資格情報漏洩に対する最善のソリューション
* 多要素認証（MFA）は、ユーザーが知っている情報（例：パスワード）に加えて、ユーザーが所有している情報（例：ハードトークン）を要求することで、セキュリティをさらに強化します。これにより、フィッシング攻撃のリスクが大幅に軽減されます。
他の選択肢はなぜないのか?
* A. ユーザー教育: 効果的ですが、単独のソリューションとしては不十分です。
* C. パスワードの変更を強制する: 効果は限定的であり、根本的な原因は解決されません。
* D. 管理者権限の削減: リスクは軽減されますが、フィッシングの脅威に直接対処するわけではありません。
EC評議会の参考資料
* 特にフィッシング関連の資格情報の盗難に対するセキュリティを強化するための重要な技術的制御として MFA を強調します。

包括的かつ詳細な説明（250～350語）
EC評議会のCCISOプログラムは、強制力に基づいて規制と標準を明確に区別しています。規制は法律によって強制力のある法的拘束力のある要件であるのに対し、標準は通常、規制や契約によって採用されない限り、任意です。
CCISOの文書では、規制は法律に基づいて制定されているため、規制を遵守しないと法的罰則、罰金、または制裁が科される可能性があることが説明されています。ISO/IEC 27001などの規格はベストプラクティスとフレームワークを提供しますが、義務付けられない限り法的効力はありません。
したがって、オプション D は主な違いを正しく特定しています。

短期的な緩和策:
* すぐに修正することが財政的に不可能な場合は、予算の割り当てを待つ間に、対策と補償制御を展開することでリスクを軽減することができます。
費用対効果の高い対応:
* このアプローチにより、許容できる範囲で脆弱性に対処しながら、運用の継続性が確保されます。
参考文献:
* CCISOトレーニングでは、厳しい予算制約下での重大な脆弱性に対する一時的な解決策として、補償制御を使用することを推奨しています。

問題のある IP アドレスを動的にブロックするシステムは、潜在的な脅威を検出した後に問題を修正または無効化するためのアクションを実行するため、是正セキュリティ制御の一例です。
* セキュリティ管理の分類:
* 予防的制御: インシデントが発生する前に阻止することを目的とします (例: ファイアウォール、アクセス制御)。
* 検出制御: セキュリティ インシデントを特定して警告します (IDS、監視ツールなど)。
* 是正管理: インシデントの影響を修復または軽減するための措置を講じます (例: 動的ブロッキング システム)。
* ダイナミック ブロッキング コントロールは標準カテゴリではありません。
* ダイナミックブロッキング:
* 説明したシステムは、悪意のある動作を識別した後、IP アドレスを積極的にブロックし、本質的に修正的なものにします。
* ゼロデイ攻撃の緩和:
* これは未知の脆弱性に対処することを指し、動的 ​​IP ブロックの主な機能ではありません。
* インシデント対応と軽減: 検出後の脅威を中和するための重要な手段として是正制御を重視します。
* 動的保護メカニズム: 修正制御の傘下にある動的ブロックなどのシステムを強調表示します。
EC評議会CISOリファレンス: