CASB|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問11

出典:令和3年春期 午前Ⅱ 問11 分野:セキュリティ / 情報セキュリティ対策
セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
  • ア:クラウドサービスプロバイダが,運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。
  • イ:クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。
  • ウ:クラウドサービス利用組織の管理者が,組織で利用しているクラウドサービスに対して脆弱性診断を行うことによって,脆弱性を特定できる。
  • エ:クラウドサービス利用組織の管理者が,組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。
解説

CASBは、Cloud Access Security Brokerの略で、利用者組織とクラウドサービスの間に位置し、クラウドサービスの利用状況を可視化したり、制御したりするための仕組みです。

CASB

CASBを利用すると、組織の利用者がどのクラウドサービスを使っているかを把握しやすくなります。そのため、管理者の許可を得ずに利用されているクラウドサービス、いわゆるシャドーITの発見に役立ちます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:クラウドサービスプロバイダが,運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。
⇒DDoS攻撃対策に関する説明です。クラウドサービスの可用性を守る対策としては重要ですが、CASBの主な効果であるクラウド利用状況の可視化や制御を説明したものではありません。
イ:クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。
⇒物理的セキュリティ対策の説明です。データセンターや施設への不正侵入を防ぐ対策であり、利用者組織がクラウドサービスの利用状況を把握するCASBの説明ではありません。
ウ:クラウドサービス利用組織の管理者が,組織で利用しているクラウドサービスに対して脆弱性診断を行うことによって,脆弱性を特定できる。
⇒脆弱性診断の説明です。クラウドサービスの弱点を調査する活動であり、CASBによるクラウド利用の可視化、アクセス制御、情報漏えい対策などとは観点が異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

CASBは、クラウドサービス利用組織の管理者が、組織内で利用されているクラウドサービスを可視化・制御するための仕組みです。効果として、許可を得ずに利用されているクラウドサービスや利用者を特定できる点があります。

迷ったときの判断軸

DDoS対策や施設の入退室管理は、主にクラウドサービスプロバイダ側の対策です。また、脆弱性診断はCASBの中心的な役割ではありません。CASBは、クラウド利用状況の可視化、制御、監視によって、シャドーITの発見や情報漏えい対策に役立つものと判断しましょう。

科目Bにつなげるために

科目Bでは、従業員が個人判断で外部クラウドサービスを使い、機密情報を保存・共有してしまうリスクが問われることがあります。CASBは、誰がどのクラウドサービスを使っているかを把握し、組織のポリシーに沿って制御するための対策として整理しておきましょう。