ホーム > 情報処理安全確保支援士試験 > 2012年秋期

情報処理安全確保支援士試験 2012年秋期午前2 問04

2011年に経済産業省が公表した“クラウドサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的について述べたものはどれか。

ア：JISQ27002の管理策を拡張し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。（正解）

イ：クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。

ウ：クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。

エ：セキュリティリスクの懸念の少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。

解説

2011年経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」策定目的【午前2 解説】

要点まとめ

結論：ガイドラインはクラウド利用者が情報セキュリティ対策を円滑に行うため、JIS Q 27002の管理策を拡張したものです。
根拠：クラウド特有のリスクに対応するため、既存の情報セキュリティ管理策を補完し利用者の対策支援を目的としています。
差がつくポイント：提供者視点ではなく利用者視点でのセキュリティ対策支援である点を理解することが重要です。

正解の理由

選択肢アは、経済産業省が2011年に公表したガイドラインの目的を正確に表しています。
このガイドラインは、JIS Q 27002（情報セキュリティ管理策の国際規格）を基盤に、クラウドサービス利用者が直面する特有のリスクに対応できるよう管理策を拡張し、利用者が円滑に情報セキュリティ対策を実施できるよう支援することを目的としています。
つまり、利用者が自らの責任で適切なセキュリティ対策を講じるための指針を提供しているのです。

よくある誤解

クラウドサービスのセキュリティは提供者任せと思いがちですが、利用者自身もリスク管理を行う必要があります。
また、監査方法や格付け基準の提供が主目的ではなく、利用者の対策支援が中心です。

解法ステップ

問題文の「策定された目的」に注目する。
クラウドサービス利用者の視点か提供者の視点かを区別する。
JIS Q 27002の役割とクラウド特有のリスク対応の関係を理解する。
選択肢の内容が「利用者の情報セキュリティ対策支援」に合致しているか確認する。
最も適切な選択肢を選ぶ。

選択肢別の誤答解説

ア: JIS Q 27002の管理策を拡張し、利用者が円滑に対策できるようにする点が正しい。
イ: クラウド提供事業者の監査方法を利用者に提示することは目的ではなく、利用者の対策支援が主眼。
ウ: 提供事業者の視点でリスクを提示するのは誤り。利用者視点での対策支援が目的。
エ: 格付け基準の提供はガイドラインの目的ではなく、利用者の対策支援に重点がある。

補足コラム

JIS Q 27002は情報セキュリティ管理策の国際規格であり、組織の情報資産を守るための具体的な管理策を示しています。
クラウドサービスは共有環境であるため、従来の管理策だけでは対応しきれないリスクが存在し、ガイドラインはこれを補完する役割を果たしています。

FAQ

Q: なぜクラウド利用者が情報セキュリティ対策を強化する必要があるのですか？
A: クラウドは共有環境であり、利用者自身が適切な管理策を講じないと情報漏洩やサービス停止などのリスクが高まるためです。

Q: ガイドラインは提供事業者の監査方法も示していますか？
A: いいえ、主に利用者が自らのセキュリティ対策を円滑に行うための指針であり、監査方法の提示は目的ではありません。

関連キーワード: クラウドセキュリティ, 情報セキュリティマネジメント, JIS Q 27002, 経済産業省ガイドライン, クラウドリスク管理

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2012年 秋期 午前2 問04

解説

2011年 経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」策定目的【午前2 解説】