Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2 その4

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d05l-att/2020r02o_sc_pm2_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[要件6への対応]
 要件6への対応として、ノートPC、スマホ及び各 クラウドサービスで認証ログ、操作ログの記録を有効化することにした。また、各クラウドサービスにおいて記録した認証ログ、操作ログを取り出すためのWeb APIが用意されていたので、統合 ログ管理サーバにログを取り込み、ログ監視を一元的に行うことにした。

 要件1〜6に対応したT環境のネットワーク構成を図4に示す。

[クラウドサービス固有の課題]
 T環境で利用するクラウドサービスに脆弱性があれば、それを悪用する攻撃によって、E社のセキュリティが侵害されるおそれがある。そこで、各クラウドサービスプロバイダ(以下、CSPという)に、脆弱性対策の状況についてのヒアリング及びサービスの基盤についての脆弱性検査を実施させてもらえないか確認した。そうしたところ、各CSPともヒアリングには対応するが、利用者による脆弱性検査は、サービス提供に影響を及ぼすおそれがあるので許可していないとの回答だった。そこでF次長は、脆弱性検査を⑥別の方法ヒアリングで代替することにした。

下線⑥について、どのような方法か。35字以内で述べよ

第3社機関のレポートで確認する方法がある

情報処理推進機構IPA)で公開されている「中小企業のためのクラウドサービス安全利用の手引き」には、「クラウドサービス選択時に参考となる制度等」として以下があげられている。

 

 

 

div #breadcrumb div{ display: inline;font-size:13px;}