問題
テクノロジ系
問56 ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
選択肢
- アPaaS,SaaSが対象であり,IaaSは対象ではない。
- イクラウドサービス固有の管理策が適切に導入,実施されていることを認証するものである。
- ウクラウドサービスを提供している組織が対象であり,クラウドサービスを利用する組織は対象ではない。
- エクラウドサービスで保管されている個人情報について,適切な保護措置を講じる体制を整備し,運用していることを評価して,プライバシーマークの使用を認める制度である。
解説
正解:イ
概要
この問題は、ISMSクラウドセキュリティ認証がクラウドサービスにおける情報セキュリティ管理策の適切な導入と運用を評価する仕組みであることを理解しているかを問う問題です。クラウド固有のリスクに対応した管理策が整備されているかがポイントです。
正解の理由
ISMSクラウドセキュリティ認証は、クラウドサービスに特有の管理策が適切に導入され、実施されていることを第三者機関が評価する認証制度です。クラウドの種類や利用者ではなく、提供者側のセキュリティ管理の適切性を評価するため、選択肢イが正解となります。
各選択肢の解説
ア(×): PaaSやSaaSだけが対象というわけではなく、IaaSも対象に含まれるため不正解です。
イ(〇): クラウドサービス固有の管理策が適切に導入・実施されていることを認証する制度であり、ISMSクラウドセキュリティ認証の目的に沿っているため正解です。
ウ(×): 認証の対象はクラウドサービスを提供する組織であり、利用者は対象ではありませんが、選択肢の説明は不十分で正確性を欠くため不正解です。
エ(×): プライバシーマーク制度は個人情報保護に関する認証であり、ISMSクラウドセキュリティ認証とは別制度であるため不正解です。
ポイント
ISMSクラウドセキュリティ認証は、クラウドサービス提供者が固有の管理策を適切に導入・運用しているかを評価する制度であることを押さえておきましょう。