情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問8: 政府情報システムのためのセキュリティ評価制度に用いられる“ISMAP 管理基準”が基礎としているものはどれか。

問題本文

政府情報システムのためのセキュリティ評価制度に用いられる“ISMAP 管理基準”が基礎としているものはどれか。

選択肢

• ア.FIPS 140-3（暗号モジュールのセキュリティ要求事項）
• イ.ISO/IEC 27018:2019（個人識別情報（PII）プロセッサとして作動するパブリッククラウドにおける PII の保護のための実施基準）
• ウ.JIS Q 15001:2017（個人情報保護マネジメントシステム－要求事項）
• エ.日本セキュリティ監査協会“クラウド情報セキュリティ管理基準（平成 28 年度版）”

正解

エ. 日本セキュリティ監査協会“クラウド情報セキュリティ管理基準（平成 28 年度版）”

解説

ISMAPは政府が利用するクラウドサービスを事前評価・登録する制度で、ISMAP管理基準は事業者が満たすべき管理策をまとめたもの。その基礎は日本セキュリティ監査協会のクラウド情報セキュリティ管理基準(平成28年度版)であり、ISO/IEC 27001/27002や27017を取り込んでいる。エが正解。実務では政府調達でISMAP登録サービスから選定することが求められ、評価負担の軽減につながる。

選択肢ごとの解説

• ア.FIPS 140-3は暗号モジュールの要求事項でISMAP管理基準の基礎ではなく誤り。
• イ.ISO/IEC 27018はクラウドのPII保護規格で関連はあるが管理基準の基礎ではなく誤り。
• ウ.JIS Q 15001は個人情報保護マネジメントの要求事項でISMAPの基礎ではなく誤り。
• エ.JASAのクラウド情報セキュリティ管理基準を基礎とする点が制度の説明どおりで正しい。