【情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2 No.4】

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2

【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2(一部、加工あり)】

[要件6への対応]
 要件6への対応として、ノートPC、スマホ及び各クラウドサービスで認証ログ、操作ログの記録を有効化することにした。また、各クラウドサービスにおいて記録した認証ログ、操作ログを取り出すためのWeb APIが用意されていたので、統合ログ管理サーバにログを取り込み、ログ監視を一元的に行うことにした。

 要件1〜6に対応したT環境のネットワーク構成を図4に示す。

[クラウドサービス固有の課題]
 T環境で利用するクラウドサービスに脆弱性があれば、それを悪用する攻撃によって、E社のセキュリティが侵害されるおそれがある。そこで、各クラウドサービスプロバイダ(以下、CSPという)に、脆弱性対策の状況についてのヒアリング及びサービスの基盤についての脆弱性検査を実施させてもらえないか確認した。そうしたところ、各CSPともヒアリングには対応するが、利用者による脆弱性検査は、サービス提供に影響を及ぼすおそれがあるので許可していないとの回答だった。そこでF次長は、脆弱性検査を⑥別の方法とヒアリングで代替することにした。

下線⑥について、どのような方法か。35字以内で述べよ。:セキュリティ対策についての第三者による監査報告書で確認するという方法

 「そこでF次長は、脆弱性検査を⑥別の方法とヒアリングで代替することにした。
 問題文にあるように、一般的にクラウドサービスに対して利用者が脆弱性検査を実施することはできません。
 そこで、クラウドサービス選択の参考となる情報として、データ保護やセキュリティ対策が適切に導入、実施されているかを示す各種情報機関の監査報告書を利用することができます。
 情報処理推進機構(IPA)で公開されている「中小企業のためのクラウドサービス安全利用の手引き」には、「クラウドサービス選択時に参考となる制度等」として以下が挙げられています。