次のような参考情報がある。

  • 英国 Cyber Essentials
    • 英国政府の政府調達要件となっているセキュリティ認証の枠組み
  • オーストラリア Essential Eight
    • オーストラリア政府のサイバーセキュリティインシデントを軽減するための成熟度レベルによる枠組み
  • ISO/IEC 27001
    • ISMS:情報セキュリティマネジメントシステムのISO要求事項
  • NIST CSF v1.1
    • NIST Framework for Improving Critical Infrastructure Cybersecurity Version 1.1:サイバーセキュリティリスクに関するフレームワーク
  • CERT RMM v1.2
    • CERT Resilience Management Model:運用回復力管理に対するプロセス改善フレームワーク / DoDの資金援助を受けカーネギーメロン大学 ソフトウェア工学研究所(SEI)が作成
    • セキュリティ技術対策フレームワーク / 非営利団体The Center for Internet Security, Inc.が作成

(2)CMMCレベル1〜レベル3、CMMC「プロセス」成熟度の説明と解説(APPENDIX B.~E.)

 「APPENDIX B. CMMC LEVEL 1 DISCUSSION AND CLARIFICATION」「APPENDIX C. CMMC LEVEL 2 DISCUSSION AND CLARIFICATION」「APPENDIX D. CMMC LEVEL 3 DISCUSSION AND CLARIFICATION (EXCLUDING NIST 800-171PRACTICES)」に、CMMCレベル1〜3の「プラクティス」について説明(DISCUSSION)と解説(CLARIFICATION)が掲載されている。

 CMMCレベル1〜2の「プラクティス」について、NIST SP 800-171が参考情報となっている「プラクティス」の説明では、NIST SP 800-171 R2の説明が引用されている。

 CMMCレベル3については、NIST SP 800-171 以外の標準が参考情報となっているものについて、説明と解説が掲載されている。参考情報がない“CMMC”の「プラクティス」についても、説明と解説が掲載されており、具体的対応すべき事項が明確になっている。

 また、「APPENDIX E. CMMC MATURITY PROCESS DISCUSSION AND CLARIFICATION」に、CMMC「プロセス」成熟度の説明と解説が掲載されている。

(3)用語と略語(APPENDIX F.~G.)

「APPENDIX F. GLOSSARY」に、用語の説明が掲載され、「APPENDIX G. ACRONYM LIST」に略語リストが掲載されている。