正解 ア 次の問題へ

問4 2011年に経済産業省が公表した”クラウドサービス利用のための情報セキュリティマネジメントガイドライン”を策定された目的について述べたものはどれか。

ア JIS Q 27002の管理策を拡張し、クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。

イ クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。

ウ クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。

エ セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。

解説


ア 正解
 ”クラウドサービス利用のための情報セキュリティマネジメントガイドライン”の序文 0.1 一般にて「クラウド利用者の視点からJIS Q 27002(実践のための規範)の各管理策を再考し,クラウドコンピューティングを利用する組織においてこの規格に基づいた情報セキュリティ対策が円滑に行われることを目的として,このガイドラインを作成した。」とあるためアが正解です。

イ 不正解
 利用者からクラウドサービス提供事業者への情報セキュリティ監査はあまり現実的でないため、クラウド事業者のセキュリティレベルに一定の保証を与える「クラウド情報セキュリティ管理基準」が策定されました。また、事業者が遵守しているセキュリティ要件を利用者に伝えるための「クラウド情報セキュリティ基本言明要件」も記載されています。

ウ 不正解
 上記の「クラウド情報セキュリティ管理基準」では、「情報セキュリティ管理基準」を基礎として、クラウドセキュリティガイドラインに示されたクラウドサービスの特性を反映した事項を追加・修正して作成されています。

エ 不正解
 JASA(クラウドセキュリティ推進協議会)が策定している「クラウド情報セキュリティ監査制度」の要件を満たしていると認定された基本言明書には、CSマーク(クラウドセキュリティ・マーク)が付与されます。内部監査を終えたものはシルバー、外部監査を終えたものはゴールドと、CSマークの有無とカラーが格付けと言えるような気がします。