HOME»情報処理安全確保支援士掲示板»令和2年午後Ⅱ問2設問4
投稿する

[1048] 令和2年午後Ⅱ問2設問4

 akiさん(No.1) 
私は「ISO/IEC27001等のセキュリティ関連の認証を受けているか確認する」と解答しました。(27001は27017の方がベターだと後でおもいました。)
設問自体がわりとざっくりとしていて別解がいくつもあるような問題だとおもうのですが、こちらの掲示板ではIPA試験は一般的に別解はあまり期待できなさそうとのコメントが見られます。本設問で上記解答の場合、得点がもらえる(満点/部分点)とかんがえて大丈夫でしょうか。ご意見等あればお願いします。
2023.03.23 12:21
pixさん(No.2) 
SC ダイヤモンドマイスター
この設問の正答は
「セキュリティ対策について第三者による監査報告書で確認するという方法」
でした。
この設問はSCの問題のなかでも、厄介なものに分類されます。
本文中にまったくヒントとなるキーワードが存在せず、話の流れとしても
まったくでてこないからです。

過去にも数年に一回このような問題が出題されることがありました。
その際には、
・第三者
・監査
・レビュー
といったワードが解答になるパターンがありました。
このパターンに遭遇したときのキーワードとして覚えておくとよいかもれないです。

スレ主様の
>私は「ISO/IEC27001等のセキュリティ関連の認証を受けているか確認する」と
>解答しました。
は微妙にポイントが異なります。
・「セキュリティ関連の認証」
  規格にあった運用をしているか(規格を基準に判断)
・「監査報告」
  検査した結果、適切に運用されているか?不適切な部分はないか?
  (現在のシステムの状態を判断)
の違いがあります。

本文には「脆弱性検査を⑥別の方法とヒアリングで代替することにした」とあります。
上記の理由から「脆弱性検査の実施」と相性のいいワードは「監査報告」になると
考えられます。
2023.03.23 12:54
GinSanaさん(No.3) 
SC ブロンズマイスター
たしかこれを受けたときは、クラウド側で自身でやった脆弱性検査のレポートで代替する、とか書いてました。まあ、点が何点かは
わかりませんが・・・。
第三者による監査報告書って、いうのは簡単だけど、いちいちプロバイダに、おたくの脆弱性診断って誰がやってんの?って聞いて、それで
その会社(かプロバイダ)に監査報告書くれ、っていって素直にくれるとは到底思えんな、と模範解答を見たときに思いましたね。実際にやってるから
そういう模範解答にしたんだろうけど。
2023.03.23 15:32
 akiさん(No.4) 
pixさん、GinSanaさん  コメントいただきありがとうございます。
確かにISO/IEC27001の認証を受けている組織では、認証をとることが目的化していて、実態は運用管理の実態はおろそかになっているケースはかなりあると思っています。ただ、サービス利用者にその報告書を見せるつもりで受けた監査の場合、望ましい状況が書かれた報告書を入手した時点で目的が達成されたとも言えます。なので監査報告書の内容も27001の認証もpixさんの言われるようなポイントの違いというほどでもない、むしろ性質的には同じなのかなと思っていますが、いかがでしょうか。
あと、GinSanaさんの記載のとおり、監査人が監査結果をまとめた監査報告書は、依頼主のサービス利用者(E社)に当該監査人から提供されることはないと理解しています。IPAの解答の意図は、CSPが監査を依頼して、その監査人からもらった監査報告書をCSPから入手するということだと理解しました。

そうなるとE社が監査報告書を入手するには、
  条件1、CSPが監査を受けている
  条件2、サービス利用者に開示する
という場合に限られると思います。

代替策というからには、現実的に実施できる方策であることが条件と思いました。WEBサイトで27001や27017の認証を受けているとアナウンスしているかどうかを確認するなら確実に実施できます。それに対して「監査報告書で確認する」は、そもそもその代替策自体の実現可能性がかなり低いものとなると思いました。なので模範解答には、違和感を覚えました。

pixさんに記載いただいたキーワードは参考になります。ありがとうございます。また「ワードの相性」についてもこれまで意識したことがなかったので勉強になります。
2023.03.23 17:05
pixさん(No.5) 
SC ダイヤモンドマイスター
大手のクラウドサービスプロバイダは自身の様々なセキュリティに関するドキュメントを
ネットで公開しています。

私の経験で恐縮ですが、AzureはSerivce Trust Portalというページで、
①様々な認定、規制、標準の適合状況
②サードパーティによるセキュリティテストに関する評価結果
を開示しています。

本問はこれら一般に開示された情報を参照するという意味合いと思われます。
そういった実状を踏まえると現実的に実施できる方策であると考えられます。

>むしろ性質的には同じなのかなと思っていますが、いかがでしょうか。
ここは明確にしておく必要があると思われます。
目的は「脆弱性検査の結果」を知ることです。
そのために、上の②で公開している情報を参照するというのが趣旨となります。
ドキュメントの更新頻度も非常に多く、サービス毎に更新されますので、
月に10以上ドキュメントが公開されるときもあります。

「セキュリティ関連の認証」は上の①に該当します。ISO/IEC 27001などは
脆弱性検査をするのではなく、クラウドサービスプロバイダーの運用手法が
セキュリティ的に問題がないかというマネージメントの観点となっております。
ドキュメントの更新頻度ですが、これらは認証を受けたときのみ更新されるため
頻度は低いです。
2023.03.23 17:48
 akiさん(No.6) 
pix様
改めてコメントいただきありがとうございます。

クラウドサービス事業者の信頼性を確保するために、確かな心証を得られる順は以下の通りと考えました。
  ①直接監査>②監査報告書のレビュー>③認証、認定の公表の有無の確認
またこちらは私の感覚となりますが、それぞれ実施可能性は以下の通りかと思います。
  ①直接監査<②監査報告書のレビュー<③認証、認定の公表の有無の確認

IPAの設問及び回答を見ると①ができないので②をやる、と考えるのが確かにシンプルだと感じました。

一方でNISCが出している「クラウドを利用したシステム運用に関するガイダンス(詳細版)」においては以下の記述があります。
ーーー
総務省においては利用者向けのクラウドサービスの比較・評価・選択等を目的とした「クラウドサービスの安全・信頼性に係る情報開示指針」を公表しています
ーーー

また「クラウドサービスの安全・信頼性に係る情報開示指針」では
ーーー
認証取得・監査実施:プライバシーマーク(JIS Q 15001)等、ISMS(JIS Q 27001等)、ITSMS(JIS Q 20000-1等)の取得、監査基準委員会報告書第18号(米国監査基準SSAE16、国際監査基準ISAE3402)の作成の有無と、「有り」の場合は認証名又は監査の名称
脆弱性診断:脆弱性診断の有無と、「有り」の場合は、診断の対象(アプリケーション、OS、ハードウェア等)と、対策の概要
ーーー
との記載もありました。なので、クラウドサービスの比較・評価・選択の目的で、ISMS(JIS Q 27001等)の有無を確認することが推奨されていることも事実なのだと改めて確認しました。

pixさまが記載していただいている通り「大手のクラウドサービスプロバイダは自身の様々なセキュリティに関するドキュメントをネットで公開」していることは承知していますが、実務上の実感としては「大手」に限られているように思います。なので②を実施したくでもできないケースは実務的には多々あり、業務上の実感に引っ張られた回答となりました。

いつも丁寧な解説ありがとうございます。
2023.03.25 08:55

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop