情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ 問3: 経済産業省が公表した“クラウドサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的について述べたものはどれか。

問題本文

経済産業省が公表した“クラウドサービス利用のための情報セキュリティマネジメントガイドライン”が策定された目的について述べたものはどれか。

選択肢

• ア.JIS Q 27002 の管理策を補完し，クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
• イ.クラウドサービス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
• ウ.クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。
• エ.セキュリティリスクの懸念が少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。

正解

ア. JIS Q 27002 の管理策を補完し，クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。

解説

経済産業省のクラウド向けガイドラインは、ISMSの管理策規格JIS Q 27002を土台に、クラウド利用者がクラウド特有のリスクへ対策を講じやすいよう補完する目的で策定された。よって管理策を補完し利用者の対策を円滑にするアが正解。実務ではクラウド導入時のリスク評価や責任分界点の整理に役立つ。

選択肢ごとの解説

• ア.JIS Q 27002を補完し利用者がクラウド特有の対策を行いやすくするのが目的で正しい。
• イ.事業者への監査手法の提示が主目的ではなく、利用者の対策支援が狙いなので誤り。
• ウ.事業者視点ではなく利用者視点でリスクと対策を示すガイドラインなので誤り。
• エ.事業者を選別するための格付け基準を提供することが目的ではないので誤り。