応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問63: 企業の業務システムを，自社のコンピュータでの運用からクラウドサービスの利用に切り替えるときの留意点はどれか。

問題本文

企業の業務システムを，自社のコンピュータでの運用からクラウドサービスの利用に切り替えるときの留意点はどれか。

選択肢

• ア.企業が管理する顧客情報や従業員の個人情報を取り扱うシステム機能は，リスクを検討するまでもなく，クラウドサービスの対象外とする。
• イ.企業の情報セキュリティポリシやセキュリティ関連の社内規則と，クラウドサービスで提供される管理レベルとの不一致の存在を確認する。
• ウ.クラウドサービスの利用開始に備え，自社で保有しているサーバの機能強化や記憶域の増加を実施する。
• エ.事業継続計画は自社の資産の範囲で実施することを優先し，クラウドサービスを利用する範囲から除外する。

正解

イ. 企業の情報セキュリティポリシやセキュリティ関連の社内規則と，クラウドサービスで提供される管理レベルとの不一致の存在を確認する。

解説

オンプレミスからクラウドサービスへ移行する際の適切な留意点を問う問題である。クラウドサービスでは、管理の一部を外部の事業者に委ねることになるため、自社の情報セキュリティポリシや社内規則が求める管理レベルと、クラウドサービスが提供する管理レベルとの間に不一致がないかを事前に確認する必要がある。これがイであり正解となる。他の選択肢は、リスク検討を省く・自社サーバを増強する・BCPからクラウドを除外するなど、クラウド移行の趣旨や適切な手順に反する。

選択肢ごとの解説

• ア.誤り。個人情報を扱う機能でも、リスクを検討した上で対策を講じればクラウドで扱える場合があり、検討せずに一律で対象外とするのは適切でない。
• イ.正しい。自社のセキュリティポリシ・社内規則とクラウドサービスの管理レベルとの不一致を確認することは、移行時に欠かせない留意点である。
• ウ.誤り。クラウドサービスはサーバなどの資源を事業者側が提供するため、利用開始のために自社サーバを機能強化・記憶域増加する必要はなく、むしろ自社設備を減らせる。
• エ.誤り。クラウドサービスは地理的に分散した堅牢な基盤を活用でき、事業継続計画(BCP)においてむしろ有効に使える場合があり、最初から除外するのは適切でない。