侵入テストは、ソースコードなしでソフトウェアのセキュリティを評価するための最善の戦略です。
侵入テストは、ソフトウェアに対する実際の攻撃をシミュレートして脆弱性を特定し、悪用するセキュリティ テストの一種です。侵入テストは、ソフトウェアをブラック ボックスとして実行できるため、テスト担当者はソフトウェアのソース コードや内部構造にアクセスする必要はありません。侵入テストは、アナリストがソフトウェアのセキュリティ体制、脆弱性の潜在的な影響、既存のセキュリティ制御の有効性を評価するのに役立ちます12。静的テスト、脆弱性テスト、動的テストは、セキュリティ テストの他の種類ですが、通常はソフトウェアのソース コードまたは内部構造にアクセスする必要があります。静的テストは、ソフトウェア コードまたは設計を実行せずに分析するテストです。脆弱性テストは、ソフトウェアの弱点や欠陥を特定して評価するテストです。
動的テストとは、ソフトウェアコードまたは設計を実行しながら分析することです345。参考文献：侵入テスト - OWASP、侵入テストとは何か、どのように機能するのか？、静的コード分析 | OWASP Foundation、脆弱性スキャンのベストプラクティス、動的テスト - OWASP

上記のサードパーティのスコアリング システムを考慮すると、最初にパッチを適用する必要がある脆弱性は次のとおりです。
TSpirit: コバーン: はい グロール: はい ノヴォ: はい スミア: いいえ チャニング: いいえ
この脆弱性は、5つの指標のうち3つが「はい」と評価されており、深刻度が高いことを示しています。脆弱性管理チームによると、Cobain、Grohl、Novoの指標はSmearとChanningよりも重要です。したがって、この脆弱性は他の脆弱性よりも大きなリスクをもたらすため、最初にパッチを適用する必要があります。

説明
武器化とは、攻撃者が脆弱性を悪用して悪意のある効果をもたらすエクスプロイトやペイロードをどのように開発または取得するかを表す要素です。武器化は、攻撃者が脆弱性を悪用して損害や危害を与える可能性が高くなるため、脆弱性の深刻度や影響度を高める可能性があります。また、武器化は、攻撃者の洗練度や動機、サイバー脅威環境におけるエクスプロイトやペイロードの可用性や普及度を示すこともあります。このケースでは、ランサムウェアの配信に広く利用されているエクスプロイトが使用されたため、脆弱性スコアが7.1だった古いCVEがスコア9.8に引き上げられました。これは、武器化がこのエスカレーションの原因であることを示しています。

正解はB. メトリクスです。
脆弱性レポートの「メトリクス」セクションでは、エクスプロイトが成功した場合のデータ機密性への影響レベルに関する情報が提供されます。「メトリクス」セクションには、脆弱性のCVE辞書エントリとCVSSベーススコアが含まれています。CVEは「Common Vulnerabilities and Exposures（共通脆弱性識別子）」の略で、脆弱性を識別して命名するための標準化されたシステムです。CVSSは「Common Vulnerability Scoring System（共通脆弱性評価システム）」の略で、脆弱性の深刻度を測定および評価するための標準化されたシステムです。
CVSSベーススコアは、脆弱性の本質的な特性（悪用可能性、影響度、影響範囲など）を反映する0～10の数値です。CVSSベーススコアは、ベース、時間的、環境的の3つのメトリックグループで構成されています。ベースメトリックグループは、時間の経過やユーザー環境を問わず一定である脆弱性の特性を捉えます。ベースメトリックグループは、攻撃ベクトル、攻撃の複雑さ、必要な権限、ユーザーインタラクション、影響範囲、影響度の6つのメトリックで構成されています。影響度メトリックは、脆弱性が影響を受けるリソースの機密性、整合性、および可用性に与える影響を測定します。
この場合、脆弱性のCVSSベーススコアは9.8で、深刻度は「Critical（重大）」です。CVSSベーススコアの影響度指標は6.0で、機密性、整合性、可用性への影響が大きいことを示しています。そのため、「指標」セクションでは、脆弱性の悪用が成功した場合のデータ機密性への影響レベルに関する情報を提供しています。
脆弱性レポートのその他のセクションでは、悪用が成功した場合のデータ機密性への影響レベルに関する情報は提供されません。ペイロード セクションには、脆弱性をどのように悪用できるかを示す要求ペイロードと応答ペイロードへのリンクが含まれています。ペイロード セクションは、アナリストが攻撃の仕組みを理解するのに役立ちますが、影響を定量的に測定することはできません。脆弱性セクションには、脆弱性のタイプ、グループ、および説明に関する情報が含まれています。脆弱性セクションは、アナリストが脆弱性を識別および分類するのに役立ちますが、影響の数値は提供しません。プロファイル セクションには、脆弱性の認証、参照回数、および攻撃性に関する情報が含まれています。プロファイル セクションは、アナリストが脆弱性のリスクと優先度を評価するのに役立ちますが、データ機密性への影響の具体的な測定は提供しません。
参考文献:
[1] CVE - 共通脆弱性識別子（CVE）
[2] 共通脆弱性評価システムSIG
[3] CVSS v3.1仕様書
[4] CVSS v3.1 ユーザーガイド
[5] 脆弱性レポートの読み方 - セキュリティ・ブールバード

説明
SLA（サービス レベル契約）は、サービス プロバイダーと顧客の間で締結される契約または合意であり、サービスの期待されるレベル、パフォーマンス、品質、および可用性を定義します。また、SLA では、契約不遵守または違反の場合の両当事者の責任、義務、罰則も規定されます。SLA は、組織がセキュリティ サービスがタイムリーかつ効果的に提供され、セキュリティ インシデントや脆弱性が指定された期間内に対処および解決されることを保証するのに役立ちます。SLA は、サービス プロバイダーと顧客の間で明確なコミュニケーション、期待、および説明責任を確立するのにも役立ちます。12 MOU（理解覚書）は、共通の目標または目的について 2 つ以上の当事者間の相互合意または理解を表明する文書です。MOU には法的拘束力はありませんが、将来の協力またはコラボレーションの基礎として使用できます。 MOU は、SLA と同じレベルの強制力、特異性、または測定可能性を持っていないため、特定の期間内に既知の脅威の修復を要求するのに適していない可能性があります。
ベストエフォート型のパッチ適用は、システムやソフトウェアにセキュリティパッチやアップデートを適用するための、非公式かつ臨機応変なアプローチです。ベストエフォート型のパッチ適用は、定義されたプロセス、ポリシー、スケジュールに従わず、システム管理者やユーザーの都合や裁量に左右されます。ベストエフォート型のパッチ適用は、パッチが正しく、一貫して、迅速に適用されることを保証しないため、既知の脅威に対する修復を一定期間内に要求する場合、効果的でも効率的でもない場合があります。また、ベストエフォート型のパッチ適用は、人為的ミス、互換性の問題、テスト不足などにより、新たなリスクや脆弱性をもたらす可能性もあります。
組織ガバナンスとは、組織の活動と意思決定を導き、統制する規則、ポリシー、手順、プロセスからなる枠組みです。組織ガバナンスは、組織内の様々なステークホルダーの役割、責任、説明責任、そして組織の文化と行動を形成する目標、価値観、原則を確立するのに役立ちます。また、組織ガバナンスは、社内外の標準、規制、法律へのコンプライアンス確保にも役立ちます。組織ガバナンスは、サービス提供やパフォーマンスの詳細や指標を規定していないため、既知の脅威を一定の期間内に修復することを要求するには不十分な場合があります。組織ガバナンスは、組織の規模、構造、性質によっても異なります。