応用情報技術者 2015年 春期 午前2 問42
問題文
NISTの定義によるクラウドサービスモデルのうち、クラウド利用企業の責任者がセキュリティ対策に関して表中の項番1と2の責務を負うが、項番3〜5の責務を負わないものはどれか。
選択肢
ア:HaaS
イ:IaaS
ウ:PaaS(正解)
エ:SaaS
NISTのクラウドサービスモデルにおけるセキュリティ責任範囲【午前2 解説】
要点まとめ
- 結論:PaaSは利用者がアプリケーション層のセキュリティ責任(項番1と2)を負い、基盤のDBMSやOS、ハードウェアの管理責任は負わない。
- 根拠:NISTのクラウドモデルでは、IaaSは基盤のOSまで、SaaSはアプリケーションも含め全てクラウド事業者が管理し、PaaSは中間層のDBMSなどをクラウド事業者が管理する。
- 差がつくポイント:責任分界点を正確に理解し、項番3〜5の責務を負わないモデルを選ぶことが重要。
正解の理由
ウ(PaaS)は、利用者がアプリケーションのアクセス制御やセキュアプログラミング(項番1と2)を担当しますが、DBMSやOS、ハードウェアの管理(項番3〜5)はクラウド事業者側の責任です。
これに対し、IaaSはOSまで利用者が管理し、SaaSは全てクラウド事業者が管理するため該当しません。
これに対し、IaaSはOSまで利用者が管理し、SaaSは全てクラウド事業者が管理するため該当しません。
よくある誤解
PaaSは「プラットフォームを提供するだけ」と誤解し、アプリケーションのセキュリティ責任もクラウド事業者にあると考えがちです。
また、IaaSとPaaSの責任範囲の違いを混同しやすい点にも注意が必要です。
また、IaaSとPaaSの責任範囲の違いを混同しやすい点にも注意が必要です。
解法ステップ
- NISTのクラウドサービスモデル(IaaS、PaaS、SaaS)の責任範囲を確認する。
- 項番1と2はアプリケーション層の責任、項番3〜5は基盤層の責任と認識する。
- 項番1と2の責任を負い、項番3〜5の責任を負わないモデルを探す。
- PaaSが該当することを理解し、選択肢からウを選ぶ。
選択肢別の誤答解説
- ア(HaaS):一般的な用語ではなく、責任範囲が不明確で誤答。
- イ(IaaS):OSの管理も利用者責任のため、項番4の責任を負う。誤り。
- ウ(PaaS):アプリケーション層のみ利用者責任で、DBMSやOSはクラウド事業者管理。正解。
- エ(SaaS):アプリケーションもクラウド事業者が管理し、利用者はほぼ責任を負わない。誤り。
補足コラム
NISTの定義によるクラウドサービスモデルは、責任共有モデルとしても知られ、利用者とクラウド事業者の責任範囲を明確に区分しています。
PaaSは開発環境やミドルウェアを提供し、利用者はアプリケーション開発とセキュリティに注力できるため、効率的な運用が可能です。
PaaSは開発環境やミドルウェアを提供し、利用者はアプリケーション開発とセキュリティに注力できるため、効率的な運用が可能です。
FAQ
Q: PaaSで利用者が管理するセキュリティ項目は何ですか?
A: アプリケーションのアクセス制御や暗号化設定、セキュアプログラミング、脆弱性診断などが含まれます。
A: アプリケーションのアクセス制御や暗号化設定、セキュアプログラミング、脆弱性診断などが含まれます。
Q: IaaSとPaaSの違いは何ですか?
A: IaaSはOSやネットワークまで利用者が管理し、PaaSはOSやDBMSなど基盤はクラウド事業者が管理し、利用者はアプリケーション層を管理します。
A: IaaSはOSやネットワークまで利用者が管理し、PaaSはOSやDBMSなど基盤はクラウド事業者が管理し、利用者はアプリケーション層を管理します。
関連キーワード: クラウドサービスモデル、PaaS, セキュリティ責任範囲、NIST, IaaS, SaaS
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!