リスクスコアは、各発見事項の深刻度と悪用される可能性を定量化します。これにより、組織は潜在的な影響と悪用可能性に基づいて、どの脆弱性を優先的に修正すべきかを判断することができます。
方法論では、テストがどのように実行されたかを説明します。
調査結果リストには問題が表示されますが、優先順位は表示されません。
エグゼクティブ サマリーは、技術的な優先順位付けではなく、意思決定者向けの概要を提供します。
参照: PT0-003 目標 5.2 - リスクの評価と優先順位付けを含むコンポーネントの報告。

二要素認証（2FA）を回避して幹部のアカウントにアクセスするには、テスターはタイポスクワッティングドメインでEvilginxを使用する必要があります。Evilginxは、セッショントークンを盗み取ることで2FAを回避するために使用される中間者攻撃フレームワークです。

OSSTMM（オープンソース・セキュリティ・テスト方法論マニュアル）は、セキュリティテストのための包括的なフレームワークであり、そのライフサイクルには14のコンポーネントが含まれています。選択肢Bが正しい理由は次のとおりです。
OSSTMM: この方法論では、セキュリティ テスト プロセスを 14 のコンポーネントに分割し、計画から実行、レポート作成まで、セキュリティ評価のさまざまな側面をカバーします。
OWASP MASVS: これはモバイル アプリケーションのセキュリティ検証用のフレームワークであり、14 コンポーネントのライフ サイクルはありません。
MITRE ATT&CK: これは敵対者の戦術と手法に関する知識ベースですが、14 コンポーネントのライフ サイクルについては説明していません。
CREST: 侵入テスト担当者とセキュリティ専門家向けの認定機関ですが、特定の 14 コンポーネントのフレームワークは提供していません。
Pentestからの参照:
Anubis HTB: 包括的なセキュリティ評価を実施する上で、OSSTMM の構造化されたアプローチを重視します。
記事 HTB: セキュリティ テストのあらゆる側面をカバーするために、OSSTMM などの詳細な方法論の使用を強調しています。
結論：
オプション B の OSSTMM は、ライフサイクルを 14 個のコンポーネントに分割するフレームワークであるため、正解となります。

従業員がすでに経理部門で働いている場合、職務上すでにアクセス権を持っているため、MFA ではその従業員の行動を阻止できません。
従業員に休暇を強制的に取得させることは、将来的にこの種の不正行為を防ぐための最善の策です。これにより、従業員が不正な取引や支払いシステムへの不正な変更を隠蔽することがより困難になります。従業員に休暇を強制的に取得させることは、従業員に定期的に休暇を取得し、その職務を他の従業員に代行させることを義務付ける内部統制の一形態です。これにより、特定のプロセスやシステムへの独占的なアクセスや制御権を持つ可能性のある従業員によるエラー、不正行為、または詐欺行為を検出するのに役立ちます。