情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅰ 問21: クラウドサービスの導入検討プロセスに対するシステム監査において，クラウドサービス上に保存されている情報の消失の予防に関するチェックポイントとして，最も適切なもの

問題本文

クラウドサービスの導入検討プロセスに対するシステム監査において，クラウドサービス上に保存されている情報の消失の予防に関するチェックポイントとして，最も適切なものはどれか。

選択肢

• ア.既存の社内情報システムとの ID の一元管理の可否が検討されているか。
• イ.クラウドサービスの障害時における最大許容停止時間が検討されているか。
• ウ.クラウドサービスを提供する事業者に信頼が置け，かつ，事業やサービスが継続して提供されるかどうかが検討されているか。
• エ.クラウドサービスを提供する事業者の施設内のネットワークに，暗号化通信が採用されているかどうかが検討されているか。

正解

ウ. クラウドサービスを提供する事業者に信頼が置け，かつ，事業やサービスが継続して提供されるかどうかが検討されているか。

解説

クラウド上の情報「消失の予防」では、事業者の信頼性とサービスの継続提供性が最重要。事業者が破綻・撤退すればデータごと失われ得るため、これを検討しているかを確認するウが正解。アはID管理(利便性)、イは可用性(停止時間)、エは通信の機密性に関する観点で、消失予防の主眼とはずれる。預けたデータの可搬性や事業継続性の確認が実務上のリスク低減につながる。

選択肢ごとの解説

• ア.ID一元管理の可否は利便性・運用の観点で、データ消失の予防とは直接結びつかず誤り。
• イ.最大許容停止時間は可用性の観点であり、情報の消失予防そのものではなく誤り。
• ウ.事業者の信頼性とサービス継続性の検討は、撤退・破綻によるデータ消失を防ぐ観点で正しい。
• エ.施設内通信の暗号化は機密性の観点であり、消失の予防という主眼とは異なり誤り。