正解は B. 許可リストです。
ホワイトリストとは、事前に承認されたWebベースのソフトウェアのみをシステムまたはネットワーク上で実行できるようにし、それ以外のソフトウェアはすべてブロックする技術です。ホワイトリストは、不正なソフトウェアや悪意のあるソフトウェアによる組織のセキュリティ侵害を防ぐのに役立ちます。ホワイトリストは、アプリケーション制御、ブラウザ拡張機能、ファイアウォールルール、プロキシサーバーなど、さまざまな方法で実装できます12。
その他のオプションは、ユーザーが組織によって事前に承認された Web ベースのソフトウェアのみを利用するようにするための最適な手法ではありません。ブロックリスト (A) は、特定の Web ベースのソフトウェアがシステムまたはネットワーク上で実行されないようブロックし、他のすべてのソフトウェアは許可する手法です。ブロックリストは、継続的な更新が必要であり、すべての悪意のあるソフトウェアを検出できない可能性があるため、効果がない、または非効率的である可能性があります。グレイリストは、不明なソースまたは疑わしいソースからの受信メッセージを、正当であると確認されるまで一時的に拒否または遅延する手法です。グレイリストは主に電子メールのフィルタリングに使用され、Web ベースのソフトウェアの制御には使用されません。Webhook (D) は、特定のイベントまたはトリガーに基づいて、Web ベースのソフトウェアが他の Web ベースのソフトウェアとリアルタイムでデータを送受信できるようにする手法です。Webhook は、Web ベースのソフトウェアの制御ではなく、Web ベースのソフトウェアの統合に使用されます。

脅威モデリングは、潜在的な脅威が本番システムに影響を与える前に、それを特定、分析、軽減するためのプロアクティブなアプローチです。特に開発の初期段階で脆弱性や攻撃経路を予測するのに役立ちます。
* オプション B (侵入テスト) は、実稼働前ではなく、展開されたシステムに対して実行される事後対応​​型の対策です。
* オプション C (バグ報奨金) プログラムは外部の研究者にインセンティブを与えますが、展開前にリスクを積極的にモデル化しません。
* オプション D (SDLC トレーニング) では、セキュリティ意識は向上しますが、リスクは積極的に評価されません。
したがって、セキュリティ リスクの早期特定と軽減を可能にする A (脅威モデリング) が最適な選択肢です。

ビーコニングとは、感染したホストとブロックリストに登録された外部サーバー間の定期的な通信を指すため、現在行われている活動を説明するのに最適な用語です。ビーコニングは、マルウェアがコマンドアンドコントロール（C2）サーバーとの接続を確立するためによく使用される手法であり、マルウェアに指示、更新、または情報漏洩機能を提供します。
ビーコニングの頻度、期間、ペイロードは、マルウェアの種類や巧妙さによって異なります。他の用語は、悪意のある活動の異なる側面を表すため、ビーコニングほど正確ではありません。データ窃盗とは、侵害されたシステムからC2サーバーやクラウドストレージサービスなどの外部の宛先にデータを不正に転送することです。データ窃盗は、マルウェア感染の目的または結果として発生する可能性がありますが、必ずしもブラックリストに登録されたサーバーや継続的なリクエストを伴うわけではありません。不正デバイスとは、許可なく、または適切なセキュリティ制御なしにネットワークに接続されたデバイスです。不正デバイスは、マルウェアを侵入させたり、ファイアウォールを回避したり、機密データにアクセスしたりする可能性があるため、セキュリティリスクをもたらす可能性があります。
ただし、不正なデバイスは必ずしもマルウェアに感染しているわけではなく、ブラックリストに登録されたサーバーと通信しているわけでもありません。スキャンとは、ネットワークやシステムを調査し、脆弱性、開いているポート、サービス、その他の情報を探すプロセスです。スキャンは、その目的と権限に応じて、正当な管理者によって実行される場合もあれば、悪意のある攻撃者によって実行される場合もあります。スキャンは、あらゆるネットワークやシステムを標的とするため、一貫したリクエストやブラックリストに登録されたサーバーを意味するものではありません。

セキュリティポリシーに基づき、企業はCVSSv3.1ベーススコアメトリクスを用いてセキュリティ脆弱性の修復を優先順位付けするものとします。オプションCはCVSSv3.1ベーススコアが最も高い9.8であり、これは重大度レベルが「クリティカル」であることを示します。また、企業はシステムとデータの可用性よりもデータの機密性を優先するものとします。オプションCは機密性への影響度が高い（C:H）。さらに、企業は社内で利用可能なシステムへのパッチ適用よりも、公開されているシステムとサービスへのパッチ適用を優先するものとします。オプションCは、公開されているWebサーバーに影響を及ぼします。公式リファレンス：https://www.first.org/cvss/

エージェントベースの脆弱性スキャンは、対象システムにインストールされたソフトウェアエージェントを用いて脆弱性をスキャンする方法です。この方法は、ネットワーク帯域幅とホストリソースの使用量を最小限に抑え、正確かつほぼリアルタイムの更新を提供し、スキャナーに認証情報を保存する必要がないため、プロジェクトの要件を満たしています。参考資料：「脆弱性スキャンとは？ 種類、ツール、ベストプラクティス」の「脆弱性スキャンの種類」セクション、CompTIA CySA+ 学習ガイド：試験 CS0-003、第3版、第4章「セキュリティ運用と監視」、154ページ。