説明
回避は、リスク管理の原則であり、リスクが高すぎる、または許容できないと判断された場合、活動に従事しない、またはリスクを受け入れないという決定または行動を表します。リスクを回避すると、リスクの可能性や影響、およびそれ以上のリスク管理行動の必要性を排除できます。この場合、CISO はリスク スコアが高すぎると判断し、ソフトウェア要求を拒否しました。これは、CISO がリスク管理に回避原則を選択したことを示しています。

EDR はエンドポイント検出および対応の略で、ラップトップ、サーバー、モバイル デバイスなどのさまざまなエンドポイントからデータを収集して集約するツールです。EDR は、アナリストがエンドポイント上の脅威やインシデントを監視、検出、対応するのに役立ちます。EDR は、エンドポイントからのデータ収集と集約には、DLP (データ損失防止)、NAC (ネットワーク アクセス制御)、NIDS (ネットワーク侵入検知システム) よりも適しています。

脆弱性 2 は、SMITTEN メトリックに従って、悪用可能であり、悪用アクティビティが高く、外部に公開されているため、優先する必要があります。参照: 脆弱性管理メトリック: プログラムで測定を開始する 5 つのメトリック、セクション: 脆弱性の重大度。

フィッシング攻撃が発生した場合、従業員がどのような行動を取ったかを確認し、フィッシング メールを分析してその性質と影響を理解することが重要です。参考資料: CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版、第 6 章、246 ページ、CompTIA CySA+ CS0-003 認定学習ガイド、第 6 章、255 ページ。

SLA (サービス レベル契約) は、サービス プロバイダーと顧客の間で締結される契約または合意であり、サービスの期待されるレベル、パフォーマンス、品質、および可用性を定義します。また、SLA では、契約不履行または契約違反の場合の両当事者の責任、義務、および罰則も規定します。SLA は、組織がセキュリティ サービスがタイムリーかつ効果的に提供され、セキュリティ インシデントや脆弱性が指定された時間枠内に対処および解決されることを保証するのに役立ちます。SLA は、サービス プロバイダーと顧客の間で明確なコミュニケーション、期待、および説明責任を確立するのにも役立ちます12
MOU (了解覚書) は、共通の目標または目的について 2 つ以上の当事者間で合意または理解を示す文書です。MOU には法的拘束力はありませんが、将来の協力やコラボレーションの基盤として役立ちます。MOU は、SLA と同じレベルの強制力、特定性、または測定可能性がないため、特定の期間内に既知の脅威の修復を要求するのには適さない場合があります。
ベスト エフォート パッチ適用は、システムまたはソフトウェアにセキュリティ パッチまたは更新を適用するための非公式かつアドホックなアプローチです。ベスト エフォート パッチ適用は、定義されたプロセス、ポリシー、またはスケジュールに従わず、システム管理者またはユーザーの可用性と裁量に依存します。ベスト エフォート パッチ適用は、パッチが正しく、一貫して、または迅速に適用されることを保証しないため、特定の時間枠内で既知の脅威の修復を要求する場合、効果的または効率的ではない可能性があります。また、ベスト エフォート パッチ適用では、人為的エラー、互換性の問題、またはテスト不足により、新しいリスクや脆弱性が生じる可能性もあります。
組織ガバナンスは、組織の活動と意思決定を導き、指示するルール、ポリシー、手順、プロセスのフレームワークです。組織ガバナンスは、組織内のさまざまな関係者の役割、責任、説明責任、および組織の文化と行動を形成する目標、価値、原則を確立するのに役立ちます。組織ガバナンスは、内部および外部の標準、規制、法律への準拠を保証するのにも役立ちます。組織ガバナンスは、サービス提供またはパフォーマンスの詳細や測定基準を指定しないため、特定の時間枠内で既知の脅威の修復を要求するには不十分な場合があります。組織ガバナンスは、組織の規模、構造、性質によっても異なります。