データの暗号化は、パブリッククラウドサービスプロバイダー（CSP）からのデータベースレコードの不注意な開示に関連するリスクを最も効果的に軽減します。これは、秘密鍵またはアルゴリズムを使用してデータを読み取りおよび変更不可能な形式に変換することにより、データの機密性と整合性を保護する制御であるためです。データの暗号化は、特にプライベートまたはオンプレミス環境よりもセキュリティと制御が劣る可能性があるパブリッククラウド環境でデータが保存、転送、または処理される場合、データへの不正または偶発的なアクセス、変更、または漏洩を防止または最小限に抑えることができます。他のオプションは、以下の理由により、データの暗号化ほど効果的ではありません。
* オプション B: CSP 契約に秘密保持条項を含めることは、CSP がデータを第三者に開示することを抑止したり罰したりできる法的措置ですが、人為的ミス、システム障害、悪意のある攻撃によって発生する可能性のあるデータの不注意による開示のリスクを軽減することはできず、不正または偶発的なアクセス、変更、漏洩からデータを保護することはできません。
* オプション C: データ分類スキームの評価は、データの機密性、価値、重要性に応じてデータを識別および分類し、データの適切な保護レベルと処理レベルを決定するのに役立つプロセスですが、あらゆるタイプまたはクラスのデータに影響を及ぼす可能性のある、データの不注意による開示のリスクを軽減するものではなく、不正または偶発的なアクセス、変更、漏洩からデータを保護するための具体的または効果的な制御も提供しません。
* オプションD：CSPのアクセス権限の確認は、CSPのデータに対するアクセス権と許可を監視・検証し、それらがビジネスニーズと期待に沿っていることを確認するのに役立つ手順ですが、CSPの正当または承認されたアクセスであっても発生する可能性のある、データの不注意による開示のリスクを軽減するものではなく、他者による不正または偶発的なアクセス、変更、漏洩からデータを保護するものでもありません。参考文献：リスクおよび情報システム管理学習マニュアル、第7版、ISACA、2020年、211ページ。

リスク分析のフレームワークを使用する主な目的は、一貫性を向上させることです。リスク分析のフレームワークは
分析とは、リスク分析プロセスをガイドおよび管理する一連の原則、標準、方法、およびツールです。
リスク分析とは、リスク事象の影響と発生確率を推定し、
リスクの程度と性質。リスク分析の枠組みは、一貫性の向上に役立ちます。
リスク分析の結果と実践の統一性と一致度。一貫性の向上
リスク分析が体系的かつ構造的に実行され、リスク分析が
結果は比較可能で信頼できるものになります。一貫性の向上は、バイアス、不確実性、そして
リスク分析プロセスにおける変動性を低減し、リスク分析結果の品質と精度を向上させます。
説明責任の向上、リスク許容度の定義、リスクシナリオの開発支援は、
リスク分析のフレームワークを使用する主な目的は、リスク分析のメリットまたは目標のいずれかであるため、
リスク分析プロセスは、品質と信頼性を向上させるという主要なニーズに対処していない。
リスク分析結果。参考文献 = CRISCレビューマニュアル、第6版、ISACA、2015年、49ページ。

組織のリスク プロファイルの変化を特定する最善の方法は、主要リスク指標 (KRI) を監視することです。KRI は、特定の運用リスクにさらされているレベルに関する情報を提供する測定基準です1。KRI は、リスク レベルの経時的な変化を監視し、新たなリスクを特定し、リスクが許容可能なしきい値を超えた場合にリスク対応アクションを開始するのに役立ちます2。KRI は、リスク管理戦略をビジネスの目標や状況に合わせるのにも役立ちます。その他のオプションは、KRI と同じレベルの洞察やガイダンスを提供しないため、組織のリスク プロファイルの変化を特定する最善の方法ではありません。主要業績評価指標 (KPI) を監視すると、ビジネス プロセスの結果や成果が示される場合がありますが、それらに影響を与えるリスクや不確実性は示されません。リスク所有者へのインタビューでは、リスクの認識や姿勢に関する主観的または定性的な情報は得られるかもしれませんが、リスクにさらされている状態や影響に関する客観的または定量的なデータは得られません。ギャップ分析を実施すると、組織の現状と望ましい状態の違いが明らかになる場合がありますが、リスクの原因や発生源は示されません。主要リスク指標:
実践ガイド

USBメモリで感染するウイルスは、悪意のある、または
情報システムの機密性、完全性、または可用性を損なう可能性のある有害なイベント。
ウイルスは、自己複製することでファイル、プログラム、またはデバイスに感染して損傷を与えるマルウェアの一種です。
他のシステムやネットワークに拡散する恐れがあります。USBメモリは、ポータブルストレージデバイスであり、
コンピュータやデバイス間でデータを転送する場合。USBメモリで感染するウイルスは、ユーザーが
感染したUSBメモリをコンピュータやデバイスに挿入したり、ユーザーがダウンロードしたりコピーしたりすると、
感染したファイルをUSBメモリからコンピュータやデバイスに転送する。USBメモリを介して感染したウイルスは、
データの破損や削除、パフォーマンスの中断や低下など、情報システムに重大なリスクをもたらす可能性がある。
情報を盗んだり漏らしたり、不正なアクセスや制御を許可したりします。
他の選択肢は脅威を表すシナリオではなく、むしろ脆弱性や弱点であり、
脅威の可能性や影響を増大させる。ノートパソコンを無料のオープンな無線アクセスポイントに接続する
（ホットスポット）は、ノートパソコンを盗聴、傍受、または操作される可能性がある脆弱性です。
同じネットワーク上の悪意のある攻撃者によって。ポリシーに従ってサインインしない訪問者は脆弱性となり、
施設の物理的なセキュリティとアクセス制御にギャップがあり、不正または悪意のある侵入を許してしまう可能性がある。
訪問者が機密エリアや資産に立ち入ったりアクセスしたりすることを禁止します。企業データを暗号化されていない形でノートパソコンに保存することは、
脆弱性は、データの保護とセキュリティを低下させ、不正または悪意のあるアクセスを可能にする可能性があるためです。
データの紛失、盗難、または侵害が発生した場合、データへのアクセス、開示、または変更は行いません。
ノートパソコン。参考資料 = コンピュータウイルスとは？ | McAfee、USBフラッシュドライブとは？ | Kingston
テクノロジー、脅威、脆弱性、そしてエクスプロイト - 大変です!