情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ 問10: セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
←情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ
セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
問題本文
セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
選択肢
- ア.クラウドサービスプロバイダが,運用しているクラウドサービスに対して,CASB を利用して DDoS 攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。
- イ.クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して,CASB を利用して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。
- ウ.クラウドサービス利用組織の管理者が,従業員が利用しているクラウドサービスに対して,CASB を利用して脆弱性診断を行うことによって,脆弱性を特定できる。
- エ.クラウドサービス利用組織の管理者が,従業員が利用しているクラウドサービスに対して,CASB を利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。
正解
エ. クラウドサービス利用組織の管理者が,従業員が利用しているクラウドサービスに対して,CASB を利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。
解説
CASB(キャスビー)は、利用組織と複数クラウドサービスの間に立ち、利用状況の可視化・データ保護・脅威防御・コンプライアンス遵守を統制する仕組み。特に従業員が無断で使うシャドーITの利用状況を可視化し、許可なくサービスを使っている者を特定できる。利用組織側の可視化を述べたエが正解。実務ではシャドーIT対策とクラウド利用ポリシー徹底の要となる。
選択肢ごとの解説
- ア.CASBは利用組織側の統制ツールで、プロバイダ側のDDoS対策を行うものではないため誤り。
- イ.施設の入退室管理は物理セキュリティの話で、CASBが担う領域ではないため誤り。
- ウ.CASBの主機能は脆弱性診断ではなく利用状況の可視化や制御であり、説明として不適切。
- エ.従業員のクラウド利用を可視化しシャドーIT利用者を特定でき、CASBの効果そのもので正解。
情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ の過去問一覧へ戻る・問10