サイトアイコン やさしいネットワークとセキュリティ

【情報処理安全確保支援士試験 令和3年度 春期 午後2 問2 No.5】

情報処理安全確保支援士試験 令和3年度 春期 午後2 問2

【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問2(一部、加工あり)】

[要件6及び7の検討]
要件6については、C社では、SaaSを契約するに当たって、⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか、SaaS事業者が自ら発行するホワイトペーパを確認することにした。
要件7については、SaaSで重要な情報を扱う場合、当該SaaSで利用可能ならば表3中の番号(d)の機能を利用する。それによって、サービスNを経由しない不正アクセスによるSaaSからの情報漏えいを防ぐことで、要件7に対応することにした。

下線⑦について、規格又は認証の例を20字以内で答えよ。:ISAE3402/SSAE16、ISMS認証

要件6については、C社では、SaaSを契約するに当たって、⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか、SaaS事業者が自ら発行するホワイトペーパを確認することにした。
要件6「業務で利用するSaaSは、その安全性を総務Gが判断した上で契約する。」に対する安全性の判断基準として、第三者によるセキュリティ規格準拠の認証を挙げるものです。
SaaS事業者のセキュリティ規格認証としては、以下のようなものがあります。

d:4

要件7については、SaaSで重要な情報を扱う場合、当該SaaSで利用可能ならば表3中の番号(d)の機能を利用する。
要件7「業務で利用するSaaSからの情報漏えいを防ぐための技術的対策を導入する。」に対して、表3(サービスNの機能(抜粋))の番号1「利用者IDによるフィルタリング機能」や番号4「保管時の自動暗号化機能」の機能が有効かと思われます。
これに続く説明で、「それによって、サービスNを経由しない不正アクセスによるSaaSからの情報漏えいを防ぐことで、要件7に対応することにした。」とあることから、保管した情報自体の暗号化を行う番号4「保管時の自動暗号化機能」の機能によって情報漏えいを防ぐことができると考えられます。

モバイルバージョンを終了