米国国防総省サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15): まるちゃんの情報セキュリティ気まぐれ日記

March 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2024.11.24

米国国防総省サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

こんにちは、丸山満彦です。

少し古くなってしまったのですが、米国国防総省の調達に関連するCMMCの最終規則。。。

日本の企業でも米国国防総省と取引をする会社は気にしないといけないですね...

調達全体の一部の話なので、調達全体の理解がないと、これだけ読んでもわからないことが多いと思いますが、とりあえず...

● U.S. Department of Defense

・2024.10.11 Cybersecurity Maturity Model Certification Program Final Rule Published

Cybersecurity Maturity Model Certification Program Final Rule Published	サイバーセキュリティ成熟度モデル認証プログラムの最終規則が公表される
Today, the final program rule for the Cybersecurity Maturity Model Certification (CMMC) Program was released for public inspection on federalregister.gov and is anticipated to be published in the Federal Register, Tuesday, October 15.	本日、サイバーセキュリティ成熟度モデル認証（CMMC）プログラムの最終規則がfederalregister.govで公開され、10月15日（火）の連邦官報に掲載される予定である。
The purpose of CMMC is to verify that defense contractors are compliant with existing protections for federal contract information (FCI) and controlled unclassified information (CUI) and are protecting that information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.	CMMCの目的は、防衛請負業者が連邦契約情報（FCI）と管理対象非機密情報（CUI）に対する既存の防御を遵守し、高度持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで情報を保護していることを検証することである。
This rule streamlines and simplifies the process for small-and medium-sized businesses by reducing the number of assessment levels from the five in the original program to three under the new program.	この規則は、アセスメント・レベルの数を当初のプログラムの5段階から新プログラムの3段階に減らすことで、中小企業のプロセスを合理化・簡素化するものである。
This final rule aligns the program with the cybersecurity requirements described in Federal Acquisition Regulation part 52.204-21 and National Institute of Standards and Technology (NIST) Special Publications (SP) 800-171 Rev 2 and -172. It also clearly identifies the 24 NIST SP 800-172 requirements mandated for CMMC Level 3 certification.	この最終規則は、連邦調達規則パート 52.204-21 および国立標準技術研究所（NIST）の特別刊行物（SP）800-171 Rev 2 および -172 に記載されているサイバーセキュリティ要件とプログラムを整合させるものである。また、CMMCレベル3認証に義務付けられている24のNIST SP 800-172要件も明確に識別している。
With the publication of this updated 32 CFR rule, DoD will allow businesses to self-assess their compliance when appropriate. Basic protection of FCI will require self-assessment at CMMC Level 1.General protection of CUI will require either third-party assessment or self-assessment at CMMC Level 2.A higher level of protection against risk from advanced persistent threats will be required for some CUI. This enhanced protection will require a Defense Industrial Base Cybersecurity Assessment Center led assessment at CMMC Level 3.	この更新された 32 CFR 規則の公表により、DoD は、適切な場合、企業がそのコンプライアンスを自己評価できるようにする。FCIの基本的な防御には、CMMCレベル1での自己アセスメントが必要となる。CUIの一般的な防御には、サードパーティによるアセスメントかCMMCレベル2での自己アセスメントが必要となる。この強化された防御には、防衛産業基盤サイバーセキュリティ・アセスメント・センターが主導するCMMCレベル3のアセスメントが必要となる。
CMMC provides the tools to hold accountable entities or individuals that put U.S. information or systems at risk by knowingly misrepresenting their cybersecurity practices or protocols, or knowingly violating obligations to monitor and report cybersecurity incidents and breaches. The CMMC Program implements an annual affirmation requirement that is a key element for monitoring and enforcing accountability of a company's cybersecurity status.	CMMCは、サイバーセキュリティの慣行やプロトコルを故意に偽って伝えたり、サイバーセキュリティのインシデントや侵害を監視し報告する義務に故意に違反したりすることによって、米国の情報やシステムをリスクにさらした事業体や個人に責任を問うためのツールを提供する。 CMMCプログラムは、企業のサイバーセキュリティ状況を監視し、説明責任を実施するための重要な要素である年次確認要件を実施している。
With this revised CMMC Program, the Department also introduces Plans of Action and Milestones (POA&Ms). POA&Ms will be granted for specific requirements as outlined in the rule to allow a business to obtain conditional certification for 180 days while working to meet the NIST standards.	このCMMCプログラムの改訂に伴い、同省は行動計画とマイルストーン（POA&M）も導入する。 POA&Mは、NIST標準に適合するよう努力する間、企業が180日間条件付きで認証を取得できるよう、規則に概説された特定の要件に対して付与される。
The benefits of CMMC include:	CMMCの利点は以下の通りである：
・Safeguarding sensitive information to enable and protect the warfighter	・機密情報を保護し、戦闘員を有効かつ保護する。
・Enforcing DIB cybersecurity standards to meet evolving threats	DIB のサイバーセキュリティ標準を実施し、進化する脅威に対応す・る。
Ensuring accountability while minimizing barriers to compliance with DoD ・requirements	・国防総省の要件に準拠するための障壁を最小限に抑えながら、説明責任を確保する。
・Perpetuating a collaborative culture of cybersecurity and cyber resilience	・サイバーセキュリティとサイバーレジリエンスの協力的な文化を永続させる。
・Maintaining public trust through high professional and ethical standards	・高い専門性と倫理基準を通じて国民の信頼を維持する
The Department understands the significant time and resources required for industry to comply with DoD's cybersecurity requirements for safeguarding CUI and is intent upon implementing CMMC requirements to assess the degree to which they have done so. The Department would like to thank all the businesses and industry associations that provided input during the public comment period. Without this collaboration, it would not have been possible to meet our goals of improving security of critical information and increasing compliance with cybersecurity requirements while simultaneously making it easier for small and medium-sized businesses to meet their contractual obligations.	国防総省は、CUIを保護するための国防総省のサイバーセキュリティ要件を遵守するために産業界が多大な時間とリソースを必要としていることを理解しており、CMMCの要件を実施し、その程度を評価することを意図している。国防総省は、パブリックコメント期間中に意見を提供してくれたすべての企業および業界団体に感謝したい。このような協力がなければ、重要情報のセキュリティを改善し、サイバーセキュリティ要件への準拠を高めると同時に、中小企業が契約上の義務を果たしやすくするという目標を達成することはできなかっただろう。
Businesses in the defense industrial base should take action to gauge their compliance with existing security requirements and preparedness to comply with CMMC assessments. Members of the defense industrial base may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement. The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support.	防衛産業基盤に属する企業は、既存のセキュリティ要件へのコンプライアンスとCMMCアセスメントへの準備態勢を評価するために行動を起こすべきである。防衛産業基盤のメンバーは、CMMC 要件の一部としてアセスメントされなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」に、現在利用可能なリソースのリストをまとめている。
The DoD's follow-on Defense Federal Acquisition Regulation Supplement (DFARS) rule change to contractually implement the CMMC Program will be published in early to mid-2025. Once that rule is effective, DoD will include CMMC requirements in solicitations and contracts. Contractors who process, store, or transmit FCI or CUI must achieve the appropriate level of CMMC as a condition of contract award. More information on the timing of the proposed DFARS rule can be found at [web].	CMMCプログラムを契約的に実施するためのDoDの国防連邦調達規則補足（DFARS）規則変更は、2025年初頭から半ばにかけて公表される予定である。この規則が発効すれば、国防総省はCMMCの要件を募集や契約に盛り込むことになる。 FCIまたはCUIを処理、保管、伝送する請負業者は、契約締結の条件として、適切なレベルのCMMCを達成しなければならない。提案されているDFARS規則の時期に関する詳細は、 [web] 。
More information on the CMMC Program can be found at [web].	CMMCプログラムに関する詳細は、[web]。

CMMCのウェブページ

● U.S. DoD - CIO

・Cybersecurity Maturity Model Certification

・・About CMC

About CMMC	CMMCについて
Cybersecurity is a top priority for the Department of Defense (DoD). The defense industrial base (DIB) faces increasingly frequent, and complex cyberattacks. To strengthen DIB cybersecurity and better safeguard DoD information, the DoD developed the Cybersecurity Maturity Model Certification (CMMC) Program to assess existing DoD cybersecurity requirements.	サイバーセキュリティは国防総省（DoD）の最優先課題である。防衛産業基盤（DIB）は、ますます頻繁に、そして複雑なサイバー攻撃に直面している。DIBのサイバーセキュリティを強化し、DoDの情報をより良く保護するために、DoDは既存のDoDサイバーセキュリティ要件を評価するサイバーセキュリティ成熟度モデル認証（CMMC）プログラムを開発した。
Overview of the CMMC Program	CMMC プログラムの概要
The CMMC Program aligns with the DoD’s existing information security requirements for the DIB. It is designed to enforce the protection of sensitive unclassified information shared by the Department with its contractors and subcontractors. The program provides the DoD with increased assurance that contractors and subcontractors are meeting the cybersecurity requirements for nonfederal systems processing controlled unclassified information.	CMMC プログラムは、DIB に対する DoD の既存の情報セキュリティ要件と整合している。これは、国防総省が請負業者や下請業者と共有する機密性の高い非分類情報の保護を強化するために設計されている。このプログラムにより、国防総省は、請負業者および下請業者が管理対象非機密情報を処理する連邦政府のシステムに対するサイバーセキュリティ要件を満たしていることをより確実に保証することができる。
Key features of the CMMC Program:	CMMC プログラムの主な特徴
・Tiered Model: CMMC requires companies entrusted with sensitive unclassified DoD information to implement cybersecurity standards at progressively advanced levels, depending on the type and sensitivity of the information. The program also outlines the process for requiring protection of information flowed down to subcontractors.	・階層モデル： CMMCは、国防総省の機密情報を預かる企業に対し、情報の種類と機密性に応じて、段階的に高度なレベルのサイバーセキュリティ標準を実施することを求めている。また、このプログラムでは、下請け企業に流される情報の保護を要求するプロセスの概要も示している。
・Assessment Requirement: CMMC assessments allow the DoD to verify DIB implementation of existing cybersecurity standards.	・アセスメント要件： CMMC のアセスメントにより、DoD は既存のサイバーセキュリティ標準の DIB による実施を検証することができる。
・Implementation through Contracts: DoD contractors and subcontractors handling sensitive unclassified DoD information must achieve a specific CMMC level as a condition of contract award.	・契約による実施：契約による実施：国防総省の請負業者および下請業者は、機密の非分類国防総省情報を扱う場合、契約締結の条件として特定の CMMC レベルを達成しなければならない。
Protected Information	保護情報
The CMMC model is designed to protect Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) shared with defense contractors and subcontractors during contract performance.	CMMCモデルは、契約履行中に防衛請負業者および下請業者と共有される連邦契約情報（FCI）および管理対象非機密情報（CUI）を保護するように設計されている。
・Federal Contract Information (FCI): As defined in section 4.1901 of the Federal Acquisition Regulation (FAR), FCI is “information, not intended for public release, that is provided by or generated for the Government under a contract to develop or deliver a product or service to the Government, excluding information provided by the Government to the public (such as that on public websites) or simple transactional information, such as that necessary to process payments.”	・連邦契約情報（FCI）：連邦調達規則（FAR）のセクション 4.1901 で定義されているように、FCI は、「一般公開を意図していない情報であり、政府に対する製品またはサービスを開発または提供する契約に基づき、政府によって提供される、または政府のために生成される。
・Controlled Unclassified Information (CUI): As outlined in Title 32 CFR 2002.4(h), CUI is “information the Government creates or possesses, or that an entity creates or possesses for or on behalf of the Government, that a law, regulation, or Government-wide policy requires or permits an agency to handle using safeguarding or dissemination controls.” For more information regarding specific CUI categories and subcategories, see the DoD CUI Registry website.	・管理対象非機密情報（CUI）： Title 32 CFR 2002.4(h)に概説されているように、CUI は、「政府が作成または保有する情報、あるいは事業体が政府のためにまたは政府を代表して作成または保有する情報であって、法律、規則、または政府全体の方針が、保護管理または普及管理を使用して取り扱うことを機関に要求または許可するもの」である。特定のCUIカテゴリーおよびサブカテゴリーに関する詳細は、DoD CUIレジストリのウェブサイトを参照のこと。
Overview of Assessments	アセスメントの概要
The CMMC Program provides assessments at three levels, each incorporating security requirements from existing regulations and guidelines.	CMMCプログラムでは、3つのレベルのアセスメントをプロバイダとして提供しており、各レベルには既存の規制やガイドラインのセキュリティ要件が盛り込まれている。
Level 1: Basic Safeguarding of FCI	レベル1：FCIの基本的な保護
Requirements: Annual self-assessment and annual affirmation of compliance with the 15 security requirements in FAR clause 52.204-21.	要件毎年セルフアセスメントを行い、FAR条項52.204-21の15のセキュリティ要件を遵守していることを毎年確認する。
Level 2: Broad Protection of CUI	レベル2：CUIの広範な防御
Requirements:	要件：
1. Either a self-assessment or a C3PAO assessment every three years, as specified in the solicitation.	1. セルフアセスメントまたは C3PAO アセスメントのいずれかを、募集要項に指定されたとおりに 3 年ごとに実施すること。
・Decided by the type of information processed, transmitted, or stored on the contractor or subcontractor information systems.	・請負業者または下請業者の情報システムで処理、送信、または保存される情報の種類によって決定される。
2. Annual affirmation, verify compliance with the 110 security requirements in NIST SP 800-171 Revision 2.	2. 年1回の確認、NIST SP 800-171 Revision 2 の 110 のセキュリティ要件への準拠を検証する。
Level 3: Higher-Level Protection of CUI Against Advanced Persistent Threats	レベル 3：高度な持続的脅威に対する CUI の高レベル防御
Requirements:	要件
1. Achieve CMMC Status of Final Level 2.	1. 最終レベル2のCMMCステータスを達成する。
2. Undergo an assessment every three years by the Defense Contract Management Agency’s Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).	2. 防衛契約管理局の防衛産業基盤サイバーセキュリティアセスメントセンター（DIBCAC）によるアセスメントを 3 年ごとに受ける。
3. Provide an annual affirmation verifying compliance with the 24 identified requirements from NIST SP 800-172.	3. NIST SP 800-172 から識別された 24 の要件への準拠を検証する年次確認書を提出する。

CMMC Post-Assessment Remediation: Plans of Actions and Milestones	CMMCのアセスメント後の是正：行動計画とマイルストーン
The CMMC Program allows limited use of Plans of Action and Milestones (POA&Ms).	CMMCプログラムでは、行動計画とマイルストーン（POA&M）の限定的な使用を認めている。
・Level 1: POA&Ms are not permitted.	・レベル1：POA&Mは許可されない。
・Level 2 and Level 3: Refer to §170.21 of the 32 CFR CMMC Program final rule for POA&M requirements, including critical requirements that cannot be included in a POA&M.	・レベル2およびレベル3：POA&Mに含めることができない重要な要求事項を含むPOA&Mの要求事項については、32 CFR CMMCプログラム最終規則の§170.21を参照のこと。
A POA&M closeout assessment is a CMMC assessment that evaluates only the NOT MET requirements identified in the initial assessment. The closing of a POA&M must be confirmed by a POA&M closeout assessment within 180 days of the Conditional CMMC Status Date. If the POA&M is not successfully closed out within this timeframe, the Conditional CMMC Status for the information system will expire.	POA&Mのクローズアウトアセスメントは、最初のアセスメントで識別されたNOT MET要件のみを評価するCMMCアセスメントである。POA&Mのクローズは、条件付CMMCステータス日から180日以内にPOA&Mクローズアウトアセスメントによって確認されなければならない。この期間内にPOA&Mが正常に終了しなかった場合、情報システムの条件付CMMCステータスは失効する。
・Level 2 Self-Assessment: The POA&M closeout self-assessment shall be performed by the OSA in the same manner as the initial self-assessment.	・レベル2のセルフアセスメント： POA&M クローズアウトセルフアセスメントは、初回のセルフアセスメントと同じ方法で OSA が実施する。
・Level 2 Certification Assessment: The POA&M closeout certification assessment must be performed by an authorized or accredited C3PAO.	・レベル 2 認証アセスメント： POA&M クローズアウト認証アセスメントは、認可または認定された C3PAO が実施しなければならない。
・Level 3 Certification Assessment: The POA&M closeout certification assessment will be performed by DCMA DIBCAC.	・レベル 3 認証アセスメント： POA&M クローズアウト認証アセスメントは、DCMA DIBCAC によって実施される。
CMMC Implementation	CMMCの実施
The CMMC Program implementation date is 60 days after the publication of the final Title 48 CFR CMMC acquisition rule. CMMC assessment requirements will be implemented using a four-phase plan over three years. The phases add CMMC Level requirements incrementally, starting with self-assessments in Phase 1 and ending with full implementation of program requirements in Phase 4. This phased approach allows time to train assessors and for companies to understand and implement CMMC assessment requirements.	CMMCプログラムの実施日は、Title 48 CFR CMMCの最終取得規則の公表から60日後である。CMMCアセスメント要件は、3年間にわたる4段階計画で実施される。フェーズ1でのセルフアセスメントから始まり、フェーズ4でのプログラム要件の完全実施まで、段階的にCMMCレベルの要件が追加される。この段階的アプローチにより、アセスメント担当者を訓練し、企業がCMMCアセスメント要件を理解し実施するための時間を確保することができる。

CMMC Status	Source & Number of Security Reqts.	Assessment Reqts.	Plan of Action & Milestones (POA&M) Reqts.	Affirmation Reqts.
Level 1 (Self)	15 required by FAR clause 52.204-21	Conducted by Organization Seeking Assessment (OSA) annually	Not permitted	After each assessment
Level 1 (Self)		Results entered into the Supplier Performance Risk System (SPRS)		Entered into SPRS
Level 2 (Self)	110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012	Conducted by OSA every 3 years	Permitted as defined in § 170.21(a)(2) and must be closed out within 180 days	After each assessment and annually thereafter
		Results entered into SPRS	Final CMMC Status will be valid for three years from the Conditional CMMC Status Date	Assessment will lapse upon failure to annually affirm
		CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4		Entered into SPRS
Level 2 (C3PAO)	110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012	Conducted by C3PAO every 3 years	Permitted as defined in § 170.21(a)(2) and must be closed out within 180 days	After each assessment and annually thereafter
		Results entered into CMMC Enterprise Mission Assurance Support Service (eMASS)	Final CMMC Status will be valid for three years from the Conditional CMMC Status Date	Assessment will lapse upon failure to annually affirm
		CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4		Entered into SPRS
Level 3 (DIBCAC)	110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012	Pre-requisite CMMC Status of Level 2 (C3PAO) for the same CMMC Assessment Scope, for each Level 3 certification assessment	Permitted as defined in § 170.21(a)(3) and must be closed out within 180 days	After each assessment and annually thereafter
	24 selected from NIST SP 800-172 Feb2021, as detailed in table 1 to § 170.14(c)(4)	Conducted by DIBCAC every 3 years	Final CMMC Status will be valid for three years from the Conditional CMMC Status Date	Assessment will lapse upon failure to annually affirm
		Results entered into CMMC eMASS		Level 2 (C3PAO) affirmation must also continue to be completed annually
		CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4		Entered into SPRS

CMMC Status	出典とセキュリティ要求数	アセスメント要件	行動計画＆マイルストーン（POA&M）要求事項	アファメーションの必要条件
Level 1 (セルフ)	15 FAR条項52.204-21による要求	アセスメントを求める組織（OSA）により毎年実施される。	許可されない	各アセスメント後
Level 1 (セルフ)		結果をサプライヤー・パフォーマンス・リスク・システム（SPRS）に入力する。		SPRSに登録される
Level 2 (セルフ)	110 DFARS条項252.204-7012により要求されるNIST SP 800-171 R2	3年ごとにOSAが実施する	170.21条(a)(2)で定義されている通り許可され、180日以内に終了しなければならない。	各審査後およびその後毎年アセスメント
		結果はSPRSに入力される	最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。	アセスメントは、毎年確認しなかった時点で失効する。
		CMMCステータスは、§170.4に定義されるCMMCステータス日から3年間妥当性確認される。		SPRSに記載される
Level 2 (C3PAO)	110 DFARS 第 252.204-7012 項により要求される NIST SP 800-171 R2	C3PAOにより3年毎に実施される。	170.21条(a)(2)に定義される通り許可され、180日以内に閉鎖されなければならない。	各審査後およびその後毎年アセスメント
		結果はCMMCエンタープライズミッション保証支援サービス（eMASS）に入力される。	最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。	アセスメントは、毎年確認しなかった時点で失効する。
		CMMCステータスは、§170.4に定めるCMMCステータス日から3年間有効である。		SPRSに登録される
Level 3 (DIBCAC)	110 DFARS 第 252.204-7012 条により要求される NIST SP 800-171 R2	レベル3の認証審査ごとに、同じCMMCアセスメントスコープでレベル2（C3PAO）のCMMCステータスが前提条件となる。	170.21条(a)(3)に定義される通り許可され、180日以内に終了しなければならない。	各審査後およびその後毎年アセスメント
	170.14 条(c)(4)の表 1 に詳述されているように、NIST SP 800-172 Feb2021 から選択された 24 件	DIBCACにより3年毎に実施される。	最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。	アセスメントは、毎年確認しなかった時点で失効する。
		結果はCMMC eMASSに入力される。		レベル2(C3PAO)の確認も毎年継続しなければならない
		CMMCステータスは、§170.4で定義されるCMMCステータス日から3年間有効である。		SPRSに登録される

・・CMMC Resources & Documentation

Internal Resources	内部リソース
CMMC 101 Brief	CMMC101概要
CMMC Overview Briefing (Audio)	CMMC概要説明（音声）
CMMC Model Overview	CMMCモデル概要
CMMC Level 1 Scoping Guidance	CMMCレベル1ガイダンス
CMMC Level 1 Self-Assessment Guide	CMMCレベル1セルフアセスメントガイド
CMMC Level 2 Scoping Guidance	CMMCレベル2スコーピング・ガイダンス
CMMC Level 2 Assessment Guide	CMMCレベル2アセスメントガイド
CMMC Level 3 Scoping Guidance	CMMCレベル3スコーピング・ガイダンス
CMMC Level 3 Assessment Guide	CMMCレベル3アセスメントガイド
CMMC Hashing Guide	CMMCハッシングガイド CMMCハッシングガイド
External Resources	外部リソース
CMMC Defense Federal Acquisition Regulation Supplement (DFARS) Proposed Rule	CMMC 国防連邦調達規則補足（DFARS）提案規則
DFARS Clause 252.204-7012: Safeguarding Covered Defense Information and Cyber Incident Reporting	DFARS条項252.204-7012：対象となる防衛情報の保護およびサイバーインシデントの報告
DFARS Provision 252.204-7019: Notice of NIST SP 800-171 DoD Assessment Requirements	DFARS条項252.204-7019：NIST SP 800-171 DoDアセスメント要件の通知
DFARS Clause 252.204-7020: NIST SP 800-171 DoD Assessment Requirements	DFARS 規定 252.204-7020： NIST SP 800-171 DoD アセスメント要件
DFARS Clause 252.204-7021: TBD	DFARS 条項 252.204-7021：未定
NIST SP 800-171 Rev. 2: Protecting CUI in Nonfederal Systems	NIST SP 800-171 改訂 2 版：連邦政府以外のシステムにおける CUI の保護
NIST SP 800-171A: Assessing Security Requirements for Controlled Unclassified Information	NIST SP 800-171A：管理対象非機密情報のセキュリティ要件のアセスメント
NIST SP 800-172: Enhanced Security Requirements for Protecting Controlled Unclassified Information	NIST SP 800-172：管理対象非機密情報を保護するための拡張セキュリティ要件
NIST SP 800-172A: Assessing Enhanced Security Requirements for Controlled Unclassified Information	NIST SP 800-172A: 管理対象非機密情報の拡張セキュリティ要件のアセスメント
DoD CUI Program Website: DoD CUI Program	国防総省CUIプログラムのウェブサイト国防総省CUIプログラム
Supplier Performance Risk System (SPRS)	サプライヤー・パフォーマンス・リスク・システム（SPRS）
CMMC Accreditation Body Website: CMMC Accreditation Body	CMMC認定団体ウェブサイト： CMMC認定団体
DODI 5200.48 – Controlled Unclassified Information: DODI 5200.48	DODI 5200.48 - 管理対象非機密情報： DODI 5200.48
DODI 5000.90 – Cybersecurity for Acquisition Decision Authorities and Program Managers: DODI 5000.90	DODI 5000.90 - 取得決定権者及びプログラム管理者のためのサイバーセキュリティ： DODI 5000.90
Executive Order on Improving the Nation’s Cybersecurity (May 12, 2021): Executive Order	国家サイバーセキュリティ向上に関する大統領令（2021年5月12日）：大統領令
Additional Resources	その他のリソース
NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations	NIST SP 800-53: 情報システムおよび組織のセキュリティおよびプライバシー管理
NIST Cybersecurity Framework (CSF)	NISTサイバーセキュリティ枠組み（CSF）
Cybersecurity & Infrastructure Security Agency (CISA) Resources: CISA Resources	サイバーセキュリティ・インフラセキュリティ庁（CISA）リソース： CISA リソース
Federal Risk and Authorization Management Program (FedRAMP)	連邦リスク認可マネジメントプログラム（FedRAMP）
National Defense Industrial Association (NDIA): NDIA Cybersecurity	全米防衛産業協会（NDIA）： NDIA サイバーセキュリティ
Defense Acquisition University (DAU): DAU Cybersecurity Courses	国防調達大学（DAU）： DAU サイバーセキュリティコース
CMMC Marketplace: CMMC Marketplace	CMMCマーケットプレイス CMMCマーケットプレイス
Cybersecurity and Privacy Reference Tool (CPRT)	サイバーセキュリティとプライバシーリファレンスツール（CPRT）

FAQ

・・CMMC FAQs

ABOUT CMMC	CMMCについて
Q1. What is CMMC trying to address?	Q1. CMMCは何を目指しているのか？
A1. The defense industrial base (DIB) is the target of more frequent and complex cyberattacks. CMMC is a key component of the Department’s expansive DIB cybersecurity improvement effort. The program is designed to help ensure that defense contractors and subcontractors are compliant with existing information protection requirements for Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) and are protecting that sensitive unclassified information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.	A1. 防衛産業基盤（DIB）は、より頻繁で複雑なサイバー攻撃の標的となっている。CMMCは、国防総省の広範なDIBサイバーセキュリティ改善努力の重要な構成要素である。このプログラムは、防衛請負業者と下請け業者が連邦契約情報（FCI）と管理対象非機密情報（CUI）に対する既存の情報保護要件を遵守し、高度な持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで機密非機密情報を保護していることを確認するのを支援するように設計されている。
Q2. Where can I find the 32 CFR CMMC Program rule?	Q2. 32 CFR CMMCプログラム規則はどこで入手できるか。
A2. The 32 CFR CMMC Program Rule can be found here. ([web])	A2. 32 CFR CMMCプログラム規則は、([web]) にある。
Q3. Where can I find the 48 CFR CMMC Acquisition rule?	Q3. 48 CFR CMMC取得規則はどこで入手できるか？
A3. The 48 CFR CMMC Acquisition Rule can be found here. ([web])	A3. 48 CFR CMMC取得規則はここにある。([web])
Q4. Will companies need to comply with CMMC 1.0 after the revised program is implemented?	Q4. 改正プログラム実施後もCMMC 1.0に準拠する必要があるのか。
A4. No, there is only one CMMC Program. The requirements have been revised since the initial publication, often referred to as “CMMC 1.0”.	A4. CMMCプログラムは1つしかない。要件は、しばしば「CMMC 1.0 」と呼ばれる最初の発行から改訂されている。
Q5. Why did the DoD initiate rulemaking for CMMC?	Q5. なぜDoDはCMMCのルール作りを開始したのか？
A5. Rulemaking under Title 32 CFR is required to formally establish the DoD CMMC Program in regulation, and separate rulemaking under Title 48 CFR is required to update contractual requirements in the Defense Federal Acquisition Regulation Supplement (DFARS) to implement the program.	A5. DoDのCMMCプログラムを正式に規定するためには、Title 32 CFRに基づく規則制定が必要であり、プログラムを実施するためにDefense Federal Acquisition Regulation Supplement (DFARS)の契約要件を更新するためには、Title 48 CFRに基づく別の規則制定が必要である。
Q6. When will CMMC be required for Department of Defense contracts?	Q6. 国防総省の契約にCMMCが要求されるのはいつからか？
A6. CMMC will be implemented contractually in the DoD when the DFARS clause 252.204-7021 is revised, and 60 days after the 48 CFR rule is published as final in the Federal Register.	A6. CMMCは、DFARS条項252.204-7021が改訂され、48 CFR規則が連邦官報に最終版として掲載されてから60日後に、国防総省において契約上実施される。
Q7. Why did the Department revise CMMC?	Q7. なぜ国防総省はCMMCを改訂したのか？
A7. The Department revised CMMC in response to feedback from industry, Congress, and other stakeholders. The DoD initiated an internal review of the program to focus on enhancing CMMC by (1) reducing costs, particularly for small businesses; (2) increasing trust in the CMMC assessment ecosystem; and (3) clarifying and aligning cybersecurity requirements to existing federal requirements and commonly accepted standards. DoD designed the revised CMMC framework to meet these goals, align with FY 2020 congressional guidance.	A7. 国防総省は、産業界、議会、その他の利害関係者からのフィードバックに応じてCMMCを改訂した。DoDは、(1)特に中小企業にとってのコスト削減、(2)CMMCアセスメント・エコシステムに対する信頼の向上、(3)既存の連邦政府要件および一般に受け入れられている標準に対するサイバーセキュリティ要件の明確化および整合化によってCMMCを強化することに重点を置くため、プログラムの内部レビューを開始した。DoDは、これらの目標を達成し、2020年度議会のガイダンスに沿うように、改訂されたCMMC枠組みを設計した。
Q8. How much will it cost to implement CMMC?	Q8. CMMCの導入にはどれくらいの費用がかかるのか。
A8. The cost of implementing CMMC depends on various factors, including the CMMC level, the complexity of the DIB company’s unclassified network, and market forces. However, costs incurred to meet existing contract requirements for safeguarding information (DFARS 252.204-7012) are not considered part of the CMMC implementation cost.	A8. CMMCの導入コストは、CMMCレベル、DIB企業の非機密ネットワークの複雑さ、市場原理など、さまざまな要因に依存する。ただし、情報保護に関する既存の契約要件（DFARS 252.204-7012）を満たすために発生したコストは、CMMCの導入コストの一部とは見なされない。
Q9. What resources are available to assist companies in complying with DoD cybersecurity requirements?	Q9. DoDのサイバーセキュリティ要件に準拠する企業を支援するために、どのようなリソースが利用可能か？
A9. The DoD provides various no-cost Cybersecurity-as-a-Service resources to reduce barriers to DIB community compliance and support contract cybersecurity efforts. The DoD CIO DIB Cybersecurity Program has compiled a list of these services that is available at dibnet.dod.mil under DoD DIB Cybersecurity-As-A Service (CSaaS) Services and Support.	A9. 国防総省は、DIB コミュニティのコンプライアンスに対する障壁を減らし、契約のサイバーセキュリティの取り組みを支援するために、さまざまな無償のサイバーセキュリティ・アズ・ア・サービス・リソースを提供している。国防総省 CIO DIB サイバーセキュリティ・プログラムは、これらのサービスのリストをまとめており、dibnet.dod.mil の「DoD DIB Cybersecurity-As-A Service (CSaaS) Services and Support」で入手できる。
CMMC MODEL	CMMC モデル
Q10. How will my organization know what CMMC level is required for a contract?	Q10. 契約に必要な CMMC レベルはどのようにして知ることができるのか。
A10. Once CMMC is implemented, the DoD will specify the required CMMC level in the solicitation and the resulting contract.	A10. CMMCが導入されると、DoDは、募集とその結果の契約に必要なCMMCレベルを指定する。
Q11. What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 and CMMC?	Q11. 国立標準技術研究所（NIST）の特別刊行物（SP）800-171とCMMCの関係は？
A11. DoD requires defense contractors’ compliance with NIST SP 800-171 security requirements through inclusion of DFARS clause 252.204-7012 in contracts. CMMC assessment requirements will be included in DoD solicitations when the revised Title 48 CFR CMMC acquisition rule (DFARS 252.204-7021) becomes effective. Defense contractors will be required to undergo a self-assessment or a third-party assessment to determine whether that defense contractor has met applicable NIST SP 800-171 requirements.	A11. DoDは、契約にDFARS条項252.204-7012を含めることにより、防衛請負業者がNIST SP 800-171セキュリティ要件に準拠することを要求している。CMMCアセスメント要件は、改正Title 48 CFR CMMC取得規則（DFARS 252.204-7021）が発効した時点で、DoDの募集に含まれることになる。国防請負業者は、該当する NIST SP 800-171 の要件を満たしているかどうかを判断するために、セルフアセスメントまたはサードパーティによるアセスメントを受けることが要求される。
Q12. What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-172 and CMMC?	Q12. 国立標準技術研究所（NIST）の特別刊行物（SP）800-172とCMMCの関係はどのようになっているか。
A12. NIST SP 800-172 provides security requirements designed to address advanced persistent threats and forms the basis for CMMC level 3 security requirements. Contractors must implement 24 requirements from NIST SP 800-172 when DoD identifies CMMC Level 3 as a contract requirement.	A12. NIST SP 800-172は、高度な持続的脅威に対処するために設計されたセキュリティ要件を提供し、CMMCレベル3セキュリティ要件の基礎を形成する。DoDがCMMCレベル3を契約要件として特定した場合、請負業者はNIST SP 800-172の24の要件を実装しなければならない。
Q13. The CMMC model uses NIST SP 800-171, Revision 2. Will the Department update the program to use NIST SP 800-171, Revision 3?	Q13. CMMCモデルはNIST SP 800-171、改訂2を使用している。国防総省は、NIST SP 800-171改訂3を使用するようにプログラムを更新するのか。
A13. The Department followed federal rulemaking guidelines when including NIST SP 800-171 Revision 2 in the Title 32 CFR CMMC rule. The Department will incorporate Revision 3 with future rulemaking. The Department has issued a class deviation to DFARS clause 252.204-7012 to allow contracting officials to assess against Revision 2 until Revision 3 has been incorporated through rulemaking. You can find more info on that deviation here.	A13. 同省は、Title 32 CFR CMMC規則にNIST SP 800-171改訂2を含める際、連邦規則制定ガイドラインに従った。同省は、今後の規則制定で改訂3を取り入れる予定である。同省は、DFARS条項252.204-7012に対するクラス逸脱を発行し、改訂3が規則制定を通じて組み込まれるまで、契約担当者が改訂2に対してアセスメントできるようにしている。この逸脱に関する詳細は、こちらを参照されたい。
Q14. Will prime contractors and subcontractors be required to maintain the same CMMC level?	Q14. 元請けと下請けは同じCMMCレベルを維持する必要があるのか。
A14. No, a lower CMMC level may apply to the subcontractor if the prime only flows down limited information. Additionally, if a prime contractor requires a CMMC level 3 certification, then a CMMC level 2 certification is the minimum requirement for CUI flowed down to the subcontractor, unless otherwise specified in the contract.	A14. 元請業者が限られた情報しか流さない場合、下請業者にはより低いCMMCレベルが適用される。さらに、元請業者がCMMCレベル3の認定を要求する場合、契約に別段の定めがない限り、CMMCレベル2の認定が下請業者にフローダウンされるCUIの最低要件となる。
Q15. What is the difference between FCI and CUI?	Q15. FCIとCUIの違いは何か？
A15. FCI is any information that is ‘not intended for public release,’ CUI is information that requires safeguarding and may also be subject to dissemination controls. FCI is defined in FAR clause 52.204-21, and CUI is defined in Title 32 CFR Part 2002. The Department’s CUI Quick Reference Guide includes additional information on the marking and handling of CUI.	A15. FCIは「一般公開を意図していない」情報であり、CUIは保護が必要な情報であり、また普及管理の対象となる場合もある。FCIはFAR条項52.204-21で定義され、CUIはTitle 32 CFR Part 2002で定義されている。同省のCUIクイック・リファレンス・ガイドには、CUIのマーキングと取扱いに関する追加情報が記載されている。
Q16. Will the CMMC Program address proper marking of legacy FOUO information and CUI?	Q16. CMMCプログラムは、レガシーFOUO情報やCUIの適切なマーキングに対応するのか？
A16. Marking of legacy FOUO and CUI is outside the purview of the CMMC Program and the CMMC Program makes no change to information marking requirements. The CUI Program was established federally through Title 32 CFR Part 2002 and within DoD through DoD Instruction 5200.48. Not all, but some information previously marked as FOUO will qualify as CUI. Contactors should seek DoD guidance to understand which legacy FOUO information should be marked and controlled as CUI.	A16. レガシーFOUOおよびCUIのマーキングは、CMMCプログラムの権限外であり、CMMCプログラムは情報のマーキング要件に変更を加えない。CUIプログラムは、連邦政府ではTitle 32 CFR Part 2002により、国防総省ではDoD Instruction 5200.48により確立された。すべてではないが、以前はFOUOとしてマークされていた情報の一部は、CUIとして適格となる。接触者は、どのレガシーFOUO情報がCUIとしてマークされ管理されるべきかを理解するために、DoDのガイダンスを求めるべきである。
ASSESSMENTS	アセスメント
Q17. How does my company become a C3PAO?	Q17. どのようにしてC3PAOになるのか？
A17. Interested organizations should refer to the CMMC AB website (currently Cyber AB) for additional information on becoming a candidate C3PAO.	A17. C3PAO候補になるための追加情報については、CMMC ABのウェブサイト（現在はCyber AB）を参照されたい。
Q18. What is the difference between authorized and accredited C3PAOs.	Q18. 認可C3PAOと認定C3PAOの違いは何か。
A18. The only difference between authorization and accreditation is the status of the CMMC Accreditation Body. Prior to the CMMC AB achieving its full ISO/IEC 17011 compliance, the interim term “authorized” is used for C3PAOs.	A18. 認可と認定の唯一の違いは、CMMC認定団体のステータスである。CMMC ABがISO/IEC 17011への完全な適合を達成する前は、C3PAOに対して暫定的に「認可（authorized）」という用語が使用される。
Q19. How frequently will assessments be required?	Q19. アセスメントの頻度はどの程度か。
A19. Once CMMC is implemented through the Title 48 CFR rule, Level 1 selfassessments will be required on an annual basis and CMMC Levels 2 and 3 will be required every 3 years. An affirmation of continued compliance is required for all CMMC levels at the time of assessment and annually thereafter.	A19. CMMCがTitle 48 CFR規則を通じて実施されると、レベル1のセルフ評価は年1回、CMMCレベル2と3は3年ごとに必要となる。すべてのCMMCレベルについて、アセスメント時およびその後毎年、遵守継続の確認が必要となる。
Q20. Who will perform independent CMMC assessments?	Q20. 独立したCMMCアセスメントは誰が行うのか？
A20. DoD will only accept CMMC Level 3 assessments provided by the DIBCAC and CMMC Level 2 assessments conducted by an authorized or accredited C3PAO. C3PAOs shall use only certified CMMC assessors to conduct CMMC assessments.	A20. DoDは、DIBCACが提供するCMMCレベル3のアセスメントと、認可または認定されたC3PAOが実施するCMMCレベル2のアセスメントのみを受け入れる。C3PAOは、認定されたCMMCアセッサーのみを使用してCMMCアセスメントを実施しなければならない。
Q21. Will my organization need to be independently assessed if it does not handle CUI?	Q21. CUIを取り扱わない組織は、独立したアセスメントを受ける必要があるのか。
A21. No, if a DIB company does not process, store, or transmit CUI but does handle FCI, then only a CMMC Level 1 self-assessment would be required. Contractors are required to safeguard information by inclusion of contract clauses such as FAR 52.20421 (for FCI) or DFARS 252.204-7012 (for CUI). DoD’s intent under the CMMC Program is to require assessment against the required cybersecurity standards (i.e., NIST SP 800-171) only when safeguarding of CUI is required. For some CUI, DoD will accept a self-assessment rather than requiring certification based on assessment by a C3PAO or the Government.	A21. DIB 企業が CUI を処理、保管、または送信しないが、FCI を取り扱う場合は、CMMC レベル 1 のセルフアセスメントのみが必要となる。請負業者には、FAR 52.20421（FCI用）またはDFARS 252.204-7012（CUI用）などの契約条項を含めることにより、情報を保護することが求められる。CMMCプログラムにおけるDoDの意図は、CUIの保護が要求される場合にのみ、要求されるサイバーセキュリティ標準（すなわち、NIST SP 800-171）に対するアセスメントを要求することである。一部の CUI については、DoD は、C3PAO またはガバナンスによるアセスメントに基づく認証を要求するのではなく、セルフアセスメントを受け入れる。
Q22. Will CMMC independent assessments be required for classified systems and / or classified environments within the DIB?	Q22. DIB内の機密システムおよび／または機密環境に対して、CMMCの独立アセスメントは要求されるか？
A22. No, CMMC only applies to DIB contractors’ nonfederal systems unclassified networks that process, store, or transmit FCI or CUI.	A22. いいえ。CMMC は、FCI または CUI を処理、保管、または伝送する DIB 契約者の非フェデラル・システム非機密ネットワークにのみ適用されます。
Q23. Will the results of a DIB company’s assessment be made public? Will the DoD be able to see assessment results?	Q23. DIB 企業のアセスメント結果は公開されるのか。DoD はアセスメント結果を見ることができるか。
A23. No, DIB companies’ assessments will not be made public. However, the DoD will have access to assessment information.	A23. DIB 企業のアセスメントは公開されない。ただし、DoD は評価情報にアクセスできる。
Q24. How much will CMMC certification assessment cost?	Q24. CMMC認証アセスメントの費用はいくらかかるのか。
A24. The cost of a CMMC Level 2 certification assessment will depend upon several factors, including the complexity of the DIB company’s unclassified network for the certification scope, and market forces. DIBCAC assessments required for CMMC Level 3 certification will be conducted free of charge.	A24. CMMC レベル 2 認証アセスメントの費用は、認証範囲に対する DIB 企業の非機密ネットワークの複雑さ、市場動向など、いくつかの要因に左右される。CMMCレベル3認証に必要なDIBCACアセスメントは、無料で実施される。
Q25. When will we know which requirements are considered "critical" and won't be allowed in a Plan of Actions and Milestones (POA&M)?	Q25. どの要件が「クリティカル」とみなされ、行動計画およびマイルストーン（POA&M）で認められないかは、いつわかるのか。
A25. Critical requirements are identified in the Title 32 CFR CMMC final rule section §170.21.	A25. クリティカルな要求事項は、Title 32 CFR CMMC最終規則§170.21で特定される。
Q26. How would a company deal with operational requirements where full CMMC implementation breaks required information system functionality?	Q26. CMMCを完全に実施することにより、必要な情報システムの機能が損なわれるような運用上の要求事項には、どのように対処するのか。
A26. If an information system is not able to provide adequate information security, DoD CUI should not be processed, stored, or transmitted in or on that system.	A26. 情報システムが適切な情報セキュリティをプロバイダできない場合、DoD CUIをそのシステムで、またはそのシステム上で処理、保存、または伝送すべきではない。
Q27. Can DoD contractors implement NIST SP 800-171 Revision 3?	Q27. 国防総省の請負業者は NIST SP 800-171 改訂 3 版を実装できるか。
A27. Yes, DoD contractors can implement NIST SP 800-171 Revision 3 at will. But the CMMC assessment will still be conducted against NIST SP 800-171 Revision 2 using NIST SP 800-171A (June 2018) per the DoD and CMMC Assessment Methodology.	A27. はい、国防総省の請負業者は NIST SP 800-171 改訂第 3 版を自由に実施することができる。しかし、CMMCアセスメントは、DoDおよびCMMCアセスメント方法論に従って、NIST SP 800-171A（2018年6月）を使用してNIST SP 800-171改訂2に対して実施される。
Q28. What NIST SP 800-171 Revision 2 requirements would have to be implemented that are not covered in NIST SP 800-171 Revision 3?	Q28. NIST SP 800-171 改訂 3 でカバーされていない NIST SP 800-171 改訂 2 のどのような要求事項を実施しなければならないのか。
A28. Full compliance with NIST SP 800-171 Revision 3 does not automatically guarantee compliance with all aspects of NIST SP 800-171 Revision 2. To ensure compliance, contractors need to identify and implement any security requirements, and their assessment objectives, from NIST SP 800-171A (June 2018) that are not covered in NIST SP 800-171 Revision 3. This may include specific security requirements that were revised, removed, or altered in the transition from NIST SP 800-171 Revision 2 to NIST SP 800-171 Revision 3. Furthermore, NIST SP 800-171 Revision 3 includes numerous organization-defined parameters (ODP) – each ODP selection will impact the alignment with the corresponding security requirements or assessment objectives from NIST SP 800-171A (June 2018). It is important to document and demonstrate compliance with the revision specified in your contract to meet all applicable requirements.	A28. NIST SP 800-171 改訂第 3 版への完全な準拠は、NIST SP 800-171 改訂第 2 版のすべての側面への準拠を自動的に保証するものではない。コンプライアンスを確保するために、請負業者は、NIST SP 800-171改訂3でカバーされていないNIST SP 800-171A（2018年6月）のセキュリティ要件とそのアセスメント目標を特定し、実施する必要がある。これには、NIST SP 800-171改訂2版からNIST SP 800-171改訂3版への移行において改訂、削除、変更された特定のセキュリティ要件が含まれる可能性がある。さらに、NIST SP 800-171改訂3には、多数の組織定義パラメータ（ODP）が含まれており、各ODPの選択は、NIST SP 800-171A（2018年6月）の対応するセキュリティ要求事項又はアセスメント目的との整合に影響を与える。適用されるすべての要件を満たすために、契約で指定された改訂に準拠していることを文書化し、証明することが重要である。
Q29. Does my cloud service provider (CSP) require FedRAMP authorization?	Q29. クラウドサービスプロバイダ（CSP）はFedRAMP認可を必要とするか？
A29. Yes, if the product/service provided by the CSP is used to process, store, or transmit Controlled Unclassified Information (CUI), the Cloud Service Offering (CSO) must meet FedRAMP Moderate, or equivalency requirements as determined by DoD policy at the time of the assessment.	A29. はい。CSPが提供する製品／サービスが管理対象非機密情報（CUI）の処理、保管、送信に使用される場合、クラウド・サービス・オファリング（CSO）はFedRAMP Moderate、またはアセスメント時にDoDポリシーが決定する同等要件を満たさなければならない。
Q30. An OSA stores CUI in a system provided by our Managed Service Provider. It is not a cloud offering. Does the MSP require its own CMMC assessment?	Q30. OSAが、マネージド・サービス・プロバイダーが提供するシステムにCUIを保存している。これはクラウド提供ではない。MSPは独自のCMMCアセスメントを必要とするか。
A30. No, but because CUI is stored in the MSP’s systems, the services provided are in scope for the OSA’s CMMC assessment and shall be assessed as part of the assessment. The MSP must satisfy all security requirements related to the processing, storage, or transmission of CUI. The MSP is not required to have its own CMMC assessment but may elect to perform its own self-assessment or undergo a certification assessment. The MSP’s assessment level and type need to be the same, or above, as the level and type specified in the OSA’s contract with the DoD and cover those assets that are in scope for the OSA’s assessment.	A30. MSPのシステム内にCUIが保管されているため、提供されるサービスはOSAのCMMCアセスメントの対象であり、アセスメントの一環として評価されなければならない。MSPは、CUIの処理、保管、または送信に関連するすべてのセキュリティ要件を満たさなければならない。MSPは、独自のCMMCアセスメントを受ける必要はないが、独自のセルフアセスメントを実施するか、または認証アセスメントを受けることを選択できる。MSP のアセスメント・レベルおよびタイプは、OSA と国防総省との契約で指定されたレベルおよびタイプと同じかそれ以上である必要があり、OSA のアセスメントの対象となる資産をカバーする。
Q31. We separately outsource our IT support to an MSP and our security tools are managed by a different MSSP. No CUI is with either vendor. Are they required to be assessed?	Q31. ITサポートをMSPに委託し、セキュリティ・ツールは別のMSPが管理している。どちらのベンダーにもCUIはない。アセスメントが必要か。
A31. In both cases, the MSP and MSSP services provided are both considered ESPs are the services are assessed as a Security Protection Asset Critical.	A31. いずれの場合も、MSPとMSSPが提供するサービスは、いずれもESPとみなされ、そのサービスは「重要なセキュリティ保護資産（Security Protection Asset Critical）」として評価される。
Q32. Our MSP uses cloud tools to collect asset inventory, perform vulnerability scans, administer some assets, etc. Is the MSP a CSP?	Q32. 当社のMSPは、クラウドツールを使用して、資産インベントリの収集、脆弱性スキャンの実行、一部の資産の管理などを行っている。MSPはCSPか。
A32. No. The use of cloud tools to deliver a service does not make the MSP a CSP.	A32. サービスを提供するためにクラウド・ツールを使用したからといって、MSP が CSP になるわけではない。
Q33. Our MSP remotely accesses our on-premises and cloud environments. CUI is stored in both environments. Does the MSP require a CMMC certification?	Q33. 当社のMSPは、オンプレミスとクラウドの環境にリモート・アクセスする。CUIは両方の環境に保存されている。MSPはCMMC認証を必要とするか。
A33. No, as long as CUI is not processed, stored, or transmitted on MSP systems.	A33. MSPのシステム上でCUIが処理、保存、送信されない限り、必要ない。
Q34. We store CUI in the cloud and our MSP administers the environment. Is the MSP a CSP?	Q34. 当社はCUIをクラウドに保管し、MSPがその環境を管理している。MSPはCSPか。
A34. It depends on the relationships between the CSP, the MSP, and the OSA. If the cloud tenant is subscribed/licensed to the OSA (even if the MSP resells the service), then the MSP is not a CSP. If the MSP contracts with the CSP and further modifies the basic cloud service, then the MSP is a CSP and must meet applicable FedRAMP or equivalency requirements. A Cloud Service Provider (CSP) means an external company that provides cloud services based on cloud computing. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.	A34. CSP、MSP、およびOSAの関係による。クラウド・テナントがOSAにサブスクライブ／ライセンスされている場合（MSPがサービスを再販している場合でも）、MSPはCSPではない。MSPがCSPと契約し、基本クラウド・サービスをさらに変更する場合、MSPはCSPであり、適用されるFedRAMPまたは同等の要件を満たさなければならない。クラウド・サービス・プロバイダ（CSP）とは、クラウド・コンピューティングに基づくクラウド・サービスを提供する外部の企業をいう。クラウド・コンピューティングは、構成可能なコンピューティング・リソース（ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど）の共有プールへのユビキタスで便利なオンデマンドのネットワーク・アクセスを可能にするモデルであり、最小限のマネージド・エフォートまたはサービス・プロバイダーの相互作用で迅速にプロビジョニングおよび解放できる。
Q35. CUI is processed, stored, and transmitted in a Virtual Desktop Infrastructure (VDI). Are the endpoints used to access the VDI in scope as CUI assets?	Q35. CUIは、仮想デスクトップ基盤（VDI）で処理、保存、転送される。VDIにアクセスするために使用されるエンドポイントは、CUI資産の範囲内か？
A35. An endpoint hosting a VDI client is considered an Out-of-Scope Asset if it is configured to not allow any processing, storage, or transmission of CUI beyond the Keyboard/Video/Mouse sent to the VDI client. Proper configuration of the VDI client must be verified. If the configuration allows the endpoint to process, store, or transmit CUI, the endpoint will be considered a CUI Asset and is in scope of the assessment.	A35. VDIクライアントをホストするエンドポイントは、VDIクライアントに送信されるキーボード/ビデオ/マウスを超えるCUIの処理、保存、送信を許可しないように構成されている場合、範囲外の資産とみなされる。VDIクライアントの適切な構成が検証されなければならない。構成によりエンドポイントがCUIを処理、保存、または送信できる場合、そのエンドポイントはCUIアセスメントとみなされ、アセスメントの対象となる。
IMPLEMENTATION	実装
Q36. How will the DoD implement CMMC?	Q36. DoDはCMMCをどのように実施するのか。
A36. Once the Title 32 CFR CMMC Program rule and the Title 48 CFR CMMC acquisition rule are effective, the DoD will implement CMMC requirements in 4 phases over a three-year period to reduce implementation risk. The phased implementation plan is intended to address ramp-up issues, provide time to train the necessary number of assessors, and allow companies the time needed to understand and implement CMMC requirements. It will also minimize financial impacts to defense contractors, especially small businesses, and disruption to the existing DoD supply chain.	A36. Title 32 CFR CMMC Program規則およびTitle 48 CFR CMMC取得規則が発効した後、DoDは、実施リスクを低減するために、3年間で4つのフェーズに分けてCMMC要件を実施する。段階的実施計画は、立ち上げの問題に対処し、必要な数の評価者を訓練する時間を提供し、企業がCMMC要件を理解し実施するのに必要な時間を確保することを意図している。また、防衛請負業者、特に中小企業への財政的影響や、既存の国防総省サプライチェーンへの混乱を最小限に抑える。
Following this phased implementation plan, solicitations and resulting defense contracts involving the processing, storing, or transmitting of FCI or CUI on a nonfederal system will have a CMMC level and assessment type requirement that a contractor must meet to be eligible for a contract award.	この段階的実施計画に従って、連邦政府以外のシステムでFCIまたはCUIを処理、保管、または送信することを含む募集およびその結果としての防衛契約には、契約締結の資格を得るために請負業者が満たさなければならないCMMCレベルおよびアセスメントタイプの要件が設けられる。
Q37. How can businesses best prepare for CMMC implementation?	Q37. 企業はどのようにCMMC導入の準備をすればよいか。
A37. Whether your company has previously been awarded a DoD contract that includes DFARS clause 252.204-7012 or is brand new to DoD contracting, the best way to prepare for implementation of CMMC is to carefully conduct a self-assessment of your contractor-owned information systems to make sure you have implemented the necessary cybersecurity measures to comply with each requirement of FAR clause 52.204-21 or DFARS clause 252.204-7012. Review the appropriate security requirements and carefully consider whether they have been implemented to secure any contractor-owned information systems which will be used to process, store, or transmit DoD controlled unclassified information during contract performance. Before initiating an assessment, take corrective actions to meet any security requirements that necessitate implementation to comply with CMMC requirements. Companies may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement. The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support.	A37. 貴社が過去にDFARS条項252.204-7012を含むDoD契約を締結したことがあるにせよ、DoD契約に新規参入するにせよ、CMMCの実施に備える最善の方法は、FAR条項52.204-21またはDFARS条項252.204-7012の各要件に準拠するために必要なサイバーセキュリティ対策を実施しているかどうかを確認するために、請負業者が所有する情報システムのセルフアセスメントを慎重に実施することである。適切なセキュリティ要件を確認し、契約履行中に国防総省の管理対象非機密情報の処理、保存、送信に使用される請負業者が所有する情報システムのセキュリティ確保が実施されているかどうかを慎重に検討する。アセスメントを開始する前に、CMMC要件に準拠するために実施が必要なセキュリティ要件を満たすための是正措置を講じる。企業は、CMMC 要件の一部として評価されなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」で利用可能な最新のリソースのリストをまとめている。
Q38. Will CMMC apply to non-U.S. companies?	Q38. CMMCは米国以外の企業にも適用されるのか。
A38. Yes, when CMMC requirements are identified in DoD solicitations, they will apply to all companies performing under the resulting DoD contract.	A38. はい。DoDの募集においてCMMC要件が特定された場合、その結果生じるDoD契約の下で業務を行うすべての企業に適用される。
Q39. Can non-U.S. citizens or organizations be part of the CMMC Ecosystem, e.g., C3PAOs?	Q39. C3PAOなど、米国以外の市民や組織もCMMCエコシステムに参加できるか。
A39. Individuals and organizations that meet all requirements established under the	A39. Title32CFRのCMMCプログラム規則で定められたすべての要件を満たす個人および組織は、CMMCエコシステムの一員となることができる。
Title 32 CFR CMMC Program rule are eligible, as appropriate, to be members of the CMMC Ecosystem, regardless of nationality.	Title 32 CFR CMMC Program Ruleに定められたすべての要件を満たす個人および組織は、国籍に関係なく、CMMCエコシステムのメンバーになる資格がある。
Q40. Do foreign countries need to develop their own assessment and training organizations, then obtain CMMC Program acceptance agreements with the U.S.?	Q40. 外国は、自国のアセスメントおよびトレーニング組織を開発し、その後、米国とCMMCプログラム受入協定を締結する必要があるのか。
A40. No, foreign partners need not establish unique assessment, training, or a nonU.S. based CMMC program; rather, they can use the CMMC program established by the Title 32 CFR CMMC Program rule. For instance, the Cyber AB may accredit, as appropriate, international organizations that meet all requirements established under the Title 32 CFR CMMC Program rule. Non-U.S. companies may then choose to use either an approved U.S.-based or foreign-based C3PAO to assess them.	A40. 外国のパートナーは、独自のアセスメント、訓練、または米国をベースとしないCMMCプログラムを確立する必要はない。例えば、サイバーABは、Title 32 CFR CMMC Program規則の下で確立されたすべての要件を満たす国際組織を、必要に応じて認定することができる。その場合、米国以外の企業は、承認された米国を拠点とする C3PAO または外国を拠点とする C3PAO のいずれかを選択して評価を受けることができる。
Q41. Our corporate security team provides our SOC and monitors deployed security tools. They are not a part of our business unit or CAGE code, but we are all employees of the same company. Is the security team/SOC an External Service Provider?	Q41. 当社のコーポレート・セキュリティ・チームがSOCをプロバイダし、展開されているセキュリティ・ツールを監視している。彼らは当社の事業部門やCAGEコードには属していないが、全員が同じ会社の従業員である。セキュリティ・チーム/SOCは外部サービス・プロバイダか。
Possibly. In this context, EXTERNAL can include organizations within the same corporate entity; they do not need to be independent third parties. According to the CMMC Program, Controlled Unclassified Information (CUI) or Security Protection Data (SPD) (e.g., log data, configuration data) must be processed, stored, or transmitted on the External Service Provider (ESP) assets to be considered an ESP (170.4). In this case, the SOC is handling SPD on behalf of the Organizational Subunit (OSA). The organizational structure within the company will determine if the SOC is external to the OSA. Since the SOC is at a different organizational level and is not covered by the same CAGE code, it is likely to be considered an ESP. For the SOC to be considered an ESP during an assessment, a “service description and customer responsibility matrix (CRM)” are required. It is also possible to assign a CAGE code and include the SOC in the assessment.	その可能性はある。この文脈では、EXTERNAL には同じ事業体内の組織を含めることができる。独立したサードパーティである必要はない。CMMCプログラムによると、管理対象非機密情報（CUI）またはセキュリティ防御データ（SPD）（例えば、ログデータ、構成データ）が、外部サービスプロバイダー（ESP）資産上で処理、保存、または送信されなければ、ESPとみなされない（170.4）。この場合、SOC は組織サブユニット（OSA）に代わって SPD を取り扱う。SOC が OSA の外部であるかどうかは、企業内の組織構造によって決定される。SOC は組織レベルが異なり、同じ CAGE コードの適用を受けないため、ESP とみなされる可能性が高い。アセスメントにおいてSOCがESPとみなされるためには、「サービス内容および顧客責任マトリックス（CRM）」が必要である。CAGE コードを割り当て、SOC をアセスメントに含めることも可能である。