SIEMにはすでに複数のイベントが含まれており、相関関係があれば、VM001に対するアクティブな攻撃シーケンス（拒否された接続、IPSアラート、マルウェア検出、そして許可された接続など）を示すことになります。CAS-
005 セキュリティ オペレーションの目標は、異なるタイムスタンプとデータ ソースにわたる関連イベントを単一の信頼性の高いアラートにリンクすることで検出を強化する方法として、ログの相関関係を重視しています。
* オプション A (EDR ログの追加) は可視性を高める可能性がありますが、早期検出のために既存のイベントを接続する必要性には対応していません。
* オプション C (解析の改善) では読みやすさは確保されますが、実用的なアラートは作成されません。
* オプション D (新しいマルウェア検出ルールの作成) は、マルウェア検出がすでにログに記録されているため冗長です。問題は、時間内に対処するための相関関係が欠如していることです。
IDS、IPS、ファイアウォール、マルウェア検出ログを相関させることにより、SIEM は攻撃が完了する前に優先度の高いアラートを発することができます。

* D. STIX（Structured Threat Information eXpression）：STIXは、脅威情報を構造化され、機械可読な形式で表現するための標準化された言語です。データの一貫性を確保し、関係者全員が容易に理解できるようにすることで、脅威インテリジェンスの共有を促進します。
* E. TAXII（Trusted Automated eXchange of Indicator Information）：TAXIIは、安全で信頼できるネットワークを介してサイバー脅威情報を共有するためのトランスポートメカニズムです。STIXと連携して、組織間の脅威インテリジェンスの交換を自動化します。
その他のオプション:
* A. CWPP (クラウド ワークロード保護プラットフォーム): これはクラウド ワークロードのセキュリティ保護に重点を置いており、脅威インテリジェンスの共有とは直接関係ありません。
* B. YARA: YARA はマルウェアの調査やファイル内のパターンの識別に使用されますが、脅威インテリジェンスを共有するためのプラットフォームではありません。
* C. ATT&CK: これは敵対者の戦術と技術に関する知識ベースですが、脅威インテリジェンス データの共有を促進するものではありません。
* F. JTAG: JTAG は、脅威インテリジェンスとは関係なく、集積回路のテストとデバッグの標準です。
参考文献:
* CompTIA Security+ 学習ガイド
* MITREによる「STIXとTAXII：脅威インテリジェンス共有のバックボーン」
* NIST SP 800-150、「サイバー脅威情報共有ガイド」

Dockerfile に指定されたコマンドを実装することで、コンテナが非ルートユーザー権限で実行されることが保証されます。アプリケーションを非ルートユーザーとして実行することで、たとえ攻撃者がアプリケーションを侵害したとしても、権限が制限され、ルートアクセスを必要とするアクションを実行できないため、権限昇格攻撃のリスクが軽減されます。
A . Dockerfile に以下のコマンドを実装します。これにより、アプリケーションが昇格された権限で実行されないようにすることで、権限昇格の攻撃対象領域に直接対処します。
B . コンテナのホストに EDR をインストールする: 脅威の検出には役立ちますが、コンテナ化されたアプリケーション内での権限昇格の攻撃対象領域は減少しません。
C . マルチコンテナ ソリューションの設計: モジュール性と修復には役立ちますが、権限の昇格には特に対応していません。
D . 分離されたネットワークでコンテナを実行する: これによりネットワーク セキュリティは向上しますが、権限昇格の攻撃対象領域は直接的には減少しません。
参照：
CompTIA Security+ 学習ガイド
セキュリティのベストプラクティスに関する Docker ドキュメント
NIST SP 800-190、「アプリケーション コンテナ セキュリティ ガイド」

このシナリオは、攻撃者がCEOの声を模倣してCFOを欺く攻撃を描写しており、AI生成の音声が使用される可能性が高い。CompTIA SecurityX CAS-005学習ガイド（ドメイン1：セキュリティ戦略とリスク管理、1.2）によると、ディープフェイク攻撃とは、人工知能を用いて本物らしくない偽の音声、動画、その他のメディアを作成し、人物になりすます攻撃を指す。今回のケースでは、音声の類似性からディープフェイク音声攻撃が示唆されており、これは標的型ソーシャルエンジニアリングの手法である。
オプション A: スミッシングは音声通話ではなく、SMS ベースのフィッシングです。
オプション C: 自動エクスプロイト生成とは、なりすましではなく、ソフトウェア エクスプロイトを作成することを指します。
オプション D: スピアフィッシングは特定の個人をターゲットとしますが、通常は音声ベースのなりすましではなく電子メールを介して行われます。
オプション B: ディープフェイクは、CEO の声を AI で模倣したものなので、最も正確です。
参照：
CompTIA SecurityX CAS-005 公式学習ガイド、ドメイン 1: セキュリティ戦略とリスク管理、セクション 1.2:「ディープフェイクを含む高度なソーシャルエンジニアリング攻撃を特定する。」CAS-005 試験目標、1.2:「AI ベースの攻撃がセキュリティに与える影響を分析する。」