情報処理安全確保支援士 2023年春期午前2 問08

問題文

政府情報システムのためのセキュリティ評価制度に用いられる“ISMAP 管理基準”が基礎としているものはどれか。

選択肢

ア：FIPS 140-3(暗号モジュールのセキュリティ要求事項)

イ：ISO/IEC 27018 2019(個人識別情報(PII)プロセッサとして作動するパブリッククラウドにおけるPIIの保護のための実施基準)

ウ：JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)

エ：日本セキュリティ監査協会“クラウド情報セキュリティ管理基準(平成28年度版)”（正解）

政府情報システムのためのセキュリティ評価制度に用いられる“ISMAP 管理基準”が基礎としているものはどれか【午前2 解説】

要点まとめ

結論：ISMAP管理基準は日本セキュリティ監査協会の「クラウド情報セキュリティ管理基準（平成28年度版）」を基礎としています。
根拠：ISMAPは政府のクラウドサービス利用におけるセキュリティ評価制度であり、日本のクラウド情報セキュリティ管理基準を踏まえて策定されています。
差がつくポイント：国際規格や暗号モジュール基準ではなく、日本のクラウドセキュリティ管理基準が基盤である点を押さえることが重要です。

正解の理由

ISMAP（Information System Security Management and Assessment Program）は、政府情報システムのクラウド利用におけるセキュリティ評価制度です。ISMAPの管理基準は、日本セキュリティ監査協会が平成28年度に策定した「クラウド情報セキュリティ管理基準」を基礎にしています。この基準は日本のクラウド環境に適したセキュリティ管理策を具体的に示しており、政府のクラウドサービス利用に最適化されています。
したがって、選択肢の中で「日本セキュリティ監査協会“クラウド情報セキュリティ管理基準(平成28年度版)”」であるエが正解です。

よくある誤解

FIPS 140-3やISO/IEC 27018は国際的な暗号や個人情報保護の基準ですが、ISMAPの基礎としては使われていません。日本独自のクラウドセキュリティ管理基準がベースです。

解法ステップ

ISMAPの目的と対象を理解する（政府のクラウド利用に関するセキュリティ評価制度）。
ISMAP管理基準の基礎となる文書を確認する。
選択肢の内容を整理し、国際規格か日本独自基準かを区別する。
日本のクラウド情報セキュリティ管理基準がISMAPの基礎であることを選択肢から選ぶ。

選択肢別の誤答解説

ア: FIPS 140-3は暗号モジュールのセキュリティ要求事項であり、ISMAPの基礎ではありません。
イ: ISO/IEC 27018はクラウドにおける個人情報保護の国際規格で、ISMAPの基礎とは異なります。
ウ: JIS Q 15001は個人情報保護マネジメントシステムの規格であり、クラウドセキュリティ管理基準ではありません。
エ: 日本セキュリティ監査協会“クラウド情報セキュリティ管理基準(平成28年度版)”はISMAPの基礎であり正解です。

補足コラム

ISMAPは政府がクラウドサービスを安全に利用するための評価制度で、クラウドサービス事業者のセキュリティ対策を評価・認定します。平成28年度版のクラウド情報セキュリティ管理基準は、日本のクラウド環境に特化した管理策を示し、ISMAPの評価基準として活用されています。これにより、政府機関は安心してクラウドサービスを利用可能となります。

FAQ

Q: ISMAPはどのようなクラウドサービスに適用されますか？
A: 政府情報システムが利用するクラウドサービス全般に適用され、セキュリティ評価を通じて安全性を確保します。

Q: ISO/IEC 27001とISMAPの違いは何ですか？
A: ISO/IEC 27001は情報セキュリティマネジメントシステムの国際規格で、ISMAPは政府クラウド利用に特化した日本独自の評価制度です。

関連キーワード: ISMAP, クラウド情報セキュリティ管理基準、政府クラウド、セキュリティ評価制度、日本セキュリティ監査協会

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！