ISMS クラウドセキュリティ認証に関する記述として、適切なものはどれか。
- ア. PaaS, SaaS が対象であり, IaaS は対象ではない。
- イ. クラウドサービス固有の管理策が適切に導入、実施されていることを認証するものである。
- ウ. クラウドサービスを提供している組織が対象であり, クラウドサービスを利用する組織は対象ではない。
- エ. クラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である。
【答え】イ
【解説】
情報セキュリティマネジメントシステム(ISMS)にクラウドサービス特有のセキュリティ要件を加えた認証制度をISMSクラウドセキュリティ認証といいます。通常のISMSの範囲に加えて、クラウド特有の管理策(ISO/IEC 27017)への適合性も審査対象となります。
各選択肢の解説
ア. PaaS, SaaS が対象であり, IaaS は対象ではない。
→提供形態によらず、クラウドに関する管理策が対象となるため、IaaS・PaaS・SaaSすべてが対象になり得ます。
イ. クラウドサービス固有の管理策が適切に導入、実施されていることを認証するものである。
→ ⭕ ISO/IEC 27017は、クラウド特有のセキュリティ管理策を明確化し、それが実施されていることを評価・認証します。
ウ. クラウドサービスを提供している組織が対象であり, クラウドサービスを利用する組織は対象ではない。
→ISO/IEC 27017は、クラウドサービスの提供者にも利用者にも適用可能です。
エ. クラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である。
→これはプライバシーマーク制度に関する説明であり、ISMSクラウドセキュリティ認証とは無関係。
以上より、正解はイ.となります。
情報セキュリティ管理 
