情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問10: JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマの責任
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ
JIS X 9401:2016(情報技術--概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマの責任者が表中の項番 1 と 2 の責務を負い,クラウドサービスプロバイダが項番 3〜5 の責務を負うものはどれか。
| 項番 | 責務 |
|---|
| 1 | アプリケーションに対して,データのアクセス制御と暗号化の設定を行う。 |
| 2 | アプリケーションに対して,セキュアプログラミングと脆弱性診断を行う。 |
| 3 | DBMS に対して,修正プログラム適用と権限設定を行う。 |
| 4 | OS に対して,修正プログラム適用と権限設定を行う。 |
| 5 | ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。 |
問題本文
JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマの責任者が表中の項番 1 と 2 の責務を負い,クラウドサービスプロバイダが項番 3〜5 の責務を負うものはどれか。
解説
クラウドの責任分界はモデルで変わる。表ではアプリのデータ保護やセキュアプログラミングをカスタマが担い、DBMS・OS・ハードウェアをプロバイダが担う。これはプラットフォーム(実行基盤)までを事業者が提供し、利用者がアプリを開発・運用するPaaSの分担に一致する。ウが正解。実務では採用モデルごとに自社が守るべき範囲を正しく見極めることが設定不備事故の防止に直結する。
選択肢ごとの解説
- ア.HaaSはハードウェア提供を指す古い呼称で、JIS X 9401の標準的なクラウドサービス区分の用語ではないので誤り。
- イ.IaaSではOSやミドルウェアも利用者責任となるが、表ではOS・DBMSが事業者責任のためIaaSとは合致せず誤り。
- ウ.アプリは利用者、OS・DBMS・ハードは事業者という分担はPaaSの責任分界に一致し、これが正解。
- エ.SaaSではアプリも事業者が提供し利用者責任は最小だが、表ではアプリを利用者が担うためSaaSではなく誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ の過去問一覧へ戻る・問10