基本情報 平成28年度 秋期 問41:テクノロジ系に関する問題
SaaS (Software as a Service) を利用するときの企業のセキュリティ管理について の記述のうち, 適切ながものはどれか。
- aシステム運用を行わずに済み, 障害時の業務手順やバックアップについての検 討が不要である。
- bシステムのアクセス管理を行わずに済み, パスワードの初期化の手続や複雑性 の要件を満たすパスワードポリシの検討が不要である。
- cシステムの構築を行わずに済み, アプリケーションソフトウェア開発に必要な セキュリティ要件の定義やシステムログの保存容量の設計が不要である。正答
- dシステムのセキュリティ管理を行わずに済み, 情報セキュリティ管理規定の策 定や管理担当者の設置が不要である。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは c「システム構築を行わずに済み、セキュリティ要件定義やシステムログ設計が不要」 です。
SaaSは「サービスを借りる」モデル。Gmail、Slack、Salesforceなど。自分でサーバを建てたりアプリを作ったりしないので、システム構築関連の作業は不要。
ただし利用者側のセキュリティ管理(パスワード・アクセス権・利用方針)は必要なので「全部おまかせ」ではない点に注意。
👉 覚え方:SaaS=開発・運用おまかせ、でも利用管理は自分。
ほかの選択肢:a 業務手順は自社で/b アクセス管理は必要/d セキュリティ管理規程は必須。
なぜこれが正解か
正解は c。SaaS(Software as a Service)はクラウドサービスプロバイダがアプリケーション層まで提供する形態で、利用企業はシステム構築・アプリケーション開発・インフラ運用が不要。したがってアプリ開発に伴うセキュリティ要件定義やシステムログ保存容量設計といったタスクから解放される。責任共有モデル(Shared Responsibility Model)でプロバイダ側の責任範囲。
各選択肢の解説
- a 業務手順・バックアップ検討不要:業務側の運用設計は利用企業の責任。SaaSでも必要。
- b アクセス管理不要:ID/パスワード管理・MFA・アクセス権設定は利用者の責務。
- c システム構築不要・セキュリティ要件定義/ログ設計不要:正解。プロバイダ側責任。
- d セキュリティ管理規程不要:利用者側の情報セキュリティ管理規程・運用ルールは必要。
覚え方・ひっかけ注意
クラウド責任共有モデル(IaaS/PaaS/SaaS別の利用者責任範囲):
- IaaS:OS〜アプリまで利用者責任(インフラのみプロバイダ)
- PaaS:ミドルウェアまでプロバイダ、アプリ〜データは利用者
- SaaS:アプリまでプロバイダ、利用者はデータ・ID・アクセス管理のみ
「SaaS=アプリ層まで委託/IaaS=インフラのみ委託」で識別。SaaSでもID/PW・データ・アクセス権・利用ルールは利用者管理。試験では「不要なもの」「必要なもの」の組合せを正確に判定する。
理論的背景
クラウドサービスはNIST SP 800-145で5特性(オンデマンドセルフサービス・広帯域ネットワークアクセス・リソースプール化・迅速な弾力性・計測可能サービス)/3サービスモデル(IaaS/PaaS/SaaS)/4配備モデル(パブリック/プライベート/ハイブリッド/コミュニティ)に分類。責任共有モデルでプロバイダと利用者の責任境界を明確化する。
実務での使われ方
SaaS主要製品:
- 業務系:Salesforce(CRM)、Microsoft 365、Google Workspace、Slack、Zoom
- 開発系:GitHub、GitLab.com、Atlassian Cloud
- データ系:Snowflake、Databricks、Tableau Cloud
- セキュリティ系:Okta、CrowdStrike、Cloudflare
SaaS利用時のセキュリティ要点:
- IdP連携(SSO/SAML/OIDC):認証集約
- SCIM:ID自動プロビジョニング/デプロビジョニング
- CASB(Cloud Access Security Broker):シャドーIT検知・制御
- DLP(Data Loss Prevention):機密情報漏洩防止
- 監査ログ転送:SIEM統合
- 暗号化キー管理:BYOK(Bring Your Own Key)
試験での位置づけ
クラウド・セキュリティ分野の頻出テーマ。基本情報・応用情報では責任分界、情報処理安全確保支援士・ITストラテジストでは責任共有モデル詳細・CCM(Cloud Controls Matrix)・ISO 27017・ISMAP・FedRAMP・CSPM/CWPP/CIEMまで踏み込む。
選択肢の発展補足
クラウドセキュリティフレームワーク:
- ISO/IEC 27017:クラウドサービス向けセキュリティ管理策
- ISO/IEC 27018:パブリッククラウドPII保護
- CSA STAR:Cloud Security Allianceの認証
- ISMAP(政府情報システム):日本政府向けクラウドセキュリティ評価
- FedRAMP:米国連邦政府向け
- NIST SP 800-53/SP 800-171:連邦機関向けセキュリティ管理策
クラウドネイティブセキュリティの発展:
- Zero Trust Architecture:常に検証、暗黙の信頼なし
- SASE(Secure Access Service Edge):ネットワーク+セキュリティ統合
- CSPM(Cloud Security Posture Management):構成監視
- CWPP(Cloud Workload Protection Platform):ワークロード保護
- CIEM(Cloud Infrastructure Entitlement Management):権限管理
- CNAPP:CSPM+CWPP+CIEMの統合プラットフォーム
SaaS固有リスクとしてサブプロセッサ管理・データ所在地(GDPR・個人情報保護法)・退役処理・ベンダロックイン等が論点。試験対策は責任共有モデル基本+クラウドセキュリティフレームワーク+現代クラウドセキュリティ手法の理解で上位資格全般に対応。
出典:IPA(情報処理推進機構)公式 基本情報技術者試験 平成28年度 秋期 問41/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。