クラウドサービス上の情報の保全及び消失の予防|情報処理安全確保支援士試験 令和3年 秋期午前Ⅱ試験 問25
出典:令和3年秋期 午前Ⅱ 問25
分野:システム監査(中分類) / システム監査(小分類)
クラウドサービスの導入検討プロセスに対するシステム監査において,クラウドサービス上に保存されている情報の保全及び消失の予防に関するチェックポイントとして,最も適切なものはどれか。
- ア:クラウドサービスの障害時における最大許容停止時間が検討されているか。
- イ:クラウドサービスの利用者IDと既存の社内情報システムの利用者IDの一元管理の可否が検討されているか。
- ウ:クラウドサービスを提供する事業者が信頼できるか,事業者の事業継続性に懸念がないか,及びサービスが継続して提供されるかどうかが検討されているか。
- エ:クラウドサービスを提供する事業者の施設内のネットワークに,暗号化通信が採用されているかどうかが検討されているか。
TSUNAGARU-ADVICE
まず押さえたいこと
クラウドサービス上に保存されている情報の保全や消失の予防では、データを預ける相手であるクラウド事業者が信頼できるか、事業継続性に問題がないか、サービスを継続して提供できるかを確認することが重要です。つまり、事業者の信頼性と継続性がチェックポイントになります。
迷ったときの判断軸
最大許容停止時間は可用性や業務継続の観点、利用者IDの一元管理は認証・アクセス管理の観点、事業者施設内ネットワークの暗号化は通信保護の観点です。情報の保全や消失予防という文脈では、データを預けるクラウド事業者が継続してサービスを提供できるかを見ると判断しやすくなります。
科目Bにつなげるために
科目Bでは、クラウド利用時のリスクを、可用性・機密性・完全性・事業継続・責任分界などに分けて考える問題が出ることがあります。保存データの消失を防ぐ観点では、バックアップだけでなく、クラウド事業者の信頼性・継続性・サービス提供能力も確認対象になると整理しておきましょう。
クラウドサービス上に保存されている情報の保全及び消失の予防を確認するには、サービス提供者が信頼できるか、事業を継続できるか、サービスが継続して提供されるかを検討しているかが重要です。
クラウド上の情報は、利用者企業の手元ではなく、クラウドサービス提供事業者の管理する環境に保存されます。そのため、事業者の信頼性や事業継続性に問題があると、保存データの保全やサービス継続に影響する可能性があります。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:クラウドサービスの障害時における最大許容停止時間が検討されているか。
⇒最大許容停止時間は、サービス停止時に業務がどれだけ止まってよいかを検討する観点です。可用性や業務継続の観点としては重要ですが、クラウド上に保存されている情報そのものの保全や消失予防に最も直接関係するチェックポイントではありません。
イ:クラウドサービスの利用者IDと既存の社内情報システムの利用者IDの一元管理の可否が検討されているか。
⇒IDの一元管理は、認証・アクセス管理の効率化や権限管理に関する観点です。不正利用の抑止には関係しますが、保存情報の保全や消失の予防に関するチェックポイントとしては、事業者の信頼性や事業継続性の確認の方が適切です。
エ:クラウドサービスを提供する事業者の施設内のネットワークに,暗号化通信が採用されているかどうかが検討されているか。
⇒暗号化通信は、通信経路上の盗聴や改ざんへの対策です。情報漏えい対策としては重要ですが、保存されている情報の保全や消失予防、及びサービス継続性の確認という観点では、事業者の信頼性や継続性の確認がより適切です。