強力でランダムなパスワードを作成すると、ブルートフォース攻撃の成功リスクは指数関数的に増加し、攻撃に必要な時間も大幅に増加します。リモートアクセスを遮断することは、ミッションクリティカルなシステムでは必ずしも選択肢ではなく、ローカルアクセスのリスクは依然として残ります。ベンダーのパッチは常に利用可能とは限らず、使用状況の追跡は発見的な対策であり、攻撃を防ぐことはできません。

独立した侵入テストの結果、実稼働間近のクラウドベースのアプリケーションに高い評価の脆弱性が見つかった場合、最善の対応策は、その脆弱性が組織のリスク許容レベル内であるかどうかを評価することです。これは、脆弱性が悪用された場合の潜在的な影響と可能性、そして脆弱性を修正または軽減するためのコストとメリットを理解せずに、アプリケーションを実装すべきではないためです。また、組織は、クラウドサービスプロバイダーとアプリケーションユーザーの契約上および法的義務、サービスレベル契約、そしてパフォーマンスへの期待値も考慮する必要があります。リスク許容レベルを評価することで、組織はリスクを受け入れるか、移転するか、回避するか、軽減するか、そしてリスク管理のためのリソースと責任をどのように配分するかについて、情報に基づいた合理的な判断を下すことができます。
アプリケーションを導入した上でクラウドサービスプロバイダーに脆弱性の修正を依頼するのは、組織を不必要かつ許容できないリスクにさらし、クラウドサービス契約の利用規約に違反する可能性があるため、最善の方法ではありません。クラウドサービスプロバイダーは、組織と同等の緊急性、説明責任、能力を備えていない可能性があるため、脆弱性の修正をプロバイダーに依存すべきではありません。また、クラウドベースのアプリケーションは、その高い可視性、アクセス性、そして価値ゆえにサイバー攻撃者に狙われる可能性があるため、脆弱性が悪用されないと想定することも避けるべきです。
初期テストの結果を検証するためにさらに侵入テストを実施することは、アプリケーションの実装が遅れる可能性があり、追加の有用な情報が得られない可能性があるため、最善の方法ではありません。
組織は、資格を有し客観的な第三者機関によって実施される独立したペネトレーションテストの結果を信頼すべきです。また、冗長なテストや不必要なテストの実施に時間とリソースを浪費すべきではありません。プロジェクトの予算、スケジュール、品質に影響を与える可能性があるためです。
脆弱性が修正されるまで実装を延期することは、組織にとって実現不可能または望ましくない可能性があるため、最善の方法ではありません。実装の延期は、組織の評判、収益、顧客満足度に影響を与える可能性があるため、組織はビジネスへの影響と機会費用を考慮する必要があります。また、脆弱性の修正には、アプリケーションまたはクラウド環境への大幅な変更や修正が必要になる可能性があるため、技術的な実現可能性と複雑さも考慮する必要があります。組織は、リスクゼロまたはリスク回避的なアプローチを採用すべきではありません。組織のイノベーションと競争力を阻害する可能性があります。参考文献
* ISACA、CISM レビューマニュアル、第 16 版、2020 年、97 ～ 98 ページ、101 ～ 102 ページ、105 ～ 106 ページ、109 ～ 110 ページ。
* ISACA、CISMレビュー問題、解答、解説データベース、第12版、2020年、質問ID
1025。