17. 某公司新增了一業務型態，員工(20 員，每員配置筆電乙以及隨身硬碟乙顆)必須至客戶端長期駐點處理有關受託業務，並於客戶端透過網際網路連線回公司內部網路處裡公司相關業務，為了降低此一新增業務型態所衍伸出來的資安風險，該公司正評估採取有效的控制措施來降低此風險，請問下列控制措施何項較無法降低此風險？
(A) 網站應用防火牆(Web Application Firewall，WAF)
(B) 端點偵測及應變機制(Endpoint Detection and Response，EDR)
(C) 虛擬私有網路(Virtual Private Network，VPN)
(D) 防毒軟體(Antivirus Software)

(A) 網站應用防火牆 (Web Application Firewall，WAF)

• 解釋：WAF 是針對保護網站應用層的防禦措施，可以防範如 SQL Injection、XSS 等攻擊。但本題情境下的主要問題在於遠端連線及設備安全，而非直接與公司網站的應用層攻擊相關。
• 適用性：此措施無法有效解決駐點員工的風險問題，與題目中的需求無直接關聯。
• 結論：較無法降低此風險。

(B) 端點偵測及應變機制 (Endpoint Detection and Response，EDR)

• 解釋：EDR 可監控和防範駐點員工的筆電或隨身硬碟被植入惡意軟體，並能迅速應對威脅。這對保護設備安全非常有效。
• 適用性：EDR 是降低員工駐點業務型態資安風險的有效措施。
• 結論：有效降低風險。

(C) 虛擬私有網路 (Virtual Private Network，VPN)

• 解釋：VPN 提供加密隧道，用於保護員工在客戶端透過網際網路回公司網路時的數據傳輸安全，防止中間人攻擊或未授權存取。
• 適用性：VPN 是本情境下非常重要的控制措施。
• 結論：有效降低風險。

(D) 防毒軟體 (Antivirus Software)

• 解釋：防毒軟體可以檢測並移除駐點員工設備上的已知惡意軟體，對基本的設備安全起到一定保護作用。
• 適用性：此措施雖然基本，但仍然能降低部分風險。
• 結論：有效降低風險。