ITパスポート過去問 令和6年度(2024年)問82
ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
選択肢
- ア:一度認証するだけで,複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
- イ:クラウドサービスについて,クラウドサービス固有の管理策が実施されていることを認証する制度
- ウ:個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して,事業活動に関してプライバシーマークの使用を認める制度
- エ:利用者がクラウドサービスヘログインするときの環境,IPアドレスなどに基づいて状況を分析し,リスクが高いと判断された場合に追加の認証を行う仕組み
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001、27002)に加えて、クラウドサービスに特有の管理策(ISO/IEC 27017)が実施されていることを第三者が認証する制度です。したがって、「クラウドサービス固有の管理策が実施されていることを認証する制度」とする記述が適切です。
Point
この問題は、ISMSクラウドセキュリティ認証が「クラウドサービスに特有のセキュリティ管理策の実施」を対象にした認証制度であることを理解しているかを確認します。SSO、プライバシーマーク、リスクベース認証など、名称が似ている別概念と区別できることが求められます。
解くために必要な知識
この問題を解くには、ISMSクラウドセキュリティ認証の対象と、他の用語との違いを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織が情報セキュリティを継続的に管理、改善するための仕組みです。国際規格はISO/IEC 27001です。 |
| ISMSクラウドセキュリティ認証 | クラウドサービスに特有の情報セキュリティ管理策が実施されていることを、第三者が認証する制度です。ISO/IEC 27017に基づきます。 |
| ISO/IEC 27017 | クラウドサービスに関する情報セキュリティ管理策のガイドラインです。クラウドサービス提供者と利用者の双方に関係する管理策を扱います。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| シングルサインオン(SSO) | 1回のログインで複数システムを利用可能にする仕組み |
| プライバシーマーク制度 | 個人情報保護の体制を評価し、マーク使用を認める制度 |
| リスクベース認証 | 利用状況に応じて追加認証を行う仕組み |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 該当する用語・制度 | 正誤 |
|---|---|---|---|
| ア | 一度の認証で複数サービスを利用できる仕組み | シングルサインオン(SSO) | × |
| イ | クラウドサービス固有の管理策の実施を認証する制度 | ISMSクラウドセキュリティ認証 | ○ |
| ウ | 個人情報保護体制を評価しマーク使用を認める制度 | プライバシーマーク制度 | × |
| エ | 状況により追加の認証を行う仕組み | リスクベース認証 | × |
選択肢ごとの解説
- ア:不正解
シングルサインオン(SSO)の説明です。1回のログインで、連携している複数のクラウドサービスやシステムを再ログインなしで利用できる仕組みを指します。ISMSクラウドセキュリティ認証の説明ではありません。
- イ:正解
ISMSクラウドセキュリティ認証は、クラウドサービスについて、クラウドサービス固有の管理策が実施されていることを第三者が認証する制度です。
- ウ:不正解
プライバシーマーク制度の説明です。JIS Q 15001に基づき、個人情報を適切に取り扱う体制を整備している事業者を評価し、事業活動に関してマークの使用を認めます。
- エ:不正解
リスクベース認証の説明です。利用者のアクセス元IPアドレス、端末、場所などの状況を用いてリスクを判断し、必要に応じて追加認証を求める仕組みです。
まとめ
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001、27002)に加えて、クラウドサービスに特有の管理策(ISO/IEC 27017)が実施されていることを第三者が認証する制度です。したがって、「クラウドサービス固有の管理策が実施されていることを認証する制度」とする記述が適切です。
テクノロジ系 > 技術要素 > セキュリティ
シングルサインオン(SSO)の説明です。1回のログインで、連携している複数のクラウドサービスやシステムを再ログインなしで利用できる仕組みを指します。ISMSクラウドセキュリティ認証の説明ではありません。
ISMSクラウドセキュリティ認証は、クラウドサービスについて、クラウドサービス固有の管理策が実施されていることを第三者が認証する制度です。
プライバシーマーク制度の説明です。JIS Q 15001に基づき、個人情報を適切に取り扱う体制を整備している事業者を評価し、事業活動に関してマークの使用を認めます。
リスクベース認証の説明です。利用者のアクセス元IPアドレス、端末、場所などの状況を用いてリスクを判断し、必要に応じて追加認証を求める仕組みです。