説明
実施ルールとは、侵入テストなどの情報セキュリティテストの実施に関する詳細なガイドラインと制約事項です。これらは、テストの範囲、目的、方法、境界、およびテスターとクライアントの役割と責任を定義します。実施規則は、テストが法的、倫理的、専門的な方法で実施され、結果が正確で信頼できるものであることを保証するのに役立ちます。通常、関与規則には次の要素が含まれます。
ブラック ボックス、ホワイト ボックス、グレー ボックスなどのテストの種類と範囲、およびターゲット システム、ネットワーク、アプリケーション、またはデータ。
クライアントの連絡先の詳細と、テスト中に問題、インシデント、または緊急事態を報告するための通信チャネル。
テスト チームの資格情報と、テスト チームが使用できる承認されたツールとテクニック。
テスト中に取得したデータを保存、送信、または破棄する方法など、機密データの処理と暗号化の要件。
状況会議と報告書のスケジュール、形式、受信者、およびテスト結果の機密保持契約と機密保持契約。
テストのタイムラインと期間、および操作時間とテスト期間。
不必要な損害、混乱、情報の開示を避けるなど、テスターに​​期待される専門的かつ倫理的な行動。
サプライ チェーン分析、監査権条項、およびデュー デリジェンスは、サードパーティのペネトレーション テスターに​​よるテストの条件とは関係ありません。サプライ チェーン分析は、ビジネス ネットワーク内のサプライヤーとパートナーのセキュリティとリスクの姿勢を評価するプロセスです。監査権条項は、一方の当事者が他方の当事者を監査して、契約条件の遵守を確認する権利を与える契約の条項です。
デュー デリジェンスは、潜在的なベンダーまたはパートナーが組織にもたらすサイバー リスクを特定し、対処するプロセスです。
参考文献
https://www.yeahhub.com/every-penetration-tester-you-Should-know-about-this-rules-of-engagement/
https://bing.com/search?q=rules+of+engagement+penetration+testing

フェデレーションは、ユーザーが一度認証すれば、異なるドメインや組織にまたがる複数のリソースやサービスにアクセスできるようにするアクセス管理の概念です。フェデレーションは、ユーザーの資格情報を保存し、公開することなく、要求されたリソースまたはサービスにそれらの資格情報を提供する信頼できるサードパーティに依存します。
パスワードの複雑さは、長さ、文字タイプ、一意性などの特定の基準を満たすパスワードを作成することをユーザーに要求するセキュリティ対策です。パスワードの複雑さは、パスワードの解読や推測を困難にすることで、ブルート フォース攻撃、パスワードの推測、資格情報のスタッフィングを防ぐのに役立ちます。参考資料: CompTIA Security+ スタディ ガイド: 試験 SY0-701、第 9 版、308 ～ 309 ページおよび
312-313 1

フィッシングはソーシャル エンジニアリング攻撃の一種で、支払い Web サイト、銀行、その他の信頼できる組織などの正当な送信元から送信されたように見える詐欺メールの送信を伴います。フィッシングの目的は、受信者をだまして悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたり、ログイン資格情報、個人データ、財務詳細などの機密情報を提供させたりすることです。このシナリオでは、従業員は支払い Web サイトから連絡先情報の更新を求める電子メールを受け取りました。メールには、本物の Web サイトを模倣した偽の Web サイトに従業員を誘導するリンクが含まれていました。
従業員はログイン情報を入力しましたが、「ページが見つかりません」というエラー メッセージが表示されました。これは、従業員がフィッシング攻撃の被害に遭い、攻撃者が支払い Web サイトの従業員の資格情報を取得した可能性があることを示しています。参考文献 = その他のソーシャル エンジニアリング攻撃 - CompTIA Security+ SY0-701 - 2.2、CompTIA Security+: ソーシャル エンジニアリング技術とその他の攻撃 ... - NICCS、[500 を超える模擬テスト質問を含む CompTIA Security+ スタディ ガイド: 試験 SY0-701、第 9 版]

説明
組織犯罪は、金銭的利益を動機とする一種の脅威アクターであり、多くの場合、国境を越えて活動します。組織犯罪グループは、送電網、軍事ネットワーク、金融機関など、他国にある重要なシステムに対してサイバー攻撃を行うために外国政府に雇われる場合があります。組織犯罪グループは、重大な損害と混乱を引き起こす可能性のある高度かつ持続的な攻撃を実行するためのリソース、スキル、およびコネクションを持っています12。参照 = 1: 脅威アクター - CompTIA Security+ SY0-701
- 2.1 2: CompTIA Security+ SY0-701 認定学習ガイド

説明
地理的分散とは、サーバーまたはデータ センターを地理的に異なる場所に分散する戦略です。地理的な分散は、サーバー ルームへの損害やダウンタイムを引き起こす気象現象のリスクを軽減し、ネットワークの可用性、パフォーマンス、回復力を向上させるのに役立ちます。地理的分散により、地域的な停電や混乱が発生した場合にバックアップとフェイルオーバーのオプションを提供できるため、企業の災害復旧と事業継続能力も強化できます12。
他の選択肢は、会社の懸念に対処する最善の方法ではありません。
サーバーのクラスタリング: これは、複数のサーバーをグループ化して単一のシステムとして機能させる手法です。サーバーのクラスタリングは、ネットワークのパフォーマンス、スケーラビリティ、耐障害性の向上に役立ちますが、特にサーバーが同じ部屋または建物内にある場合、気象現象によって引き起こされる物理的な損傷やダウンタイムからサーバーを保護することはできません3。
ロード バランサー: ネットワーク トラフィックやワークロードを複数のサーバーまたはリソースに分散するデバイスまたはソフトウェアです。ロード バランサーは、ネットワークの使用率、効率、信頼性の最適化に役立ちますが、特にサーバーが同じ部屋または建物内にある場合、気象現象によるサーバーの損傷や中断を防ぐことはできません4。
オフサイト バックアップ: 元のソースとは異なる場所に保存されているデータまたはファイルのコピーです。オフサイト バックアップは、気象現象によるデータの損失や破損を防ぐのに役立ちますが、気象現象によるサーバーの損傷や中断を防ぐことはできません。また、ネットワーク サービスの可用性や継続性を保証するものでもありません。
参考文献 = 1: CompTIA Security+ SY0-701 認定学習ガイド、972 ページ: 高可用性 - CompTIA Security+ SY0-701 - 3.4、Messer3 教授によるビデオ: CompTIA Security+ SY0-701 認定学習ガイド、984 ページ: CompTIA Security+ SY0-701 認定スタディ ガイド、99 ページ。 : CompTIA Security+ SY0-701 認定スタディ ガイド、100 ページ。