ホーム > データベーススペシャリスト試験 > 2015年
データベーススペシャリスト試験 2015年 午前2 問21
クラウドサービスにおける情報セキュリティ上のリスクを“ポリシ及び組織関連のリスク”, “技術関連のリスク”, 及び“法的なリスク”に分類したとき, 海外に設置されたデータセンタにデータが保管されることに起因するリスクのうち, “法的なリスク”に分類されるものはどれか。
ア:データセンタが設置された国の法執行機関の命令を受けて, 保管されたデータが開示されたり、ハードウェアが差し押さえられたりする。(正解)
イ:ハイパーバイザの脆弱性によって, サービス運用妨害が引き起こされる。
ウ:不具合によって, データセンタの他のテナントに情報が漏えいする。
エ:利用料金が従量課金制であるので, 様々な国から通信回線などのリソースを大量に消費する攻撃が行われ, 経済的な損失を被る。
解説
クラウドサービスの法的リスクに関する問題【午前2 解説】
要点まとめ
- 結論:海外データセンタの設置国の法執行機関によるデータ開示や差し押さえは「法的なリスク」に該当します。
- 根拠:クラウド利用時、データが保管される国の法律や規制が適用され、法的強制力が及ぶためです。
- 差がつくポイント:技術的問題や運用上のリスクと法的リスクを明確に区別できるかが重要です。
正解の理由
選択肢アは「データセンタが設置された国の法執行機関の命令によるデータ開示やハードウェア差し押さえ」とあり、これはまさに「法的なリスク」に該当します。クラウドサービスのデータは設置国の法律の影響を受けるため、海外の法執行機関の介入が起こる可能性があるからです。
よくある誤解
技術的な脆弱性やサービス運用の問題を法的リスクと混同しやすいですが、法的リスクは法律や規制に起因するリスクである点を押さえましょう。
解法ステップ
- 問題文の「法的なリスク」の定義を確認する。
- 各選択肢が「ポリシ及び組織関連」「技術関連」「法的なリスク」のどれに該当するか分類する。
- 「海外に設置されたデータセンタに起因するリスク」で法的なものを選ぶ。
- 法執行機関の介入や法律に関わる内容がある選択肢を正解とする。
選択肢別の誤答解説
- ア: 正解。海外の法執行機関によるデータ開示や差し押さえは法的リスク。
- イ: ハイパーバイザの脆弱性は技術的リスクに分類されるため誤り。
- ウ: 他テナントへの情報漏えいは技術的リスクや組織的リスクに該当し、法的リスクではない。
- エ: 従量課金制による経済的損失は運用上のリスクであり、法的リスクとは異なる。
補足コラム
クラウドサービス利用時の法的リスクは、データの所在国の法律や規制に大きく依存します。特に海外のデータセンタを利用する場合、現地のプライバシー法や政府の介入リスクを理解し、契約時にサービスレベルや法的責任範囲を明確にすることが重要です。
FAQ
Q: 法的リスクはどのような場面で発生しますか?
A: データが設置された国の法律に基づき、政府や法執行機関からの開示要求や差し押さえがあった場合に発生します。
A: データが設置された国の法律に基づき、政府や法執行機関からの開示要求や差し押さえがあった場合に発生します。
Q: 技術的リスクと法的リスクの違いは何ですか?
A: 技術的リスクはシステムの脆弱性や障害に関するリスクで、法的リスクは法律や規制に起因するリスクです。
A: 技術的リスクはシステムの脆弱性や障害に関するリスクで、法的リスクは法律や規制に起因するリスクです。
関連キーワード: クラウドセキュリティ, 法的リスク, データセンタ, 海外データ保管, 情報セキュリティリスク