ITパスポート 令和5年度 問56：securityに関する問題

答えは b です。

クラウド（インターネット上の貸しサービス）には、ふつうの会社にはない“クラウドならではの注意点”があります。たとえば「自分のデータがどこに置かれているか分からない」「他の利用者と同じ機械を共有している」などです。

この“クラウドだけの特別な対策”がちゃんとできているかをチェックして合格証をあげるのが、ISMSクラウドセキュリティ認証です。

👉 覚え方：「クラウド専用の追加チェック」と覚える。

ほかの選択肢：a「IaaSは対象外」→そんな区別はナシ／c「提供する側だけ」→使う側もOK／d「個人情報の保護でマークをもらう」→それはプライバシーマークの話。

なぜこれが正解か

正解は b。ISMSクラウドセキュリティ認証（ISO/IEC 27017ベース）は、通常のISMS（27001）の管理策に加えて、クラウドサービス固有の管理策（仮想環境の分離、利用者と提供者の責任範囲など）が適切に導入・運用されていることを認証する制度。

各選択肢の解説

• a：IaaS・PaaS・SaaSのいずれも対象。サービス形態で対象外にはならない。
• c：提供事業者だけでなく、クラウドを利用する組織も認証取得の対象になり得る。
• d：これはプライバシーマーク（Pマーク）の説明で、個人情報保護がテーマ。本認証とは別制度。

覚え方・ひっかけ注意

「ISMSに“クラウド固有”を上乗せした認証」と捉える。dのPマークと混同させるひっかけが定番。

理論的背景

ISMSクラウドセキュリティ認証は、ISMS（Information Security Management System）の国際規格であるISO/IEC 27001の認証を取得済みの組織を対象に、ISO/IEC 27017（クラウドサービスのための情報セキュリティ管理策の実践規範）に基づくクラウド固有の追加管理策が適切に実施されていることを評価する付加認証制度である。日本情報処理推進機構（IPA）の管轄のもと、一般財団法人日本情報経済社会推進協会（JIPDEC）が認証業務を行っている。

ISO/IEC 27017の構造的特徴として、通常のISOMS（27001/27002）の管理策を「クラウドサービス固有の観点」で拡張・補足する点がある。主な追加管理策の内容は（1）クラウドサービス提供者（CSP）と利用者（CSC）それぞれの責任範囲の明確化、（2）仮想マシン・仮想環境の適切な分離管理、（3）管理者権限操作のモニタリング・ログ管理、（4）サービス終了時のデータ削除・返還手順、（5）仮想化セキュリティ環境の強化、などである。

「クラウドサービス固有の管理策が適切に導入・実施されていることを認証する」という選択肢bが正解である根拠は、27017の付加認証がまさにこのクラウド特有のリスクと管理策を評価・認証することを目的としているからである。IaaS・PaaS・SaaSのすべてのサービスモデルが対象となる点も重要な事実である（選択肢aが誤りである根拠）。

実務での使われ方

企業がISMSクラウドセキュリティ認証を取得する実務的な意義は複数ある。第一に、クラウドサービスを利用する顧客（エンタープライズ・官公庁）が発注先を選定する際の「信頼性の証明」として機能し、受託可能な案件の拡大につながる。第二に、クラウド特有のセキュリティリスクに対する組織的な管理体制が整備されることで、実際のセキュリティインシデントのリスク低減効果がある。第三に、欧州GDPRや日本の個人情報保護法への対応において、クラウド上での個人データ保護を証明する補助的エビデンスとして活用できる。

ISO/IEC 27017と密接に関連する規格としてISO/IEC 27018（クラウドにおける個人識別情報（PII）の保護ガイドライン）がある。27017がクラウドセキュリティ全般を扱うのに対し、27018はクラウド上で処理される個人情報の保護に特化している。プライバシーマーク（JIS Q 15001準拠）が国内制度であるのに対し、27018は国際規格として同様の位置を担う。認証を多層的に活用する企業は27001（ISMS基本）＋27017（クラウドセキュリティ）＋27018（クラウド上の個人情報保護）の3段重ね認証を取得するケースも増えている。

試験での位置づけ

ITパスポートのセキュリティ・マネジメント分野では、クラウドセキュリティに関連する認証・規格の出題が増加している。ISMSクラウドセキュリティ認証（ISO 27017）・ISMS（ISO 27001）・プライバシーマーク（Pマーク）・SOC2・ISO 27018というクラウド・セキュリティ・プライバシー関連の認証制度を、「何を認証するか・対象は誰か・どの規格がベースか」の3軸で整理しておくことが得点源となる。

本問の各選択肢のひっかけポイントを整理すると、選択肢a（PaaS・SaaSのみでIaaSは対象外）は「サービスモデルによる制限はない」という事実による誤答誘導、選択肢c（提供側のみ対象）は「利用する組織も認証取得可」という事実による誤答誘導、選択肢d（プライバシーマーク）は「個人情報保護に特化した別制度」との混同を狙った誤答誘導である。

選択肢の発展補足

選択肢a（PaaS・SaaSが対象・IaaSは対象外）が誤りの根拠：ISO/IEC 27017はクラウドサービスモデル（IaaS・PaaS・SaaS）を問わずクラウドを介して提供されるすべてのサービスに適用可能であり、IaaSが特別に除外される規定は存在しない。実際にIaaSプロバイダーも本認証を取得している。「IaaSは対象外」という記述はクラウドサービスモデルへの部分的な理解から生まれる典型的な誤信。

選択肢c（提供組織のみが対象）が誤りの根拠：ISO/IEC 27017はCSP（Cloud Service Provider：提供側）とCSC（Cloud Service Customer：利用側）の両者に適用される規範を持ち、認証取得の対象も両者に開かれている。クラウドサービスを利用する側（企業・官公庁）も、自組織がクラウドを適切に利用・管理していることを示す目的で認証取得することができる。

選択肢d（プライバシーマーク）が誤りの根拠：プライバシーマーク制度（Pマーク）はJIS Q 15001（個人情報保護マネジメントシステム）に基づく日本独自の認証制度であり、主に個人情報の収集・利用・管理体制を評価する。クラウドセキュリティ全般の管理策（仮想化・アクセス管理・インシデント対応など）を評価するISMSクラウドセキュリティ認証とは目的・評価基準・法的根拠のすべてが異なる。