ITパスポート過去問 令和7年度(2025年)問2
従来の情報セキュリティマネジメントシステム規格を基礎に追加で制定されたもので,クラウドサービスに対応した情報セキュリティ管理体制を構築するためのガイドライン規格として,最も適切なものはどれか。
選択肢
- ア:ISO 14001
- イ:JIS Q 15001
- ウ:ISO/IEC 27017
- エ:ISO 9001
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
クラウドサービスに対応した情報セキュリティ管理体制のガイドライン規格は、ISO/IEC 27017です。従来のISMS規格(ISO/IEC 27001など)を基礎として、クラウド特有のリスクに対応するための管理策を追加で示しています。
Point
この問題は、クラウドサービスに対応した情報セキュリティのガイドライン規格を選べるかを確認する問題です。ISO/IEC 27000シリーズ(情報セキュリティ)と、ISO 9001(品質)、ISO 14001(環境)、JIS Q 15001(個人情報保護)を目的で区別できることがポイントです。
解くために必要な知識
この問題を解くには、情報セキュリティに関する代表的な規格が、何を目的にしているかの区別が必要です。
用語の整理
ISO/IEC 27017
クラウドサービスにおける情報セキュリティ管理策のガイドラインを定めた国際規格です。ISMSの管理策(ISO/IEC 27002)を基礎に、クラウド特有の管理策や責任分担の考え方を追加で示します。
ISMS(情報セキュリティマネジメントシステム)
組織の情報資産を、機密性、完全性、可用性の観点から保護するための管理体制です。一般に、国際規格としてはISO/IEC 27001がISMSの要求事項を定めています。
クラウドサービス
ネットワークを通じて、サーバ、ストレージ、ソフトウェアなどのITリソースを利用する形態です。提供者と利用者で責任分担が発生しやすい点が特徴です。
各選択肢の規格の目的(比較)
| 規格 | 主な対象 | 目的 |
|---|---|---|
| ISO 14001 | 環境 | 環境マネジメントシステムの要求事項 |
| JIS Q 15001 | 個人情報 | 個人情報保護マネジメントシステム(PMS)の要求事項 |
| ISO/IEC 27017 | クラウドのセキュリティ | クラウド向け情報セキュリティ管理策のガイドライン |
| ISO 9001 | 品質 | 品質マネジメントシステムの要求事項 |
選択肢ごとの解説
- ア:不正解
ISO 14001は環境マネジメントシステム(EMS)の規格です。クラウドサービスに対応した情報セキュリティ管理体制のガイドライン規格ではありません。
- イ:不正解
JIS Q 15001は個人情報保護マネジメントシステム(PMS)の規格です。クラウドサービス全般の情報セキュリティ管理策のガイドラインであるISO/IEC 27017とは対象と目的が異なります。
- ウ:正解
ISO/IEC 27017は、従来のISMS関連規格を基礎に、クラウドサービス特有の情報セキュリティ管理策を追加で示したガイドライン規格です。クラウドの提供者と利用者の双方を対象にしています。
- エ:不正解
ISO 9001は品質マネジメントシステム(QMS)の規格です。クラウドサービス向けの情報セキュリティ管理体制のガイドライン規格ではありません。
まとめ
クラウドサービスに対応した情報セキュリティ管理体制のガイドライン規格は、ISO/IEC 27017です。従来のISMS規格(ISO/IEC 27001など)を基礎として、クラウド特有のリスクに対応するための管理策を追加で示しています。
理解すべき用語
ストラテジ系 > 企業と法務 > 法務
ISO 14001は環境マネジメントシステム(EMS)の規格です。クラウドサービスに対応した情報セキュリティ管理体制のガイドライン規格ではありません。
JIS Q 15001は個人情報保護マネジメントシステム(PMS)の規格です。クラウドサービス全般の情報セキュリティ管理策のガイドラインであるISO/IEC 27017とは対象と目的が異なります。
ISO/IEC 27017は、従来のISMS関連規格を基礎に、クラウドサービス特有の情報セキュリティ管理策を追加で示したガイドライン規格です。クラウドの提供者と利用者の双方を対象にしています。
ISO 9001は品質マネジメントシステム(QMS)の規格です。クラウドサービス向けの情報セキュリティ管理体制のガイドライン規格ではありません。