情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ 問14: NISTの定義によるクラウドサービスモデルのうち,クラウド利用企業の責任者がセキュリティ対策に関して表中の項番1と2の責務を負うが,項番3〜5の責務を負わないも
←情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ
NISTの定義によるクラウドサービスモデルのうち,クラウド利用企業の責任者がセキュリティ対策に関して表中の項番1と2の責務を負うが,項番3〜5の責務を負わないものはどれか。
| 項番 | 責務 |
|---|
| 1 | アプリケーションに対して,データのアクセス制御と暗号化の設定を行う。 |
| 2 | アプリケーションに対して,セキュアプログラミングと脆弱性診断を行う。 |
| 3 | DBMSに対して,修正プログラム適用と権限設定を行う。 |
| 4 | OSに対して,修正プログラム適用と権限設定を行う。 |
| 5 | ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。 |
問題本文
NISTの定義によるクラウドサービスモデルのうち,クラウド利用企業の責任者がセキュリティ対策に関して表中の項番1と2の責務を負うが,項番3〜5の責務を負わないものはどれか。
解説
クラウドの責任共有モデルでは、利用者の責任範囲はサービス形態で異なる。アプリ層(データのアクセス制御・暗号化、セキュアプログラミング)のみ利用者が負い、DBMS・OS・ハードウェアは事業者が担うのはPaaS。ウが正しい。IaaSはOS以上、SaaSはほぼ事業者管理となる。どの層まで自社が守るのかを正しく線引きすることが、クラウド利用時のセキュリティ設計の出発点となる。
選択肢ごとの解説
- ア.HaaSはハードウェア提供であり、OSやミドルウェアまで利用者責任となるため項番3〜5を負わない条件に合わず誤り。
- イ.IaaSはOS・ミドルウェアの管理も利用者が担い、項番3・4の責務を負うため条件に合わず誤り。
- ウ.PaaSはアプリ層のみ利用者責任で、DBMS・OS・ハードウェアは事業者が担い、項番1・2のみ負う条件に合致し正しい。
- エ.SaaSはアプリ運用も事業者側で、利用者の責務はさらに狭くなり項番1・2を負う本問の条件に合わず誤り。
情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ の過去問一覧へ戻る・問14