セクション: 情報セキュリティプログラム管理

フィッシング対策キャンペーンの最終的な目標は、組織に対するフィッシング攻撃のリスクと影響を軽減することです。したがって、フィッシング対策キャンペーンの効果を示す最も関連性が高く信頼性の高い指標は、フィッシングに起因するインシデント件数の減少です。この指標は、従業員がフィッシングメールを認識し報告する能力をどの程度習得したか、そしてセキュリティ対策によってフィッシングによる被害がどの程度防止または軽減されたかを示します。
参考資料 = フィッシング対策キャンペーンを成功させる5つの方法; クリックしないでください：効果的なフィッシング対策トレーニングに向けて。比較文献レビュー; CISA、NSA、FBI、MS-ISACがフィッシング侵入防止ガイドを公開

説明/参照:
Explanation:
組織の法令遵守を保証するためにも監視プロセスは必要であり、したがって情報セキュリティ管理者は法令遵守の義務を負う。選択肢BとCはオペレーショナルリスクの一部として評価される。選択肢Dは、規制法令違反ほど重大なものにはならない可能性が高い。オペレーショナルリスクの受容は、選択肢B、C、Dに優先する。

侵入テストで最も重要なことは、明確な目標と成功および失敗の基準を持つことです。
ペネトレーションテストとは、コンピュータシステムまたはアプリケーションに対するサイバー攻撃を模擬的に実施し、悪用可能な脆弱性の有無を確認することです。ペネトレーションテストの目的は、対象となるシステムまたはアプリケーションのセキュリティリスクと弱点を特定・評価し、改善のための推奨事項を提供することです。ペネトレーションテストの成功基準と失敗基準は、テストの有効性と効率性、そしてテストがどの程度目標を達成したかを測定する指標です。明確な目標と成功基準と失敗基準を設定することで、ペネトレーションテスト担当者はテストを体系的かつ構造的に計画・実行し、結果と知見を明確かつ簡潔に伝達・報告することができます。その他の選択肢は、ペネトレーションテストにおいて最も重要な問題ではありませんが、テストに影響を与える要因や考慮事項となる可能性があります。独立したグループにテストを実施させることは、対象となるシステムまたはアプリケーションの偏りのない客観的な評価を提供できるため、望ましい方法です。ただし、ペネトレーションテスト担当者が倫理的なハッキングの原則と基準に従っている限り、必須ではありません。監査からの許可を得ることは必須要件です。これは、侵入テストが承認され、組織のポリシーと規制に準拠していることを保証するためです。ただし、これはテスト実施の前提条件であるため、問題にはなりません。内部関係者の知識を利用せずにテストを実施することは、対象システムまたはアプリケーションの内部設計や構成にアクセスできない外部ハッカーによる現実世界の攻撃をシミュレートするため、オプションのアプローチです。ただし、一部の脆弱性は外部の視点からは隠されていたりアクセスできなかったりする可能性があるため、必ずしも実行可能または効果的であるとは限りません。

説明
情報セキュリティ戦略を策定する際に考慮すべき最も重要な制約は、法的および規制上の要件です。法的制裁、罰金、または評判の失墜を回避するために組織が遵守しなければならない最低限のセキュリティレベルを定義するためです。法的および規制上の要件は、管轄区域、業界、組織が取り扱うデータの種類によって異なる場合があり、組織が遵守すべき特定のセキュリティ管理策、標準、またはフレームワークを課すこともあります。参考文献：CISMレビューマニュアル、第16版、第1章、セクション1.2.1.11