問題
問2
従来の情報セキュリティマネジメントシステム規格を基礎に追加で制定されたもので、クラウドサービスに対応した情報セキュリティ管理体制を構築するためのガイドライン規格として、最も適切なものはどれか。
- ISO 14001
- JIS 0 15001
- ISO/IEC 27017
- ISO 9001
[出典:ITパスポート試験 令和7年度 問2]
スポンサーリンク
正解
正解は「ウ」です。
解説
正解は「ウ(ISO/IEC 27017)」です。この規格は、ISO/IEC 27001(情報セキュリティマネジメントシステム)をベースに、クラウドサービス特有のセキュリティリスクに対応するために制定された国際規格です。
クラウドプロバイダーと利用者の双方の責任範囲を明確化し、仮想化環境やマルチテナント環境でのデータ保護を規定しています。例えば、クラウド上で顧客データを管理する際のアクセス制御や監査方法などが具体的に示されています。他の選択肢はいずれもクラウドセキュリティに特化した規格ではないため、適切ではありません。
ア(ISO 14001):
環境マネジメントシステムに関する規格で、セキュリティとは無関係です。
イ(JIS 0 15001):
存在しない規格番号です。JIS Q 15001(個人情報保護)の誤記と思われますが、クラウド特化規格ではありません。
エ(ISO 9001):
品質マネジメントシステムの規格で、情報セキュリティの要件は含まれません。
難易度
難易度は「中級」です。ISO規格の種類とその適用領域を理解している必要がありますが、クラウドセキュリティに特化した「ISO/IEC 27017」という名称を覚えていれば解答可能です。初心者にとっては規格番号が似ていて混乱しやすいため、「27000番台=情報セキュリティ関連」「14001=環境」「9001=品質」といった基本的分類を押さえることが重要です。
スポンサーリンク
用語補足
ISO/IEC 27001:
情報セキュリティマネジメントシステム(ISMS)の国際規格です。例:企業が顧客データを保護するためのポリシー策定に利用。
マルチテナント環境:
1つのシステムを複数の組織で共有するクラウド形態です。例:同じサーバー上で異なる企業のWebサイトが稼働。
対策
対策として、主要なISO規格の用途を対比して覚えましょう。
1.「ISO/IEC 27000番台」は情報セキュリティ関連と覚える。
2.クラウド固有の規格(27017/27018)はセキュリティとプライバシー保護に特化している点を理解する。
3.過去問で規格名と適用分野(例:14001=環境、9001=品質)をセットで暗記する。
特に数字の末尾が「01」の規格は基本規格であることが多いため、体系的な学習が効果的です。
