情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ 問9: IT 製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比
←情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ
IT 製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比較を可能にするための規格はどれか。
問題本文
IT 製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比較を可能にするための規格はどれか。
選択肢
- ア.ISO/IEC 15408
- イ.ISO/IEC 27002
- ウ.ISO/IEC 27017
- エ.ISO/IEC 30147
解説
ISO/IEC 15408はコモンクライテリア(CC)と呼ばれるIT製品・システムのセキュリティ評価基準で、評価結果を共通の尺度(セキュリティ機能要件とEAL)で表すことにより、調達者が必要なレベルを満たすか判断でき、独立した評価結果同士を比較できる。設問の目的に合致するアが正解。実務では政府調達などでCC認証取得製品が要件となることがある。
選択肢ごとの解説
- ア.コモンクライテリアとして製品のセキュリティ評価結果を共通尺度で比較可能にする規格で正解。
- イ.ISO/IEC 27002は情報セキュリティ管理策の実践規範で、製品評価結果の比較規格ではない。
- ウ.ISO/IEC 27017はクラウドサービスのセキュリティ管理策のガイドラインで設問の目的とは異なる。
- エ.ISO/IEC 30147はIoTのセキュリティ・プライバシーに関する規格で、製品評価の比較規格ではない。
情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ の過去問一覧へ戻る・問9