情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ 問15: クラウドのサービスモデルをNISTの定義に従ってIaaS，PaaS，SaaSに分類したとき，パブリッククラウドサービスの利用企業が行うシステム管理作業において，

問題本文

クラウドのサービスモデルをNISTの定義に従ってIaaS，PaaS，SaaSに分類したとき，パブリッククラウドサービスの利用企業が行うシステム管理作業において，PaaSとSaaSでは実施できないが，IaaSでは実施できるものはどれか。

選択肢

• ア.アプリケーションの利用者ID管理
• イ.アプリケーションログの取得と分析
• ウ.仮想サーバのゲストOSに係るセキュリティの設定
• エ.ハイパバイザに係るセキュリティの設定

正解

ウ. 仮想サーバのゲストOSに係るセキュリティの設定

解説

クラウドの責任共有は階層で異なり、利用者の管理範囲はIaaSPaaSSaaSの順に広い。ゲストOSは、IaaSでは利用者が管理するがPaaS/SaaSでは事業者が管理するため、IaaSでのみ利用者が設定できる。ウが正解。アプリのID管理やログは各モデルで利用者が扱え、ハイパバイザは全モデルで事業者管理。責任分界点の理解はクラウドのセキュリティ設計で必須。

選択肢ごとの解説

• ア.アプリの利用者ID管理はSaaS含め利用者が行え、IaaS固有でなく誤り。
• イ.アプリログの取得・分析も各モデルで利用者が実施でき、IaaS限定でなく誤り。
• ウ.ゲストOSのセキュリティ設定はIaaSのみ利用者が担う範囲で正解。
• エ.ハイパバイザは全モデルで事業者が管理し利用者は触れず誤り。