事業継続計画（BCP）は、組織が混乱にどう対応し、回復すべきかを概説した一連のポリシーと手順です[1]。重要な業務とサービスを迅速に復旧・維持できるように設計されており、リスクを特定し、それらのリスクを軽減する計画を策定し、混乱が発生した場合に従う手順を詳細に規定する手順が含まれている必要があります。リソース：
CompTIA Advanced Security Practitioner (CASP+) 学習ガイド、第 4 章:「事業継続計画」、Wiley、2018 年。https://www.wiley.com/en-us/CompTIA+Advanced+Security+Practitioner+CASP%2B+Study+Guide%2C+2nd+Edition-p-9781119396582

説明
Web アプリケーション ファイアウォール (WAF) シグネチャを導入することは、Web サーバー上の Heartbleed 脆弱性を悪用する試みを検出してブロックする方法です。WAF シグネチャは、悪意のあるハートビート要求などの既知の攻撃ベクトルに一致するパターンです。WAF シグネチャを導入することで、企業は根本的な脆弱性が修正されるまで、Web アプリケーションを Heartbleed 攻撃から保護できます。
OpenSSL ライブラリを更新することが、Heartbleed 脆弱性を修正し、軽減する究極の方法です。OpenSSL プロジェクトは 2014 年 4 月 7 日にバージョン 1.0.1g をリリースしました。このバージョンでは、ハートビート関数に境界チェックを追加することでバグを修正しました。Web サーバー上の OpenSSL ライブラリを更新することで、脆弱性を排除し、将来の悪用を防ぐことができます。
B: PHP コードを修正しても、Heartbleed の脆弱性を解決または軽減することはできません。脆弱性は PHP コードではなく、Web サーバーの SSL/TLS 暗号化を処理する OpenSSL ライブラリにあるためです。
C: Web サーバーを HTTPS から HTTP に変更することは、すべての Web トラフィックが攻撃者による盗聴や改ざんの危険にさらされるため、Heartbleed 脆弱性を解決または軽減する方法ではありません。HTTPS は Web 通信の機密性、整合性、および認証を提供するため、セキュリティ上の理由で無効にしないでください。
D: SSLv3 は時代遅れで安全でないプロトコルであり、非推奨となって TLS に置き換えられているため、SSLv3 を使用しても Heartbleed の脆弱性を解決または軽減することはできません。SSLv3 は最新の暗号スイート、暗号化アルゴリズム、またはセキュリティ機能をサポートしておらず、POODLE などのさまざまな攻撃に対して脆弱です。
E: PHP から ColdFusion にコードを変更することは、Heartbleed の脆弱性を解決または軽減する方法ではありません。この脆弱性は、Web アプリケーションのプログラミング言語に関連するものではなく、Web サーバーの SSL/TLS 暗号化を処理する OpenSSL ライブラリに関連するためです。
https://owasp.org/www-community/vulnerabilities/Heartbleed_Bug
https://heartbleed.com/

ゼロデイ脅威により 1 つの VPN コンセントレータがダウンした場合でも、別のベンダーの冗長 VPN コンセントレータがあれば、継続して利用することができます。