* インライン ハードウェア キーロガーは、キーボードとコンピューターの間に配置された物理デバイスです。
* これらはソフトウェアベースの監視ツールでは検出できず、機密情報の機密性に重大なリスクをもたらすため、懸念されます。
他のオプションが間違っている理由:
* A. 物理的なアクセスは不要: ハードウェアをインストールするには物理的なアクセスが必要です。
* B. 規制に従わない: 確かにそうですが、これは検出されないことに比べれば二次的な懸念事項です。
* D. 比較的安価である: コストは要因ではあるが、セキュリティ上の主な懸念事項ではありません。
EC-Council CISO リファレンス:カリキュラムでは、ハードウェアベースの攻撃によってもたらされるリスクと、そのような脅威を軽減するための物理的なセキュリティ制御の必要性について説明します。

* ネットワークの継続性の確保:
* 永続的な代替ルーティングは、プライマリ ルートに障害が発生した場合にデータ トラフィックがたどる定義済みの代替経路を提供します。
* 代替ルーティングの利点:
* ワイド エリア ネットワーク (WAN) における単一障害点を防止します。
* 回復力が向上し、ローカル エリア ネットワーク (LAN) 間の通信が中断されないようになります。
* 他のオプションとの比較:
* サードパーティの緊急修理契約: 便利ですが、即時ではありません。
* 構築済みのサーバーとルーター: ネットワークの継続性ではなく、ハードウェアの可用性に重点を置いています。
* 完全なオフサイト バックアップ: データの回復には効果的ですが、リアルタイムのネットワーク継続性は保証されません。
参考文献:
* EC-Council のビジネス継続性と災害復旧計画に関する CISO ハンドブック。

IT 制御目標の役割:
* 制御目標は、特定のセキュリティおよび運用制御の実装によって意図される結果を定義し、IT 監査人の評価をガイドします。
監査における重要性:
* 監査人は、コントロールの目的を理解することで、セキュリティ目標の達成におけるコントロールの適切性と有効性を評価できます。
参考文献:
* CCISO フレームワークでは、組織の目標に沿ったセキュリティ対策の設計と監査に不可欠な制御目標が強調されています。

補償制御の役割:
代償制御は、脆弱性を直接修復することが不可能な場合に、リスクを軽減するために実装される代替手段です。
主なアクション:
* 例としては、Web アプリケーション ファイアウォール (WAF) の導入、システムの監視、露出を減らすためのユーザー権限の調整などが挙げられます。
* これらの制御は、永続的な解決策が開発されるまでの時間を稼ぐものです。
他の選択肢はなぜないのか:
* 開発者セキュリティトレーニング (A): 長期的な対策ですが、即時の緩和策ではありません。
* 侵入検知システム (B): 監視には役立ちますが、アプリケーションの脆弱性を軽減することには特化していません。
* セキュリティ テスト ツール (C): 問題の特定に役立ちますが、リスク軽減の差し迫ったニーズには対応しません。
EC評議会の連携:
補償制御の使用は、運用上の制約とのバランスを取りながらセキュリティを維持するという CISO の責任と一致します。