問題
テクノロジ系
問82 ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
選択肢
- ア一度認証するだけで,複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
- イクラウドサービスについて,クラウドサービス固有の管理策が実施されていることを認証する制度
- ウ個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して,事業活動に関してプライバシーマークの使用を認める制度
- エ利用者がクラウドサービスへログインするときの環境,IPアドレスなどに基づいて状況を分析し,リスクが高いと判断された場合に追加の認証を行う仕組み
解説
正解:イ
概要
この問題は、ISMSクラウドセキュリティ認証が何を認証する制度かを問う問題です。認証の対象が「認証(ログイン)」ではなく「クラウドサービスの管理策」である点がポイントです。
正解の理由
ISMSクラウドセキュリティ認証は、クラウドサービスに対して、クラウド固有のリスクに対応した管理策が適切に実施されていることを第三者が確認する制度です。したがって、クラウドサービス固有の管理策の実施を認証するという説明のイが正解です。
各選択肢の解説
ア(×): これはシングルサインオンの説明です。ISMSクラウドセキュリティ認証はログインの仕組みではなく、管理策が適切かを認証する制度なので誤りです。
イ(〇): クラウドサービスについて、クラウド特有の管理策が実施されていることを認証する制度という説明はISMSクラウドセキュリティ認証の内容に合致するため正しいです。
ウ(×): これはプライバシーマークの説明です。個人情報保護の体制評価であり、ISMSクラウドセキュリティ認証とは目的と対象が異なるため誤りです。
エ(×): これはリスクベース認証(適応型認証)の説明です。利用状況に応じて追加認証を行う仕組みであり、認証制度の説明ではないため誤りです。
ポイント
ISMSクラウドセキュリティ認証は「クラウド固有の管理策が実施されていること」を第三者が認証する制度です。SSOやリスクベース認証、プライバシーマークと混同しないように整理します。