令和６年度 ITパスポート試験 公開問題 問82 解説 ISMSクラウドセキュリティ

正解の判断根拠

この問題は、ISMS（情報セキュリティマネジメントシステム）に関連する用語を正確に識別できているかが問われています。キーワードは「クラウドサービス固有の管理策」です。ISMSクラウドセキュリティ認証は、通常のISMS認証に、クラウドサービス特有のセキュリティ対策基準を加えた認証制度であることを覚えておけば、迷わず選択肢イを選べます。

選択肢の分析と用語整理

他の選択肢は、情報セキュリティ分野で頻出する別の用語を説明しています。これらを混同しないことが合格への近道です。

アの「一度の認証で複数のサービスを利用できる仕組み」は、シングルサインオン（SSO）の説明です。利便性を向上させるための技術を指します。

ウの「個人情報保護体制を評価しプライバシーマークの使用を認める制度」は、プライバシーマーク制度そのものの説明です。事業者が個人情報を適切に取り扱っているかを評価するものであり、ISMSクラウドセキュリティ認証とは目的が異なります。

エの「状況を分析し、リスクに応じて追加の認証を行う仕組み」は、リスクベース認証の説明です。通常のID・パスワードに加えて、いつもと違う環境からのアクセスであれば本人確認を追加するような、認証の高度化手法の一つです。

なぜISMSクラウドセキュリティ認証が必要なのか

通常のISMS認証（ISO/IEC 27001）は組織全体の情報セキュリティ体制を評価するものですが、クラウドサービスは物理的なサーバーやネットワークの運用を事業者に委ねているため、利用者がその安全性を確認しにくいという課題があります。

そこで、クラウド利用時の特有のリスク（データの消失や、他の利用者のデータとの混在、運用の不透明さなど）に対応するため、クラウドサービスプロバイダが適切な管理策を講じているかを第三者が認証する仕組みが必要となりました。

ITパスポート試験では、これらの用語を「何を守るためのものか」「どの対象（組織か、個人か、サービスか）に対して行われるものか」という視点で整理すると、誤った選択肢に惑わされなくなります。実務においては、企業がクラウドサービスを選定する際、「そのクラウド事業者がどのような認証を取得しているか」をセキュリティレベルの指標として確認する場面で活用されます。

参考リンク

• ITパスポート試験ドットコム：ISMSクラウドセキュリティ認証
• 【実務解説】クラウド利用時のセキュリティ対策と認証制度（Qiita）
• ISO/IEC 27017（クラウドセキュリティに関する国際規格）について（日本適合性認定協会）