JIS X 9401:2016|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問12
出典:令和4年春期 午前Ⅱ 問12
分野:セキュリティ / 情報セキュリティ対策
JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマが表中の項番1と2の責務を負い,クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。
| 項番 | 責務 |
| 1 | アプリケーションソフトウェアに対して,データ利用時のアクセス制御と暗号化の設定を行なう。 |
| 2 | アプリケーションソフトウェアに対して,セキュアプログラミングとソースコードの脆弱性診断を行なう。 |
| 3 | DBMSに対して,修正プログラム適用と権限設定を行なう。 |
| 4 | OSに対して,修正プログラム適用と権限設定を行なう。 |
| 5 | ハードウェアに対して,アクセス制御と物理セキュリティ確保を行う。 |
- ア:HaaS
- イ:IaaS
- ウ:PaaS
- エ:SaaS
TSUNAGARU-ADVICE
まず押さえたいこと
PaaSでは、クラウドサービスカスタマがアプリケーションを開発・運用し、クラウドサービスプロバイダがOS・DBMS・ハードウェアなどの基盤を提供・管理します。したがって、アプリケーションは利用者側、基盤部分は提供者側の責務になります。
迷ったときの判断軸
SaaSではアプリケーションまで提供者側、IaaSではOSやミドルウェアも利用者側が管理することが多くなります。今回の表では、カスタマがアプリケーションのアクセス制御やセキュアプログラミングを担当し、プロバイダがDBMS、OS、ハードウェアを担当しているため、PaaSの責任分界と判断できます。
科目Bにつなげるために
科目Bでは、クラウドサービスの区分ごとに、どの層を誰が管理するのかを読み取る問題が出ることがあります。SaaS・PaaS・IaaSを比較するときは、アプリケーション・ミドルウェア、OS・ハードウェアの責任分界点に注目しましょう。
JIS X 9401:2016では、クラウドサービスの提供形態として、SaaS・PaaS・IaaSが定義されています。
違いは、「利用者がどこまで自分で管理するか」です。SaaSは完成したアプリを使う形、PaaSはアプリを動かすための土台を使う形、IaaSはサーバやストレージなどの基盤を使う形です。
SaaSは、利用者がアプリケーションを開発したり、サーバを管理したりする必要が少ない形態です。提供されたサービスをそのまま利用します。
PaaSは、アプリケーションを作成・配置・実行するための環境を利用する形態です。利用者はアプリケーションの開発や管理を行いますが、OSや実行基盤の多くはクラウド事業者が用意します。
IaaSは、仮想サーバやストレージなどのインフラ部分を利用する形態です。利用者は、その上にOSやミドルウェア、アプリケーションを構築して使います。
なお、HaaSはHardware as a Serviceの略で、IaaSに近い意味で使われることがあります。ただし、JIS X 9401:2016では定義されていません。
つまり、SaaSは「完成したアプリを使う」、PaaSは「アプリを動かす土台を使う」、IaaSは「サーバなどの基盤を使う」と考えると分かりやすいです。
表では、クラウドサービスカスタマがアプリケーションソフトウェアに関するアクセス制御・暗号化設定・セキュアプログラミング、脆弱性診断を担当しています。一方で、DBMS・OS・ハードウェアはクラウドサービスプロバイダが担当しています。
これは、アプリケーションは利用者側が開発・管理し、その実行基盤であるDBMSやOSなどは提供者側が管理するPaaSの責任分担に該当します。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:HaaS
⇒HaaSは、ハードウェア資源をサービスとして提供する考え方です。少なくともOSやDBMS、アプリケーションの管理は利用者側に寄るため、表のようにDBMSやOSまでプロバイダが担当する責任分担とは合いません。
イ:IaaS
⇒IaaSでは、クラウドサービスプロバイダは主にハードウェア、仮想化基盤、ネットワークなどを提供し、OSやミドルウェア、アプリケーションはカスタマ側が管理します。表ではOSやDBMSもプロバイダ側の責務になっているため、IaaSではありません。
エ:SaaS
⇒SaaSでは、アプリケーションソフトウェア自体もプロバイダが提供・管理するのが基本です。表ではアプリケーションソフトウェアのセキュアプログラミングや脆弱性診断をカスタマが行うため、SaaSの責任分担とは異なります。