説明
軽減は、リスクの影響や可能性を軽減するのに役立つため、レガシー アプリケーションの前にファイアウォールを実装することによって適用されるリスク処理オプションです。軽減とは、セキュリティ制御、ポリシー、手順の実装など、リスクの悪影響を軽減するための措置を講じるプロセスです。ファイアウォールは、レガシー アプリケーションと外部ネットワーク間のネットワーク トラフィックを監視およびフィルタリングし、事前定義されたルールに基づいてパケットをブロックまたは許可するセキュリティ デバイスです。ファイアウォールは、パッチを適用できないレガシー アプリケーションに対する不正アクセス、悪用、または攻撃のリスクを軽減するのに役立ちます。したがって、緩和するのが正解です。
参考文献:
https://simplicable.com/risk/risk-treatment
https://resources.infosecinstitute.com/topic/risk-treatment-options-planning-prevention/
https://www.enisa.europa.eu/topics/risk-management/current-risk/risk-management-inventory/rm-process/

プローブの場合は、状況を監視し、影響を受けるネットワーク セグメントを隔離する必要があります。ルーターの再起動、非武装地帯 (DMZ) サーバーの電源オフ、サーバー トレース ルーティングの有効化は保証されません。

説明
統制監査は、情報セキュリティ統制の設計、実装、有効性について独立した客観的な評価を提供するため、組織の情報セキュリティのステータスを示す最良の指標です。統制監査では、情報セキュリティ プログラムの長所と短所、およびポリシー、標準、規制への準拠状況も特定できます。統制監査では、ガバナンス、リスク管理、インシデント管理、事業継続性、技術的セキュリティなど、情報セキュリティのさまざまな側面をカバーできます。統制監査は、監査の範囲、目的、頻度に応じて、内部監査人または外部監査人によって実施されます。
他のオプションは、情報セキュリティのステータスの包括的かつ全体的なビューを提供しないため、統制監査ほど優れたものではありません。侵入検知ログ分析は、ネットワークまたはシステムのアクティビティを監視および分析して、不正または悪意のあるアクセスまたは攻撃の兆候がないかどうかを監視および分析する手法です。これはセキュリティ インシデントの検出と対応に役立ちますが、情報セキュリティ プログラムの全体的なパフォーマンスや成熟度を測定するものではありません。脅威分析は、情報資産に対する脅威の潜在的な発生源、手法、影響を特定し、評価するプロセスです。リスクに優先順位を付けて軽減するのには役立ちますが、情報セキュリティ管理の適切性や機能性を検証するものではありません。侵入テストは、情報セキュリティ防御の脆弱性と悪用可能性を評価するために、ネットワークまたはシステムに対する模擬攻撃です。
技術的なセキュリティの検証と改善には役立ちますが、ガバナンス、ポリシー、認識などの情報セキュリティの非技術的な側面は評価しません。参考文献 = CISM レビュー マニュアル、第 16 版、ISACA、2022 年、211-212、215-216、233-234、237-238。
CISM 質問、回答および説明データベース、ISACA、2022、QID 1012。

説明
転送中のデータの暗号化を確実にすることは、ネットワーク経由で転送中のデータを不正なアクセスや傍受から保護するため、CIA トライアド内の機密性の概念をサポートする最良の活動です。暗号化は、秘密キーを使用してデータを読み取り不可能な形式に変換し、キーを持っている許可された当事者のみがデータを復号してアクセスできるようにする技術です。暗号化規格には、AES (Advanced Encryption Standard) および DES (Data Encryption Standard) が含まれます。
参考文献 = CISM レビュー マニュアル 2022、321 ページ。CISM 試験内容の概要、ドメイン 1、ナレッジ ステートメント 1.12。CIA の 3 つ組: 定義、構成要素、および例3。CIA トライアド - GeeksforGeeks4

セクション: インシデント管理と対応