ITパスポート 令和6年度 公開問題(過去問) 問82 について解説します。
問題
問82 ISMSクラウドセキュリティ認証に関する記述として、適切なものはどれか。
ア 一度認証するだけで、複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
イ クラウドサービスについて、クラウドサービス固有の管理策が実施されていることを認証する制度
ウ 個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して、事業活動に関してプライバシーマークの使用を認める制度
エ 利用者がクラウドサービスへログインするときの環境、IPアドレスなどに基づいて状況を分析し、リスクが高いと判断された場合に追加の認証を行う仕組み
解説・解答
「ISMS」とは
ISMS(Information Security Management System)は、日本語で言うと「情報セキュリティマネジメントシステム」です。簡単に言うと、「会社やサービスで、情報を安全に守るための仕組み・ルールを作り、それをちゃんと運用しているかどうかを評価する仕組み」です。世界共通のルールである国際規格「ISO/IEC 27001」に基づいています。
「ISMSクラウドセキュリティ認証」とは
これは、クラウドサービスに特化した情報セキュリティの認証です。通常のISMS認証だけでは、クラウド特有のリスク(例:他の会社と同じサーバーを共有している、仮想マシンの管理など)には対応しきれません。そのため、クラウド向けの追加ルール(ISO/IEC 27017)が用意されており、これに基づいて審査・認証するのが「ISMSクラウドセキュリティ認証」です。
それぞれの選択肢について確認します。
ア: 一度認証するだけで、複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
これは「シングルサインオン(SSO)」という仕組みです。例えば、GoogleアカウントでYouTubeもGmailもログインできるというような仕組みです。ISMSクラウドセキュリティ認証とは関係ありませんので誤りです。
イ: クラウドサービスについて、クラウドサービス固有の管理策が実施されていることを認証する制度
これが「ISMSクラウドセキュリティ認証」の説明です。わかりやすく言うと「このクラウドサービスは情報を守るためにクラウド用の特別なルールを守っている」と第三者が認めてくれる制度です。これが正解です。
ウ: 個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して、事業活動に関してプライバシーマークの使用を認める制度
これは「プライバシーマーク制度」の説明です。プライバシーマークは個人情報をちゃんと守る会社に与えられるマークです。ISMSクラウドセキュリティ認証とは別の制度なので誤りです。
エ: 利用者がクラウドサービスへログインするときの環境、IPアドレスなどに基づいて状況を分析し、リスクが高いと判断された場合に追加の認証を行う仕組み
これは「リスクベース認証(RBA)」の説明です。普段と違う場所からログインしようとすると追加で本人確認されるというものです。ISMSクラウドセキュリティ認証とは関係ありませんので誤りです。
以上により、この問題の解答は「イ」になります。
