オペレーティング システムがメモリの書き込み可能な領域の一部またはすべてを非実行可能としてマークできる場合、スタックおよびヒープ メモリ領域が実行可能にならないようにすることができます。これにより、特にコードを挿入して実行するような、特定のバッファ オーバーフロー攻撃の成功を防ぐことができます。

ロールベースのアクセス制御 (RBAC) は、組織内の役割または機能に基づいてユーザーに権限を割り当てるアクセス制御方法です。各役割は、その役割の権限レベルと責任に対応する一連のアクセス権によって定義されるため、RBAC ではアクセスを制御および制限するための一貫した一連のルールが必要です。RBAC により、アクセス管理が簡素化され、最小権限の原則が強制され、セキュリティとコンプライアンスが向上し、管理オーバーヘッドが削減されます。参考資料:
* アクセス制御モデルと方法
* アクセス制御にはどのような種類がありますか?
* 3 種類のアクセス制御: IT セキュリティ モデルの説明

ジョブローテーションにより、個人間の活動の共謀のリスクが軽減されます。
機密情報やシステムを扱う従業員を抱え、共謀により個人的な利益を得る機会がある可能性のある企業では、職務のローテーションと職務の分離を統合することでメリットが得られます。職務をローテーションすることで、従業員が通常の業務手順外で行っている活動が明らかになり、誤りや不正行為が明らかになる場合があります。
職務のローテーションは、被験者が特定の職務を遂行する際に生じるリスクを軽減する方法である。
被験者が別のタスクに移される前に、タスクの実行に割り当てられる時間を制限することで、（機密性の高い）タスクを制御します。
誤った回答は次のとおりです。
キー エスクローは、キーを複数の部門で管理できるように分割することで、保管中のキーを保護することに関連しています。キー エスクローは、秘密キーまたは情報の復号化に必要なキーのコピーを第三者が保持できるようにするプロセスです。暗号化された情報は個人ではなく組織に属するため、ほとんどの組織では暗号化の使用にキー エスクローが必須であると考えるべきですが、多くの場合、情報の暗号化には個人のキーが使用されます。
職務の分離とは、重要なタスクのさまざまな部分の責任を別々の個人に割り当て、1 人の個人がシステムに与える影響を制限することで、エラーや不正行為を防止または検出する基本的な制御です。1 人の個人が特定のプロセスのすべての手順を実行する権限を持つべきではありません。これは、個人がシステムへのデータの変更、削除、または追加を行う権限がより多くある重要なビジネス領域で特に重要です。職務を分離しないと、個人が他の人の関与なしに会社の金銭を横領する可能性があります。
知る必要があるという原則は、機密情報やその他の機密情報にアクセスする権限が与えられているだけでなく、割り当てられた職務を遂行するためにそのような情報が必要であることを規定しています。ほとんどのユーザーに割り当てられるのは、通常または制限付きユーザー アカウントです。最小権限の原則に従い、これらのアカウントは厳密に必要な権限のみに制限する必要があります。アクセスは、知る必要があるという原則に従い、特定のオブジェクトに制限する必要があります。
最小権限の原則では、システム内の各主体に、許可されたタスクを実行するために必要な最も制限された権限セット (または最低の許可) を付与する必要があります。最小権限とは、ユーザーに職務を遂行するために必要なアクセスのみを付与することを意味します。職務によっては、他の従業員よりも多くのアクセスが必要になる場合があります。たとえば、メインフレーム システムでデータ入力を行う個人は、インターネット アクセスや、システムに入力する情報に関するレポートを実行する機能を必要としない場合があります。逆に、管理者はレポートを実行する必要があるかもしれませんが、データベースの情報を変更する機能は提供すべきではありません。
この質問に使用された参考文献:
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
版 ((ISC)2 Press) (Kindle 場所 10628-10631)。Auerbach Publications。Kindle
版。
そして
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
版 ((ISC)2 Press) (Kindle の場所 10635-10638)。Auerbach Publications。Kindle
版。
そして
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
版 ((ISC)2 Press) (Kindle 場所 10693-10697)。Auerbach Publications。Kindle
版。
そして
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
版 ((ISC)2 Press) (Kindle の場所 16338-16341)。Auerbach Publications。Kindle
版。

説明/参照:
Explanation:
定量的リスク分析は、リスク分析プロセスのすべての要素に金銭的価値と数値を割り当てるために使用されます。分析内の各要素 (資産価値、脅威の頻度、脆弱性の重大度、影響による損害、保護コスト、保護効果、不確実性、および確率項目) は定量化され、方程式に入力されて総リスクと残余リスクが決定されます。
定量的リスク分析で最も一般的に使用される方程式は、単一損失期待値 (SLE) と年間損失期待値 (ALE) です。
SLE は、特定の脅威が発生した場合に企業が被る可能性のある損失額を表す、単一のイベントに割り当てられるドル金額です。
年間発生率 (ARO) は、12 か月間に発生する特定の脅威の推定頻度を表す値です。
誤った回答:
B: 定性リスク分析では、リスクの影響に金銭的価値を割り当てるのではなく、リスクを定量化します。ALE = ARO x SLE の式は使用しません。
C: 客観的分析は定義されたリスク評価方法の 1 つではなく、ALE = ARO x SLE の式を使用しません。
D: 期待損失分析は定義されたリスク評価方法の 1 つではありません。期待損失は定量的リスク分析方法を使用して計算されます。
参考文献:
ハリス、ショーン、「オールインワン CISSP 試験ガイド」、第 6 版、McGraw-Hill、ニューヨーク、2013 年、87 ページ