令和5年度 ITパスポート試験 公開問題 問56 解説 ISMSクラウドセキュリティ認証

この問題は、ISMSクラウドセキュリティ認証の定義を正しく理解しているかを問うものです。クラウドサービスは通常のシステム運用とは異なる特有のリスクを持つため、国際規格であるISO/IEC 27017に基づいて、その管理策が適切に行われているかを第三者機関が審査する仕組みです。

正解となる選択肢イが示す通り、この認証の最大の目的は、クラウドサービス特有のセキュリティ課題に対応した管理策を適切に実施していることを証明することにあります。

その他の選択肢が誤りである理由は以下の通りです。

アについて ISMSクラウドセキュリティ認証は、IaaS、PaaS、SaaSのすべての形態が対象です。クラウドサービスであればモデルを問わず認証の対象となり得ます。

ウについて この認証は、クラウドサービスを提供する組織（プロバイダ）だけでなく、クラウドサービスを利用する組織（カスタマ）も対象となります。クラウドサービスを利用する側も、自社で構築したクラウド環境の設定や運用が安全であることを対外的に証明したいというニーズがあるためです。

エについて これはプライバシーマーク制度の説明です。ISMSクラウドセキュリティ認証はあくまで情報セキュリティマネジメントシステム（ISO/IEC 27001をベースとしたクラウド特有の管理策）に関する認証であり、個人情報の取り扱いに特化したプライバシーマークとは目的や範囲が異なります。

ITパスポート試験においてこの分野は、情報セキュリティマネジメントシステムの規格であるISO/IEC 27001（ISMS）との関係性が頻出します。ISMSは組織全体の情報セキュリティを管理する基本枠組みであり、ISMSクラウドセキュリティ認証はその枠組みに、クラウド特有の「提供者と利用者の責任分界点」や「クラウド環境の監視」といった追加の管理策を組み合わせたもの、と理解しておくと整理しやすくなります。

実務においても、自社がクラウドを利用する際に、ベンダーがどのような認証を取得しているかを確認することは、セキュリティリスクを判断するための重要な基準となります。過去問では、ISMS認証とクラウドセキュリティ認証を混同させるような選択肢が出題される傾向があるため、それぞれの認証範囲や目的の違いを整理しておきましょう。

ISMSクラウドセキュリティ認証（ISO/IEC 27017）の概要 - JIPDEC 情報セキュリティマネジメントシステム（ISMS）とは？ - 大塚商会 ISO/IEC 27017とは - IT用語辞典 e-Words