説明
送信者のアドレスを偽装することで安全なシステムに不正に侵入することは、スプーフィングを防止する必要がある理由の一つです。スプーフィングとは、受信者またはターゲットを欺いたり操作したりするために、誰かまたは何かになりすます手法です。スプーフィングは、電子メール、ウェブサイト、電話、IPアドレス、DNSサーバーなど、さまざまな通信チャネルに応用できます。スプーフィングの一般的な目的の一つは、送信者のアドレス（メールアドレスやIPアドレスなど）を偽装することで、安全なシステムへの不正アクセスを取得することです。例えば、攻撃者は信頼できる人物または組織のメールアドレスを偽装し、悪意のあるリンクや添付ファイルを含むフィッシングメールを送信します。受信者がリンクをクリックしたり添付ファイルを開いたりすると、偽のウェブサイトにリダイレクトされ、認証情報を要求されたり、デバイスにマルウェアがダウンロードされたりする可能性があります。あるいは、攻撃者は信頼できる送信元のIPアドレスを偽装し、悪意のあるコードやコマンドを含むパケットを安全なシステムに送信することもあります。システムがパケットを正当なものとして受け入れた場合、コードやコマンドが実行され、セキュリティが侵害される可能性があります。したがって、送信者のアドレスを偽装することで安全なシステムに不正に侵入することは、スプーフィングを防止する必要がある理由の一つです。
参考文献:
* https://www.kaspersky.com/resource-center/definitions/spoofing
* https://www.cisa.gov/resources-tools/resources/business-case-security
* https://www.avast.com/c-spoofing

セクション: 情報セキュリティプログラム管理

データ所有者は、データとその保護に関する権限と責任を有するため、データベース内の情報をどのように分類すべきかを決定するのに最適な人物です。データ所有者は、データのビジネス価値、品質、整合性、およびセキュリティに責任を負います。また、データの機密性、重要度、および規制要件に基づいて、データ分類の基準とレベルを定義します。データ所有者は、データ管理者を任命し、データユーザーにデータアクセス権を付与します。データ所有者は、データ分類のポリシーと手順をレビューおよび承認し、それらの遵守を確保します。
参照 = CISMレビューマニュアル、第16版、第1章：情報セキュリティガバナンス、セクション：データ分類、331ページ

ベンダー契約に記載されている管理策を確認することは、既存ベンダーのセキュリティ評価の範囲を適切に設定するための最も有効なアプローチです。これは、ベンダーが満たすことに合意したセキュリティ要件と期待値を判断するのに役立つためです。ベンダー契約は、組織とベンダー間のビジネス関係の条件を定義する法的文書であり、範囲、成果物、責任、および両当事者の義務が含まれます。ベンダー契約では、暗号化、認証、アクセス制御、バックアップ、監視、監査など、ベンダーが組織のデータとシステムを保護するために実装および維持する必要があるセキュリティ管理策も指定する必要があります。ベンダー契約に記載されている管理策を確認することで、セキュリティ評価がベンダーのセキュリティ体制の関連するすべての側面をカバーしていることを保証し、契約と実際の実践との間のギャップや矛盾を特定するのに役立ちます。
したがって、ベンダー契約に記載されている制御を確認するのが正しい答えです。
参考文献:
* https://medstack.co/blog/vendor-security-assessments-understanding-the-basics/
* https://www.ncsc.gov.uk/files/NCSC-Vendor-Security-Assessment.pdf
* https://securityscorecard.com/blog/how-to-conduct-vendor-security-assessment