クラウド
情報セキュリティマネジメント試験「設定ミス」の問題
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。
クラウド上のストレージに置いた個人情報が、設定の誤りで外部から閲覧できる状態になっていた。この種の事故に関するQ主任の理解として適切なものはどれか。
ア設定や権限の管理は利用者の責任で、見直しが必要である。
イクラウドなら設定の責任もすべて事業者が負い利用者は不要。
ウ外部公開になっても暗号化していれば事故には当たらない。
エクラウドの障害なので利用者側で確認すべきことは何もない。
正解
ア.設定や権限の管理は利用者の責任で、見直しが必要である。
クラウドの責任共有モデルでは、基盤は事業者が、その上のデータや設定・アクセス権限は利用者が責任を負う。公開設定の誤りは利用者側の管理不備であり、権限設定の定期的な見直しが必要である。
?選択肢ごとの解説
ア ○クラウドの責任共有モデルでは、基盤は事業者が、その上のデータや設定・アクセス権限は利用者が責任を負う。公開設定の誤りは利用者側の管理不備であり、権限設定の定期的な見直しが必要である。
イ ×責任共有モデルでは設定や権限は利用者の責任で、すべて事業者が負うとする本問の理解は誤りである。
ウ ×権限設定の誤りによる不正閲覧は漏えい事故であり、暗号化の有無にかかわらず事故に当たらないとする理解は正しくない。
エ ×設定ミスは利用者側の管理事項であり、確認することは何もないとする本問の理解は責任共有の考え方に反する。
クラウドの他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0003
