ITパスポート過去問 令和5年度(2023年)問56
ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
選択肢
- ア:PaaS,SaaSが対象であり,IaaSは対象ではない。
- イ:クラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
- ウ:クラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組識は対象ではない。
- エ:クラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001)の考え方に加えて、クラウドサービスに固有の管理策(例:ISO/IEC 27017で扱う内容)が適切に導入され、運用されていることを第三者が評価し、認証する制度です。したがって、クラウド固有の管理策の導入・実施を認証するとする記述が適切です。
Point
この問題は、ISMSクラウドセキュリティ認証が何を認証する制度か(クラウド固有の管理策の導入と運用)と、プライバシーマークなどの別制度との違いを区別できるかを確認することがねらいです。
解くために必要な知識
この問題を解くには、ISMSクラウドセキュリティ認証の目的(何を認証するか)と、関連する用語の区別を理解している必要があります。
用語の整理
| 用語 | 内容 |
|---|---|
| ISMS(ISO/IEC 27001) | 組織が情報セキュリティを管理し、継続的に改善するための仕組み(マネジメントシステム)です。 |
| ISMSクラウドセキュリティ認証 | ISMSに加えて、クラウドサービスに特有の管理策が適切に導入され、運用されていることを第三者が評価し、認証する制度です。 |
| 管理策 | セキュリティの目的を満たすための具体的なルール、手順、対策のことです。例として、アクセス制御、ログ取得、運用手順の整備などがあります。 |
他の選択肢に出てくる用語
| 用語 | 内容 |
|---|---|
| IaaS | 仮想サーバなど、基盤(インフラ)を提供するクラウドサービス形態です。 |
| PaaS | アプリケーションの実行環境(OS、ミドルウェアなど)を提供する形態です。 |
| SaaS | アプリケーションをサービスとして提供する形態です。 |
| プライバシーマーク | 個人情報保護の体制を整備し、運用している事業者に対して、マークの使用を認める制度です。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容の正確性 | 判断理由 |
|---|---|---|
| ア | 不適切 | サービスモデル(IaaS、PaaS、SaaS)を限定して除外する説明は、制度の説明として適切ではありません。 |
| イ | 適切 | クラウドサービスに固有の管理策が導入、実施されていることを認証する制度です。 |
| ウ | 不適切 | 認証の対象は提供者に限定されるとはいえず、利用者側の管理策も扱われます。 |
| エ | 不適切 | 記述内容はプライバシーマークの説明であり、ISMSクラウドセキュリティ認証の説明ではありません。 |
選択肢ごとの解説
- ア:不正解
IaaS、PaaS、SaaSはクラウドのサービスモデルの分類です。ISMSクラウドセキュリティ認証は「PaaSとSaaSのみ」のようにサービスモデルで対象を限定する制度ではないため不適切です。IaaSも対象になり得ます。
- イ:正解
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001)の枠組みに加えて、クラウドサービスに固有の管理策が適切に導入され、実施(運用)されていることを第三者が評価し認証する制度です。したがって適切です。
- ウ:不正解
ISMSクラウドセキュリティ認証を、クラウドサービス提供組織だけを対象として利用組織を対象外とする説明は不適切です。
- エ:不正解
個人情報保護体制を評価してマーク使用を認めるプライバシーマークの説明です。ISMSクラウドセキュリティ認証の説明ではないため不適切です。
まとめ
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001)の考え方に加えて、クラウドサービスに固有の管理策(例:ISO/IEC 27017で扱う内容)が適切に導入され、運用されていることを第三者が評価し、認証する制度です。したがって、クラウド固有の管理策の導入・実施を認証するとする記述が適切です。
テクノロジ系 > 技術要素 > セキュリティ
IaaS、PaaS、SaaSはクラウドのサービスモデルの分類です。ISMSクラウドセキュリティ認証は「PaaSとSaaSのみ」のようにサービスモデルで対象を限定する制度ではないため不適切です。IaaSも対象になり得ます。
ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001)の枠組みに加えて、クラウドサービスに固有の管理策が適切に導入され、実施(運用)されていることを第三者が評価し認証する制度です。したがって適切です。
ISMSクラウドセキュリティ認証を、クラウドサービス提供組織だけを対象として利用組織を対象外とする説明は不適切です。
個人情報保護体制を評価してマーク使用を認めるプライバシーマークの説明です。ISMSクラウドセキュリティ認証の説明ではないため不適切です。