説明
ハニーポットは、ハッカーを機密システムやファイルから遠ざけます。ハニーポットは厳重に監視されているため、重大な被害が発生する前に侵入を検知できる可能性が高くなります。セキュリティベースラインは、各プラットフォームが最低限の基準を満たしていることを保証するだけです。侵入テストはそれほど効果的ではなく、散発的にしか実施できません。ベンダーのデフォルト設定も効果的ではありません。

説明
費用便益分析（CBA）は、望ましい結果を達成するための様々な選択肢の費用と便益を比較する手法です。CBAは、情報セキュリティ管理者が合理的かつ客観的な意思決定の根拠を提供することで、リスクを許容レベルまで軽減するための最適な管理策を選択するのに役立ちます。また、CBAは、選択された管理策の価値と投資収益率を示すことで、情報セキュリティ管理者が上級管理職、利害関係者、監査担当者に対して選択の正当性を示すのに役立ちます。さらに、CBAは、情報セキュリティ管理者が管理策の導入と維持のためのリソースを優先順位付けし、割り当てる際にも役立ちます12。
CBA には次のステップが含まれます12。
分析の目的と範囲を特定する
目標を達成するための代替案とオプションを特定する
各選択肢のコストとメリットを特定し、定量化する
共通の指標または基準を用いて、各代替案の費用と便益を比較する。純便益を最大化するか、純費用を最小化する代替案を選択する。感度分析を実施し、結果の堅牢性と妥当性を検証する。結果と推奨事項を文書化し、伝達する。CBAは主に情報セキュリティ管理者の決定によって推進されますが、ベストプラクティス、統制フレームワーク、規制要件などの他の要因も考慮に入れることができます。ただし、これらの要因は必ずしも組織の特定のニーズや状況を反映しているわけではないため、CBAの主な推進力ではありません。
ベスト プラクティスは、すべての状況や環境に適合するわけではない一般的なガイドラインまたは推奨事項です。
コントロールフレームワークは標準化されたモデルまたは方法論であり、情報セキュリティのあらゆる側面や次元を網羅しているとは限りません。規制要件は強制的な規則または義務であり、組織が直面するすべてのリスクや脅威に対応しているとは限りません。したがって、CBAは、組織の目標、リソース、環境に応じて各コントロールの費用と便益を考慮するため、リスクを許容レベルまで軽減するために最も適切かつ効果的なコントロールを選択するための最良の方法です12。参考文献 = CISMドメイン2：
情報リスク管理（IRM）[2022年更新]、情報セキュリティリスク対応計画策定における5つの重要な考慮事項

セクション: 情報リスク管理
Explanation:
リスク管理のコストがリスク自体のコストを上回る場合、リスクを受け入れるべきです。リスクの移転、処理、または終了は、その管理のコストがリスク自体のコストを上回る場合、その効果は限定的です。