https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d05l-att/2020r02o_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[要件6への対応]
要件6への対応として、ノートPC、スマホ及び各 クラウドサービスで認証ログ、操作ログの記録を有効化することにした。また、各クラウドサービスにおいて記録した認証ログ、操作ログを取り出すためのWeb APIが用意されていたので、統合 ログ管理サーバにログを取り込み、ログ監視を一元的に行うことにした。
要件1〜6に対応したT環境のネットワーク構成を図4に示す。
[クラウドサービス固有の課題]
T環境で利用するクラウドサービスに脆弱性があれば、それを悪用する攻撃によって、E社のセキュリティが侵害されるおそれがある。そこで、各クラウドサービスプロバイダ(以下、CSPという)に、脆弱性対策の状況についてのヒアリング及びサービスの基盤についての脆弱性検査を実施させてもらえないか確認した。そうしたところ、各CSPともヒアリングには対応するが、利用者による脆弱性検査は、サービス提供に影響を及ぼすおそれがあるので許可していないとの回答だった。そこでF次長は、脆弱性検査を⑥別の方法とヒアリングで代替することにした。
下線⑥について、どのような方法か。35字以内で述べよ
第3社機関のレポートで確認する方法がある
情報処理推進機構(IPA)で公開されている「中小企業のためのクラウドサービス安全利用の手引き」には、「クラウドサービス選択時に参考となる制度等」として以下があげられている。
- ISMSクラウドセキュリティ認証(一般社団法人情報マネジメントシステム認証センター)
- クラウド情報セキュリティ監査制度(特定非営利活動法人日本セキュリティ監査協会)
- ASP・SaaS情報開示認定制度(特定非営利活動法人日本ASP・SaaS・IoTクラウドコンソーシアム)