令和7年度 ITパスポート試験 公開問題 問2 解説 クラウドセキュリティ規格

クラウドセキュリティ規格の見分け方

この問題のキーワードは「クラウドサービスに対応した」という点です。情報セキュリティマネジメントシステム（ISMS）の基本規格であるISO/IEC 27001をベースとして、クラウド固有のセキュリティ管理策を定めたガイドラインを探すのが正解への近道です。

選択肢の中で「クラウド」に直接関連する規格はISO/IEC 27017のみであるため、ここを判断基準にします。

情報セキュリティの「ファミリー」を理解する

ITパスポート試験で頻出するISOの規格には、それぞれ目的があります。

ISO/IEC 27001（ISMS認証） 情報セキュリティマネジメントシステム（ISMS）を構築するための要求事項を定めた国際規格です。組織がどのようにセキュリティを管理すべきかという基本ルールを規定しています。

ISO/IEC 27017（クラウドセキュリティ） ISO/IEC 27001をベースにしつつ、クラウドサービス特有のセキュリティ対策を定めたガイドラインです。クラウドサービス提供者（CSP）とクラウド利用者（CSC）の双方の立場から、どのような管理策を追加すべきかを示しています。

その他の選択肢が指すもの

ISO 14001 環境マネジメントシステムの国際規格です。組織が環境負荷を低減し、持続可能な経営を行うための仕組みです。ITシステムではなく、企業の環境活動に関わる規格です。

JIS Q 15001 個人情報保護マネジメントシステム（PIMS）の日本産業規格です。いわゆる「プライバシーマーク」の審査基準として用いられます。情報セキュリティ全般というよりは、個人情報の取り扱いに特化しています。

ISO 9001 品質マネジメントシステムの国際規格です。製品やサービスの品質を継続的に向上させ、顧客満足を高めるための仕組みです。業種を問わず広く普及しています。

なぜこの知識が必要なのか

クラウドコンピューティングが一般的になった現代では、自社のデータを外部のサーバーに預けることが当たり前になりました。このとき「相手のクラウド事業者は、どの程度のセキュリティレベルを担保しているのか」という客観的な基準が必要になります。

ISO/IEC 27017は、クラウド事業者が「私たちは国際的な基準に沿った適切な管理を行っています」と証明するための指標として、企業のクラウド導入検討時や監査の際に必ず確認される重要な知識です。IT部門や経営層が外部サービスを利用する際のセキュリティ要件定義能力として、非常に実践的なスキルとなります。

参考リンク

• 情報セキュリティマネジメントシステム（ISMS）の概要
• 【ITパスポート】ISO27001/27017/27018の違いを解説！
• クラウドサービス利用時における適切なセキュリティ対策の実施