問題
問56
ISMSクラウドセキュリティ認証に関する記述として、適切なものはどれか。
- PaaS、SaaSが対象であり、IaaSは対象ではない。
- クラウドサービス固有の管理策が適切に導入、実施されていることを認証するものである。
- クラウドサービスを提供している組織が対象であり、クラウドサービスを利用する組織は対象ではない。
- クラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である。
[出典:ITパスポート試験 令和5年度 問56]
スポンサーリンク
正解
正解は「イ」です。
解説
ISMSクラウドセキュリティ認証とは、クラウドサービスを提供する組織が、適切な情報セキュリティ対策を講じていることを認証する制度です。この認証では、クラウドサービス固有の管理策が適切に導入、実施されているかどうかが評価されます。
選択肢「イ」は、「クラウドサービス固有の管理策が適切に導入、実施されていることを認証するものである」と述べており、ISMSクラウドセキュリティ認証の目的と合致しているため、正解となります。
ア(PaaS、SaaSが対象であり、IaaSは対象ではない):
ISMSクラウドセキュリティ認証は、IaaS、PaaS、SaaSのすべてのクラウドサービスが対象となるため、この選択肢は誤りです。
ウ(クラウドサービスを提供している組織が対象であり、クラウドサービスを利用する組織は対象ではない):
クラウドサービスを提供する事業者が主な対象ですが、利用者側の管理策も間接的に影響を受けるため、完全に利用者が対象外とは言えません。
エ(クラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である):
プライバシーマーク制度は、個人情報保護の観点からの評価制度であり、ISMSクラウドセキュリティ認証とは異なります。
難易度
普通
ISMSクラウドセキュリティ認証についての基本的な理解を問う問題です。情報セキュリティマネジメントシステム(ISMS)に関する基礎知識があれば解答しやすいですが、プライバシーマークとの違いを知らないと混乱しやすい問題です。
スポンサーリンク
用語補足
ISMSクラウドセキュリティ認証:
クラウドサービス提供事業者が、クラウド固有のリスク管理を適切に実施していることを認証する制度です。ISO/IEC 27017などのガイドラインに基づいて評価されます。
プライバシーマーク:
個人情報の適切な管理体制が整備されていることを示す認証制度で、クラウドサービスに限定されるものではありません。
対策
- ISMSクラウドセキュリティ認証の対象範囲と目的を理解しましょう。
- ISMSとプライバシーマークの違いを整理し、それぞれの適用範囲を明確にしましょう。
- クラウドサービスの種類(IaaS、PaaS、SaaS)がすべて認証対象であることを押さえておきましょう。
