説明/参照:
Explanation:
新たな脅威が特定され、影響度に基づいて優先順位が付けられると、最初のステップは、既存の制御が新たな脅威に関連するリスクを軽減する能力を評価し、それが機能しない場合は、次のことを促進することです。
技術アーキテクチャの変更

脅威に応じた対策の展開

緩和策が開発されるまでの補償メカニズムまたはプロセスの実装

スタッフやビジネスパートナーの教育

誤った回答:
D: 制御をさらに適用するのは良い解決策ではありません。通常、制御によって状態が複雑になります。

市販のソフトウェア製品に重大な脆弱性を発見した場合のリスク マネージャーの最善の行動は、ステークホルダーとともに実装と延期のリスクを検討することです。つまり、リスク マネージャーは、脆弱性が悪用される可能性と潜在的な影響、およびソフトウェア製品の使用によるメリットとコストを評価する必要があります。また、リスク マネージャーは、ビジネス オーナー、IT 部門、セキュリティ チーム、ベンダーなどの関連するステークホルダーと協議して、彼らの視点、期待、要件を理解する必要があります。この分析に基づいて、リスク マネージャーは実装を続行するか、次のリリースまで延期するか、または代替ソリューションを探すかを決定する必要があります。また、リスク マネージャーは、決定とその根拠を文書化して伝達し、変更や新しい展開がないか状況を監視する必要があります。
その他のオプションは、以下の理由により最善の策ではありません。
* 脆弱性を独自に検証するために脆弱性テスト ツールを実行することは、脆弱性の存在と重大性を確認するための有用な手順ですが、リスクに対処するには十分ではありません。リスク マネージャーは、ソフトウェア製品の実装と延期の間のトレードオフを評価し、意思決定プロセスに関係者を関与させる必要があります。
* ソフトウェア ライセンスを確認して脆弱性に関するベンダーの責任を判断することは、ベンダーの契約上の義務と責任を理解するための重要なステップですが、リスクを軽減するにはそれだけでは不十分です。リスク マネージャーは、脆弱性の影響と可能性、ソフトウェア製品の利点とコストを考慮し、関係者と協議して最善の行動方針を決定する必要があります。
* インストール前にベンダーに重大な脆弱性の修正を要求することは、ベンダーが脆弱性は次のリリースまで修正されないことをすでに表明しているため、非現実的で非実用的なオプションです。リスク マネージャーは、スケジュールや優先順位の変更をベンダーに強制することはできず、ベンダーとの関係を損なうリスクがあります。リスク マネージャーは、代わりにベンダーと協力して脆弱性の性質と範囲、および次のリリースの予想されるタイムラインと機能を理解し、この情報を使用してリスク評価と意思決定プロセスを通知する必要があります。