ホーム > 情報処理安全確保支援士試験 > 2014年 秋期
情報処理安全確保支援士試験 2014年 秋期 午前2 問03
経済産業省が公表した“クラウドサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的について述べたものはどれか。
ア:JIS Q 27002の管理策を補完し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。(正解)
イ:クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
ウ:クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。
エ:セキュリティリスクの懸念が少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。
解説
経済産業省のクラウドサービス利用のための情報セキュリティマネジメントガイドラインの目的【午前2 解説】
要点まとめ
- 結論:本ガイドラインはJIS Q 27002の管理策を補完し、クラウド利用者が円滑に情報セキュリティ対策を行うために策定されたものです。
- 根拠:クラウド特有のリスクに対応するため、既存のセキュリティ管理策を補強し利用者視点での対策指針を示しています。
- 差がつくポイント:提供事業者の監査方法提示や格付け基準の提供ではなく、利用者が自らの対策を進めやすくするためのガイドラインである点を押さえましょう。
正解の理由
ア: JIS Q 27002の管理策を補完し,クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。が正解です。
このガイドラインは、クラウドサービス利用者が既存の情報セキュリティ管理策(JIS Q 27002)を基盤に、クラウド特有のリスクを考慮した対策を円滑に実施できるよう補完的な指針を提供しています。利用者が自らの責任で適切なセキュリティ管理を行うための支援が目的です。
このガイドラインは、クラウドサービス利用者が既存の情報セキュリティ管理策(JIS Q 27002)を基盤に、クラウド特有のリスクを考慮した対策を円滑に実施できるよう補完的な指針を提供しています。利用者が自らの責任で適切なセキュリティ管理を行うための支援が目的です。
よくある誤解
クラウドサービス提供事業者の監査方法や格付け基準を提供するものと誤解されがちですが、本ガイドラインはあくまで利用者側の情報セキュリティ対策を支援するためのものです。
解法ステップ
- 問題文の「目的」に注目し、ガイドラインの対象を確認する。
- 選択肢の内容が「利用者向け」か「提供事業者向け」かを区別する。
- JIS Q 27002との関係性を理解し、補完的な役割かどうかを判断する。
- クラウド特有のリスク対応に焦点を当てているかを確認する。
- 最も利用者の情報セキュリティ対策を支援する選択肢を選ぶ。
選択肢別の誤答解説
- ア: 正解。利用者が円滑に情報セキュリティ対策を行うためにJIS Q 27002を補完するガイドラインである。
- イ: 誤り。提供事業者の監査方法を利用者に提示することは目的ではない。
- ウ: 誤り。リスク提示は利用者視点であり、提供事業者視点ではない。
- エ: 誤り。格付け基準の提供は本ガイドラインの目的に含まれていない。
補足コラム
JIS Q 27002は情報セキュリティ管理策の国際規格であり、クラウドサービスの特性に合わせた補完策が必要です。経済産業省のガイドラインは、利用者がクラウドの利便性を享受しつつ、適切なリスク管理を行うための具体的な指針を示しています。
FAQ
Q: なぜクラウド利用者向けのガイドラインが必要なのですか?
A: クラウドは共有環境であり、利用者が自らの情報資産を守るために特有のリスクを理解し対策を講じる必要があるためです。
A: クラウドは共有環境であり、利用者が自らの情報資産を守るために特有のリスクを理解し対策を講じる必要があるためです。
Q: ガイドラインは提供事業者の監査に関係しますか?
A: いいえ、提供事業者の監査方法を示すものではなく、利用者のセキュリティ対策支援が目的です。
A: いいえ、提供事業者の監査方法を示すものではなく、利用者のセキュリティ対策支援が目的です。
関連キーワード: クラウドセキュリティ, JIS Q 27002, 情報セキュリティマネジメント, 経済産業省, セキュリティガイドライン