説明
ハードウェア セキュリティ モジュール (HSM) は、暗号キーを管理、生成、安全に保存するためにシステムに追加できるセキュリティ デバイスです。
高性能 HSM は、TCP/IP を使用してネットワークに接続された外部デバイスです。小型の HSM は、サーバー内に取り付ける拡張カードとして、またはコンピュータのポートに接続するデバイスとして提供されます。

説明
技術的な変更によってセキュリティ管理目標を達成することはできないため、同社は、リスク軽減手法に最も適した、より安全な操作方法についてユーザーをトレーニングするポリシーを導入しています。リスク削減は、管理や緩和を実施することでリスクの可能性や影響を軽減することを目的とした戦略です。たとえば、技術的な制御が実行不可能であるか、費用対効果が高くない場合、企業は、強力なパスワードの使用、フィッシングメールの回避、インシデントの報告など、脅威を回避または処理する方法をユーザーに教育することでリスクを軽減できます。

1 セキュリティ パッチは、攻撃者によって悪用される可能性のある脆弱性またはバグを修正するソフトウェア アップデートです。セキュリティ パッチは、システムやアプリケーションのセキュリティと機能を維持するために不可欠です。
サーバーの悪用に使用された脆弱性が過去の脆弱性スキャン レポートに存在し、その脆弱性に対するパッチが利用可能な場合、そのパッチは適用されていないか、ある時点でアンインストールされたことを意味します。セキュリティ パッチをアンインストールする理由としては、パフォーマンスの低下、互換性の問題、機能の損失など、ユーザーへの影響が考えられます。
他のオプションは次の理由により正しくありません。
2. 攻撃者が脆弱性スキャン レポートを改ざんしました。これは可能性としては考えられますが、オプション A よりも可能性は低くなります。攻撃者は脆弱性スキャン レポートにアクセスし、検出されることなくレポートを変更できる必要があります。さらに、レポートを変更しても、パッチの適用またはアンインストールは妨げられません。
3. Web サーバーを悪用するためにゼロデイ脆弱性が使用されました。これは不正解です。ゼロデイ脆弱性は一般にもベンダーにも知られていない脆弱性であり、そのため利用可能なパッチがありません。質問には、サーバーの悪用に使用された脆弱性に対するパッチが利用可能であると記載されています。
4. スキャンでは、脆弱性の偽陰性が報告されました。これは不正解です。偽陰性とは、存在する脆弱性をスキャンで検出できない場合を指します。質問では、この脆弱性が過去の脆弱性スキャン レポートに存在すると述べています。これは、以前のスキャンで検出されたことを意味します。
CompTIA Security+ SY0-601 試験の目的 1.4 によると、与えられたシナリオで、潜在的な指標を分析して攻撃の種類を特定します。
「セキュリティ パッチは、攻撃者によって悪用される可能性のある脆弱性やバグを修正するソフトウェア アップデートです。」