デフォルト設定は公開されていることが多く、侵入者に予測可能な構成情報を提供するため、システムの侵入が容易になります。このリスクを軽減するには、機能が制限され、ファイアウォール ソフトウェアのサポートに必要なサービスのみを提供する強化されたオペレーティング システムを使用しているシステムにファイアウォール ソフトウェアをインストールする必要があります。選択肢 A、C、および D は、ファイアウォール構成の標準またはベスト プラクティスです。

セクション: 情報システムの運用、保守、サポート

組織内の IT ガバナンスを改善するための最善の推奨事項は、C. 経営幹部に IT 戦略の起草を義務付けることです。IT ガバナンスは、組織内のテクノロジー リスクを管理するためのポリシー、役割、責任、説明責任を確立して維持するプロセスです1。IT ガバナンスの重要な目的の 1 つは、テクノロジーとビジネス戦略の整合性と統合を確保し、最適な結果と価値の創造につながるようにすることです1。したがって、組織のビジョン、ミッション、目標を設定する責任がある経営幹部が、それらをサポートして実現する IT 戦略の起草にも関与することが不可欠です。経営幹部に IT 戦略の起草を義務付けることで、組織は次のことが可能になります。
* IT 戦略がビジネス戦略と一貫性と整合性を保ち、組織の優先事項、価値観、文化を反映していることを確認します2。
* IT 部門とビジネス部門間のコミュニケーションとコラボレーションを強化し、IT 戦略に対する共通の理解とコミットメントを促進します2。
* IT パフォーマンスと成果に対する説明責任と透明性を高め、IT 投資が組織のリスク許容度と価値提案2 と一致していることを確認します。

カプセル化はオブジェクトのプロパティであり、以前にパブリックとして定義されていないプロパティまたはメソッドへのアクセスを防止します。つまり、オブジェクトの動作の実装にはアクセスできません。オブジェクトは外部との通信インターフェイスを定義し、そのインターフェイスに属するものだけがアクセス可能になります。

説明
セキュリティ インシデントが解決され、クローズされても、根本原因が調査されていない状況での主な懸念は、脆弱性が適切に対処されていないことです。脆弱性とは、組織のセキュリティ体制における弱点またはギャップであり、脅威アクターがこれを悪用して、システム、データ、または運用を侵害する可能性があります。根本原因が調査されていない場合、脆弱性が検出されないか解決されないままになり、攻撃者が再び悪用したり、さらなる攻撃のエントリ ポイントとして使用したりする可能性があります。その結果、セキュリティ インシデントが繰り返されたり、エスカレートしたりして、組織にさらなる損害や混乱を引き起こす可能性があります。
その他のオプションは、脆弱性に関する懸念ほど重大ではありませんが、根本原因分析の欠如から生じる可能性のある二次的または関連する問題です。従業員による不正行為が報告されていないことは、内部脅威に対する認識、説明責任、または監視の欠如を示している可能性があります。学んだ教訓が適切に文書化されていないことは、セキュリティ インシデントからの改善、学習、またはフィードバックの欠如を示している可能性があります。セキュリティ インシデント ポリシーが古くなっていることは、セキュリティ インシデント プロセスの調整、レビュー、または更新の欠如を示している可能性があります。
参考文献:
ISACA CISA レビューマニュアル第 27 版 (2019)、254 ページ
根本原因分析がインシデント対応 (IR) にとって重要な理由 - Avertium3 根本原因分析の手順とそれがインシデント対応にどのように役立つか...