買収組織は、情報技術 (IT) システムおよびサービスのアウトソーシングによって生じる組織のシステムおよびデータへのリスクに対して責任を負います。アウトソーシングとは、クラウド サービス プロバイダー、データ センター、マネージド サービス プロバイダーなどのサード パーティ プロバイダーにビジネス機能またはプロセスを外注することです。アウトソーシングは、コスト削減、効率性の向上、スケーラビリティの強化、専門知識へのアクセスなど、買収組織にさまざまなメリットをもたらします。ただし、アウトソーシングは、制御の喪失、依存性、コンプライアンスの問題、サービス品質の問題、セキュリティ侵害など、組織のシステムおよびデータへのさまざまなリスクももたらします。買収組織は、システムおよびデータを所有し、あらゆる有害事象の結果を引き受けるため、アウトソーシングされた IT システムおよびサービスのリスク管理に対して最終的な責任と説明責任を負います。買収組織は、サービス プロバイダーのデュー デリジェンス、リスク評価、契約交渉、サービス レベル契約、監視、監査を実行し、サービス プロバイダーが買収組織のセキュリティおよびパフォーマンスの要件と標準を満たしていることを確認する必要があります。参考資料: CISSP オールインワン試験ガイド、第 8 版、第 1 章: セキュリティとリスク管理、14 ページ。

侵入テストは、所有者の許可と承認を得て、システムまたはネットワークに対する実際の攻撃をシミュレートし、システムまたはネットワークのセキュリティを侵害する可能性のある脆弱性と弱点を特定して悪用するセキュリティ評価の一種です。侵入テストは、システムまたはネットワークに実装されているセキュリティ制御と対策の有効性と回復力を評価するのに役立つほか、システムまたはネットワークのセキュリティ体制を改善するための推奨事項とソリューションを提供するのに役立ちます。侵入テストを実行する際の主な課題の 1 つは、カバレッジの深さを決定することです。
カバレッジの深さとは、テストの範囲、目的、方法論の観点から、侵入テストがカバーする範囲と詳細レベルです。カバレッジの深さは、侵入テストの種類、目的、予算、および組織と利害関係者の期待と要件によって異なります。カバレッジの深さは、侵入テストの結果の品質と精度、および侵入テストの実施に必要な時間とリソースに影響を与える可能性があります。したがって、侵入テストを実行する場合、カバレッジの深さを決定することは重要かつ困難な作業です。組織と利害関係者のセキュリティとビジネスのニーズの間で慎重なバランスとトレードオフが必要になるためです。コストの決定、ビジネスケースの確立、または見つかった脆弱性の修復は、侵入テストの実行時の主な課題ではありません。これらは、侵入テストの管理、正当化、または改善の側面に関係しているからです。参考文献: CISSP All-in-One Exam Guide、第 8 版、第 18 章: セキュリティ評価とテスト、1003 ページ。 CISSP 公式 (ISC)2 模擬試験、第 3 版、ドメイン 6: セキュリティ評価とテスト、質問 6.10、246 ページ。

この質問は、オブジェクトの再利用の影響について検討するよう求めています。オブジェクトの再利用とは、「以前に情報が含まれていたメディアを対象メディアに再割り当てすること」です。メディア上の情報を消去するための対策が不十分な場合、情報が権限のない人物に公開される可能性があるため、オブジェクトの再利用はセキュリティ上の懸念事項です。
この概念はレベル C2 であるため、セキュリティ アーキテクチャと設計に関連しています。
オレンジブックの「制御されたアクセス保護」では、「オブジェクト再利用の概念を呼び出す必要があります。つまり、データを保持するメディアには、別の主体が使用できるように解放された後に、情報の残骸が含まれていてはなりません。」と規定されています。
参照：
AIO バージョン 5 (Shon Harris)、360 ページ
そして
TIPTON、Hal、(ISC)2、CISSP 試験の概要のプレゼンテーション。