情報処理安全確保支援士試験 令和3年度 春期 午後2 問2
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問2(一部、加工あり)】
[要件6及び7の検討]
要件6については、C社では、SaaSを契約するに当たって、⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか、SaaS事業者が自ら発行するホワイトペーパを確認することにした。
要件7については、SaaSで重要な情報を扱う場合、当該SaaSで利用可能ならば表3中の番号(d)の機能を利用する。それによって、サービスNを経由しない不正アクセスによるSaaSからの情報漏えいを防ぐことで、要件7に対応することにした。
下線⑦について、規格又は認証の例を20字以内で答えよ。:ISAE3402/SSAE16、ISMS認証
「要件6については、C社では、SaaSを契約するに当たって、⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか、SaaS事業者が自ら発行するホワイトペーパを確認することにした。」
要件6「業務で利用するSaaSは、その安全性を総務Gが判断した上で契約する。」に対する安全性の判断基準として、第三者によるセキュリティ規格準拠の認証を挙げるものです。
SaaS事業者のセキュリティ規格認証としては、以下のようなものがあります。
- ISAE3402
サービスを提供する受託会社の内部統制の有効性を証明する国際基準。
各国会計士による保証業務で、2009年12月に国際会計士連盟(IFAC)によって制定。 - SSAE16
「ISAE3402」に準拠した米国公認会計士協会(AICPA)の基準。(2010年4月制定) - ISMSクラウドセキュリティ認証
ISMS(JIS Q 27001)認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が適切に導入、実施されていることを認証。
d:4
「要件7については、SaaSで重要な情報を扱う場合、当該SaaSで利用可能ならば表3中の番号(d)の機能を利用する。」
要件7「業務で利用するSaaSからの情報漏えいを防ぐための技術的対策を導入する。」に対して、表3(サービスNの機能(抜粋))の番号1「利用者IDによるフィルタリング機能」や番号4「保管時の自動暗号化機能」の機能が有効かと思われます。
これに続く説明で、「それによって、サービスNを経由しない不正アクセスによるSaaSからの情報漏えいを防ぐことで、要件7に対応することにした。」とあることから、保管した情報自体の暗号化を行う番号4「保管時の自動暗号化機能」の機能によって情報漏えいを防ぐことができると考えられます。