クラウド アクセス セキュリティ ブローカー (CASB) は、クラウド サービスの消費者とクラウド サービス プロバイダーの間に配置されたセキュリティ ポリシー適用ポイントであり、クラウドベースのリソースへのアクセス時に企業のセキュリティ ポリシーを組み合わせて挿入します。
クラウドアクセスセキュリティブローカー（CASB）の導入：CASBは、クラウドアプリケーションの使用状況を可視化し、データセキュリティポリシーを適用し、クラウドサービスへのアクセスを監視・制御することでデータ漏洩を防止します。また、データ暗号化、データ損失防止（DLP）、コンプライアンス監視といった高度な機能も提供します。

セキュリティアーキテクトが提案したセキュリティ図は、ゼロトラスト・セキュリティモデルを表しています。ゼロトラストとは、ネットワーク内外のすべてのエンティティが信頼できず、リソースにアクセスする前に検証する必要があることを前提とするセキュリティフレームワークです。
図におけるゼロトラストの主な特徴:
ロールベースのアクセス制御: ユーザーが自分のロールに必要なリソースにのみアクセスできるようにします。
強制アクセス制御: 機密領域へのアクセスに認証を要求する追加のセキュリティ層。
ネットワーク アクセス制御: ネットワークにアクセスする前に、デバイスがセキュリティ標準を満たしていることを確認します。
多要素認証 (MFA): 複数の形式の検証を要求することでセキュリティを強化します。
このモデルは、アクセス要求の出所に関係なく、決して信頼せず常にアクセス要求を検証するというゼロ トラストの原則に準拠しています。

包括的かつ詳細なステップバイステップ
オプションA: 拒否リスト
拒否リストは、悪意があると識別された特定のアプリケーションまたはプロセスをブロックします。
このアプローチは事後対応的であり、適切な所有権がないまま現在使用されている非標準アプリケーションを誤ってブロックする可能性があります。
オプションB: 許可リスト
許可リストでは、事前に承認されたアプリケーションのみの実行を許可します。
このアプローチは安全ですが、すべての非標準アプリケーションを定義する必要があり、所有権が不明確な環境では操作が中断される可能性があります。
オプションC: 監査モード
正解です。
監査モードでは、制限を強制することなくアプリケーションの監視とログ記録が可能です。
これは、エンジニアが環境を観察し、中断することなく徐々に制御を実装できるため、非標準のアプリケーションと未定義の所有権がある環境に最適です。
監査モードでは、ソフトウェア環境に関する重要な可視性が提供され、必要なアプリケーションが機能し続けることが保証されます。
オプションD: MACリスト
強制アクセス制御 (MAC) リストは、分類と許可レベルに基づいてアクセスを制限します。
これは、このコンテキストにおけるアプリケーション制御の目的と一致しません。
参照：
CompTIA CASP+ 学習ガイド - エンドポイント セキュリティとアプリケーション制御に関する章。
CASP+ 目標 2.4: 企業のエンドポイントに適切なセキュリティ制御を実装する。

セキュリティ エンジニアは、電子メールの移行の問題を修正するために、以下を変更する必要があります。
メールCNAMEレコード: メールCNAMEレコードは、次のタイプAレコードに変更する必要があります。
192.168.1.10。これは、IP アドレス (A レコード) が必要な場所では CNAME レコードを使用しないためです。
A レコードに変更すると、正しい IP を直接ポイントするようになります。
DMARCのTXTレコード：TXTレコードを「v=dmarc ip4:192.168.1.10 include com -all」に変更する必要があります。これにより、DMARC（ドメインベースメッセージ認証、レポート）の適切な設定が保証されます。
正しい IP アドレスと電子メール サービス プロバイダーのドメインを含めるように、電子メール セキュリティ コンプライアンス (EHS) を遵守してください。
DMARC: DMARC レコードが正しく設定されていることを確認すると、電子メールのなりすましやフィッシングを防止でき、電子メール セキュリティのベスト プラクティスに準拠できます。