情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅰ 問21: クラウドサービスの導入検討プロセスに対するシステム監査において，クラウドサービス上に保存されている情報の消失の予防に関するチェックポイントとして，適切なものはど

問題本文

クラウドサービスの導入検討プロセスに対するシステム監査において，クラウドサービス上に保存されている情報の消失の予防に関するチェックポイントとして，適切なものはどれか。

選択肢

• ア.既存の社内情報システムとのIDの一元管理の可否が検討されているか。
• イ.クラウドサービスの障害時における最大許容停止時間が検討されているか。
• ウ.クラウドサービスを提供する事業者に信頼が置け，かつ，事業やサービスが継続して提供されるかどうかが検討されているか。
• エ.クラウドサービスを提供する事業者の施設内のネットワークに，暗号化通信が採用されているかどうかが検討されているか。

正解

ウ. クラウドサービスを提供する事業者に信頼が置け，かつ，事業やサービスが継続して提供されるかどうかが検討されているか。

解説

情報の消失予防という観点では、データを預けるクラウド事業者自体の信頼性と、事業・サービスが継続的に提供されるかが要点。事業者の破綻や撤退はデータ消失に直結するため、これが検討されているかを確認する。ウが正解。ID一元管理は利便性、最大許容停止時間は可用性、施設内暗号化は機密性に関わり、消失予防の直接の論点ではない。監査では目的に沿った着眼点が重要。

選択肢ごとの解説

• ア.IDの一元管理は利便性・認証の論点で、消失予防とは異なり誤り。
• イ.最大許容停止時間は可用性の指標で、データ消失予防とは別で誤り。
• ウ.事業者の信頼性と事業・サービス継続性は消失予防の核心で正解。
• エ.施設内の暗号化通信は機密性の論点で、消失予防とは異なり誤り。