一元化されたソフトウェア部品表（SBoM）は、プライベートリポジトリ内のコンテナイメージの脆弱性を特定するための最適なソリューションです。SBoMは、コンテナイメージ内のすべてのコンポーネント、依存関係、そしてそれらのバージョンを網羅したインベントリを提供し、脆弱性の迅速な評価と対応を可能にします。
なぜ集中型 SBoM なのか?
* 包括的なインベントリ: SBoM には、バージョンや依存関係を含むすべてのソフトウェア コンポーネントがリストされるため、徹底的な脆弱性評価が可能になります。
* 迅速な識別: SBoM データを一元管理することで、脆弱性が公開されたときに影響を受けるコンテナを迅速に識別できます。
* 自動化: SBoM は、脆弱性の継続的な監視と警告を行う自動化ツールに統合できます。
* 規制コンプライアンス: 使用されているすべてのソフトウェア コンポーネントの明確で監査可能な記録を提供することにより、コンプライアンス要件を満たすのに役立ちます。
その他のオプションは便利ですが、同じレベルの包括的かつ効率的な脆弱性管理は提供されません。
* A. SAST スキャン レポート: コードの静的分析に重点を置いていますが、コンテナー イメージ内のすべてのコンポーネントがカバーされるとは限りません。
* C. CIS ベンチマーク コンプライアンス レポート: セキュリティ ベンチマークへの準拠を保証しますが、詳細なコンポーネント インベントリは提供しません。
* D. 認証情報による脆弱性スキャン: 詳細なスキャンには役立ちますが、脆弱性を迅速に評価するには効率的ではない可能性があります。
参考文献:
* CompTIA SecurityX 学習ガイド
* 「ソフトウェア部品表（SBoM）」、NISTドキュメント
* 「SBoMによるコンテナセキュリティの管理」OWASP

AI を使用して顧客の融資金利を決定するプロセスを完全に自動化する場合、プライバシーの観点から最も懸念されるのはモデルの説明可能性です。
モデルの説明可能性が重要な理由:
* 透明性: AI モデルの意思決定プロセスを理解し、クライアントを含む利害関係者に説明できるようにします。
* 説明責任: モデル内の偏りやエラーを特定し、AI が公正かつ偏見のない決定を下すことを保証します。
* 規制遵守: さまざまな規制により、決定、特に個人の財務状況に影響を与える決定は説明され、正当化されることが求められます。
* 信頼: AI の決定が透明かつ正当であることを示すことで、ユーザーと関係者の間で信頼を構築します。
資格情報の盗難、プロンプトインジェクション、ソーシャルエンジニアリングなどの他のオプションは重大な懸念事項ですが、自動化された意思決定のプライバシーと公平性への影響に直接対処するものではありません。
参考文献:
* CompTIA SecurityX 学習ガイド
* 「AIにおける説明可能性の重要性」IEEE Xplore
* GDPR第22条「プロファイリングを含む自動化された個人意思決定」

目標は、帯域幅の低いサテライトオフィスにおいて、帯域幅を最適化し、速度を向上させ、脅威の可視性を維持することです。ローカルキャッシュは、頻繁にアクセスされるデータをローカルに保存し、外部または内部リソースへの繰り返しリクエストを最小限に抑えることで、帯域幅の使用量を削減します。これによりアクセスが高速化され、監視ツールと組み合わせることで、セキュリティの可視性が低下することはありません。
* オプション A: 分散接続割り当てによりトラフィックのバランスが取れる可能性がありますが、帯域幅の使用量を直接削減したり、アクセス速度を上げたりすることはできません。
* オプション B: ローカル キャッシュが理想的です。帯域幅が削減され、パフォーマンスが向上し、適切なセキュリティ制御により可視性が維持されます。
* オプション C: CDN は外部コンテンツ配信には最適ですが、内部リソースとはあまり関係がなく、本質的に脅威の可視性に対処しません。
* オプション D: SD-WAN は WAN のパフォーマンスを向上させますが、「垂直的異種性」は曖昧で標準的な用語ではないため、キャッシュほどこのシナリオに適していません。

公開されているサーバーはパッチリリース後12時間以内にパッチを適用する必要があるというセキュリティポリシーに基づき、セキュリティアナリストはまずホスト1にパッチを適用する必要があります。その理由は次のとおりです。
公開可用性：ホスト1は外部からアクセス可能であり、インターネットからアクセスできます。公開サーバーは、特にゼロデイ脆弱性が判明している場合、攻撃者の標的となるリスクが高くなります。
脅威への露出：ホスト1にはIISがインストールされており、公開されているため、潜在的な攻撃にさらされる可能性が高まっています。このホストに最初にパッチを適用することで、攻撃が成功する可能性を軽減できます。
重要な資産の優先順位付け: ベスト プラクティスによれば、潜在的な脅威を迅速に軽減するために、より高いリスクにさらされている資産に優先的にパッチを適用する必要があります。
参照：
CompTIA Security+ SY0-601 学習ガイド（マイク・チャップル、デビッド・セイドル著）
NIST特別刊行物800-40：エンタープライズパッチ管理技術ガイド CISコントロール：コントロール3 - 継続的な脆弱性管理