これに関する参考資料は見つかりませんでした。しかし、情報の機密解除は機密の分類よりも難しいことには同意しますが、経験と知識に基づいて最善の判断を下してください。

ウェブベースのクライアント側入力検証の使用に関連する脅威は、検証が行われた後にユーザーが入力を変更できることです。クライアント側入力検証は、JavaScript またはその他のスクリプト言語を使用してユーザーのブラウザで実行されます。これにより、ユーザーに対してより高速でユーザーフレンドリーなフィードバックを提供できますが、JavaScript を無効にしたり、Web プロキシを使用したり、Web ページのソース コードを変更したりする攻撃者によって簡単にバイパスまたは操作される可能性もあります。したがって、クライアント側入力検証は、悪意のある入力や不正な入力が Web サーバーに到達するのを防ぐための唯一または主要な方法として依存すべきではありません。サーバー側入力検証は、Web アプリケーションのセキュリティと整合性を確保するためにも必要です56。参考文献: 5: 入力検証 - OWASP チート シート シリーズ76: 入力検証の脆弱性とその修正方法

DoD参照モデルでは、ホスト間レイヤーは
OSIのトランスポート層の機能。この層には伝送
制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP)。
* DoDプロセス/アプリケーション層はOSIの
上位 3 つの層、アプリケーション層、プレゼンテーション層、セッション層。
*DoD インターネット層は OSI のネットワーク層に対応します。
* DoDネットワークアクセス層は、OSIモデルのデータリンク層と物理層に相当します。出典：MCSE：TCP/IP学習ガイド、Todd Lammle、Monica Lammle、および
ジョン・チェリス（Sybex、1997年）および情報セキュリティ管理ハンドブック1999
ミッキー・クラウスとハロルド・f・ティプトン（アウアーバッハ、1999年）。

リスク移転とは、問題のリスクを保険会社などの別の組織に移転することです。上で紹介した例の 1 つを別の観点から見てみましょう。
試験では、リスク評価と対応に関する以下の情報を知っておく必要があります。リスク管理のツールであるリスク評価は、脆弱性と脅威を特定し、起こり得る影響を評価して、セキュリティ制御を実装する場所を決定する方法です。リスク評価を実行し、結果を分析します。リスク分析は、セキュリティが費用対効果が高く、関連性があり、タイムリーで、脅威に応答できるようにするために使用されます。セキュリティは、熟練したセキュリティ専門家にとっても非常に複雑になる可能性があり、セキュリティを過剰に適用したり、セキュリティが不十分であったり、間違ったセキュリティ制御を適用したり、必要な目的を達成せずにプロセスに多額の費用をかけたりすることはよくあります。リスク分析は、企業がリスクに優先順位を付けるのに役立ち、経営陣にそれらのリスクから賢明に保護するために適用する必要があるリソースの量を示します。
リスク分析には主に 4 つの目標があります。
資産と組織にとってのその価値を特定します。
脆弱性と脅威を特定します。
これらの潜在的な脅威の可能性とビジネスへの影響を定量化します。
脅威の影響と対策のコストの間の経済的なバランスを提供します。
リスクの治療
リスク軽減 リスク軽減とは、リスクを排除するか、リスクのレベルを大幅に下げることです。リスク軽減の例は日常生活で見ることができ、情報技術の世界ではすぐに明らかです。リスク軽減には、リスクを軽減するための適切な制御の適用が含まれます。たとえば、非常に機密性の高い個人情報や金融情報が漏洩するリスクを軽減するために、組織はファイアウォール、侵入検知/防止システム、その他のメカニズムなどの対策を講じ、悪意のある部外者がこの機密性の高い情報にアクセスするのを阻止します。未成年ドライバーの例では、リスク軽減は、若者に対する運転教育、若いドライバーが運転中に携帯電話を使用できないようにするポリシーの確立、または特定の年齢の若者が一度に複数の友人を車に乗せないようにするなどの形をとることができます。
リスク移転 リスク移転とは、問題のリスクを保険会社などの別の組織に転嫁することです。上で紹介した例の 1 つを別の方法で見てみましょう。家族は、未成年のドライバーに家族の車の使用を許可するかどうかを検討しています。家族は、若者が移動できることが重要だと判断したため、若者が事故に遭った場合の経済的リスクを保険会社に転嫁し、保険会社が家族に自動車保険を提供します。リスクの移転にはコストが伴う場合があることに注意することが重要です。これは、前述の保険の例に間違いなく当てはまり、ベンダーの賠償責任保険や、ハードウェアやソフトウェアの盗難や破壊から保護するために企業が加入する保険など、他の保険の例にも見られます。組織が攻撃を受けにくくするためにセキュリティ コントロールを購入して実装する必要がある場合にも、これが当てはまる可能性があります。すべてのリスクを転嫁できるわけではないことを覚えておくことが重要です。金融リスクは保険を通じて簡単に転嫁できますが、評判リスクが完全に転嫁されることはほとんどありません。
リスク回避 リスク回避とは、問題のリスクが実現しないように代替案を考え出すことです。たとえば、友人や友人の両親が、未成年のドライバーの保険にかかる費用について不満を漏らしているのを聞いたことがありませんか。こうした子供たちが移動できるようになると、多くの子供たちが直面するリスクについてはどうでしょうか。こうした家族の中には、問題の子供に家族の車を運転させず、子供が法定年齢 (18 歳) に達するまで待ってから自動車の所有、保険加入、運転を約束するという決断をする人もいます。
この場合、家族は未成年のドライバーに伴うリスク（およびそれに伴う利益）（運転能力の低下や子供の保険費用など）を回避することを選択しました。この選択は状況によっては可能ですが、すべての場合に可能であるわけではありません。インターネットでのビジネスに伴うリスクを認識した上で、インターネットでのビジネスを避けることを決定した世界的な小売業者を想像してください。この決定により、会社は収益のかなりの部分を失ってしまう可能性があります（実際に、消費者が購入したい製品やサービスを会社が持っている場合）。さらに、この決定により、会社は世界中の各場所にサイトを構築またはリースする必要があります。
同社は事業を継続したいと考えている。これは同社の業績に壊滅的な影響を及ぼす可能性がある。
事業運営を継続する能力
リスクの受容
場合によっては、組織は単に提示されたリスクを受け入れることが賢明な場合があります。
特定のシナリオ。リスク受容とは、通常、
ビジネス上の決定は、リスクに対処するコストと利益を比較検討することになるかもしれない。
別の方法。
例えば、経営者はリスク管理の過程で特定されたリスクに直面する可能性がある。
組織のリスク評価。これらのリスクは、高、中、低の優先順位が付けられています。
組織への影響。幹部は、低レベルの影響を軽減または移転するためには、
リスクには、多大なコストがかかる可能性があります。リスクを軽減するには、追加の優秀な人材を雇う必要があるかもしれません。
熟練した人材と新しいハードウェア、ソフトウェア、オフィス機器の購入、
保険会社へのリスク移転には保険料の支払いが必要になります。
幹部はさらに、以下のいずれかのケースでは組織への影響は最小限にとどまると指摘している。
報告された低レベルの脅威は現実のものとなった。したがって、彼または彼女は（正しく）
組織はコストを放棄し、リスクを受け入れる。若いドライバーの例では、リスク
受け入れは、若者が
親の信頼を得られるだけの責任感と成熟度。
次の回答は間違っています。
リスク移転 - リスク移転とは、問題となっているリスクを別の組織に移転する行為である。
例えば保険会社などです。上で紹介した例の1つを見てみましょう。
別の方法。
リスク回避 - リスク回避とは、リスクを回避できる代替案を考え出すことです。
質問は実現されません。
リスク軽減 - リスク軽減とは、リスクの排除、またはリスクの大幅な削減を行うことです。
提示されたリスクのレベル。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 51
そして
公式 ISC2 CISSP CBK ガイド第 3 版、ページ番号 534-536

コミュニティクラウドでは、クラウドインフラストラクチャは、
共通の懸念を持つ組織からの特定の消費者コミュニティ（例：
ミッション、セキュリティ要件、ポリシー、コンプライアンスの考慮事項）。
コミュニティ内の1つ以上の組織、第三者、または
それらの組み合わせであり、敷地内または敷地外に存在する可能性があります。
試験では、クラウド コンピューティングの展開モデルに関する以下の情報を知っておく必要があります。
プライベートクラウド
クラウドインフラストラクチャは、単一の組織による排他的使用のためにプロビジョニングされ、
複数の消費者（例えば、事業部門）が所有、管理、運営する。
組織、第三者、またはそれらの組み合わせであり、オンプレミスまたはオフプレミスに存在する可能性があります。

プライベート クラウド イメージ リファレンス - http://www.inflectionpoint.co.uk/Portals/5/VMware-vCloud.jpg
コミュニティクラウド
クラウド インフラストラクチャは、共通の懸念事項 (ミッション、セキュリティ要件、ポリシー、コンプライアンスの考慮事項など) を持つ組織の特定の消費者コミュニティによる排他的使用のためにプロビジョニングされます。コミュニティ内の 1 つ以上の組織、サード パーティ、またはそれらの組み合わせによって所有、管理、運用され、オンプレミスまたはオフプレミスに存在する場合があります。

コミュニティクラウド
画像参照 - http://cloudcomputingksu.files.wordpress.com/2012/05/community-cloud.png
パブリッククラウド
クラウドインフラストラクチャは、一般の人々が自由に使用できるようにプロビジョニングされています。
企業、学術機関、政府機関、または何らかの組織によって管理、運営されている
それらの組み合わせです。クラウド プロバイダーの敷地内に存在します。

パブリッククラウド
画像参照 - http://definethecloud.files.wordpress.com/2010/04/image3.png
ハイブリッド クラウド クラウド インフラストラクチャは、2 つ以上の異なるクラウド インフラストラクチャ (プライベート、コミュニティ、パブリック) で構成され、それぞれが独自のエンティティのままですが、データとアプリケーションの移植性を可能にする標準化されたテクノロジまたは独自のテクノロジによって結合されています (例: クラウド間の負荷分散のためのクラウド バースト)。
ハイブリッド クラウド 画像参照 - http://www.virtualizationpractice.com/wp-content/uploads/2013/04/Hybrid-Cloud-Computing-Solution1.jpg
次の回答は不正解です: プライベート クラウド - クラウド インフラストラクチャは、複数の消費者 (ビジネス ユニットなど) で構成される単一の組織による排他的使用のためにプロビジョニングされます。組織、サード パーティ、またはそれらの組み合わせによって所有、管理、および運用され、オンプレミスまたはオフプレミスに存在する場合があります。
パブリック クラウド - クラウド インフラストラクチャは、一般の人々が自由に使用できるようにプロビジョニングされています。企業、学術機関、政府機関、またはそれらの組み合わせによって所有、管理、運用される場合があります。クラウド プロバイダーの敷地内に存在します。
ハイブリッド クラウド - クラウド インフラストラクチャは、2 つ以上の異なるクラウド インフラストラクチャ (プライベート、コミュニティ、パブリック) で構成され、それぞれが固有のエンティティのままですが、データとアプリケーションの移植性を可能にする標準化されたテクノロジまたは独自のテクノロジによって結合されています (例: クラウド間の負荷分散のためのクラウド バースト)。
この質問を作成するために使用された参考資料は次のとおりです: CISA レビューマニュアル 2014 ページ番号 102、CISSP 公式 ISC2 ガイド第 3 版 ページ番号 689 および 690