令和6年度問82テクノロジ系

ITパスポート令和6年度問82：securityに関する問題

ISMS クラウドセキュリティ認証に関する記述として、適切なものはどれか。

a一度認証するだけで、複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
bクラウドサービスについて、クラウドサービス固有の管理策が実施されていることを認証する制度正答
c個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して、事業活動に関してプライバシーマークの使用を認める制度
d利用者がクラウドサービスへログインするときの環境、IP アドレスなどに基づいて状況を分析し、リスクが高いと判断された場合に追加の認証を行う仕組み

正答：Bクラウドサービスについて、クラウドサービス固有の管理策が実施されていることを認証する制度

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b です。「クラウドサービス向けの特別な安全対策がきちんとできていると認める制度」のこと。

クラウド（インターネット上で使うサービス）には、ふつうの会社の情報管理とはちがう“クラウドならではの注意点”があります。それがちゃんとできているか第三者がチェックして「OK」と認めるのが、このクラウド向けの認証です。

👉 覚え方：「クラウドセキュリティ認証＝クラウド専用の安全お墨付き」。

ほかの選択肢：a 一度のログインで色々使える＝シングルサインオン／c 個人情報をきちんと扱う会社のお墨付き＝プライバシーマーク／d ログインの状況があやしい時に追加で確認＝リスクベース認証。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。ISMSクラウドセキュリティ認証は、ISMS（情報セキュリティマネジメントシステム）認証に加えて、クラウドサービスに固有の管理策（ISO/IEC 27017相当）が実施されていることを認証する制度。クラウド事業者・利用者双方に向けたクラウド特有のセキュリティ対策が整っていることを第三者が証明する。

各選択肢の解説

a 一度の認証で複数サービスを利用：シングルサインオン（SSO）の説明。
c 個人情報の保護体制を評価し使用を認める：プライバシーマーク制度の説明。
d ログイン環境やIPから状況を分析し追加認証：リスクベース認証の説明。

覚え方・ひっかけ注意

「クラウドセキュリティ認証＝クラウド固有の管理策の認証」と直結させる。SSO・プライバシーマーク・リスクベース認証はいずれも別概念。"クラウド固有"というキーワードが正解の目印。

上級誤答論破・背景理論まで深掘り

理論的背景

ISMSクラウドセキュリティ認証は、ISO/IEC 27001（ISMS）を基盤とし、クラウドサービス固有のセキュリティ管理策を規定したISO/IEC 27017（クラウドサービスのための情報セキュリティ管理策）に基づく認証制度である。ISO/IEC 27017は2015年に策定され、ISO/IEC 27002（情報セキュリティ管理策の実践のための規範）の内容にクラウド特有の追加管理策を加えた構造を持つ。具体的なクラウド固有管理策の例として、「クラウドサービス顧客とクラウドサービスプロバイダー間の共有責任モデルの定義」「仮想化技術の管理」「クラウド環境でのリソース削除時のデータ残留対応」「クラウドサービスの監視とログ記録」などが規定されている。日本では一般財団法人日本情報経済社会推進協会（JIPDEC）がISMS適合性評価制度の下でクラウドセキュリティ認証を運用しており、ISMS認証（ISO/IEC 27001）の上乗せ認証として取得する。

実務での使われ方

ISMSクラウドセキュリティ認証はクラウドサービス事業者（CSP）が顧客（企業・行政機関）に対してセキュリティ管理の適切性を第三者が証明する手段として活用されている。政府機関・金融機関・医療機関等の高セキュリティ要件を持つ組織がクラウドサービスを調達する際に、ISMS認証＋クラウドセキュリティ認証の保有を選定要件に含めるケースが増加している。政府のクラウドサービス安全性評価制度（ISMAP：Information System Security Management and Assessment Program）はISMSを含む複数のフレームワークに基づき評価され、政府調達クラウドサービスとして登録される仕組み。SOC 2（System and Organization Controls 2：米国のトラストサービス原則に基づく報告書）はISMSと並ぶ主要なクラウドセキュリティ保証の枠組みであり、グローバル展開するCSPが両方を取得・公開するケースが多い。

試験での位置づけ

ISMSクラウドセキュリティ認証はITパスポートの「テクノロジ系／セキュリティ（セキュリティ管理）」で近年出題頻度が上昇しているテーマ。本問の選択肢は4つとも「認証」という語を含む類似した説明になっており、各認証・仕組みの目的と対象の正確な識別が求められる。選択肢aはシングルサインオン（SSO）・SAML/OAuthの説明、選択肢cはプライバシーマーク制度の説明、選択肢dはリスクベース認証（Adaptive Authentication）の説明であり、クラウドセキュリティ認証（ISO/IEC 27017）とは全く別物。近年のISMSをめぐる動向として、ISO/IEC 27001：2022年版への改訂（11の新管理策追加・旧93管理策から93管理策へ再編）が出題されはじめており、2024年以降の試験での出題が想定される。

選択肢の発展補足

選択肢aのシングルサインオン（SSO）は一度の認証で複数システムへアクセスを可能にする仕組みで、SAML 2.0・OAuth 2.0・OpenID Connect等のプロトコルで実装される。企業のIDaaS（Identity as a Service）として、Okta・Microsoft Entra ID（旧Azure AD）・OneLoginが普及している。選択肢cのプライバシーマーク制度（Pマーク）はJIS Q 15001（個人情報保護マネジメントシステム）への適合をJIPDECが審査・付与する制度で、個人情報の適切な取り扱いが対象——クラウドのセキュリティ管理全般ではなく個人情報保護に特化している。選択肢dのリスクベース認証（コンテキスト認証・適応型認証）はユーザーのロケーション・デバイス・行動パターン・IPアドレスを分析してリスクスコアを算出し、高リスク判定時に追加認証（MFA）を要求する動的な認証強化手法。金融機関のネットバンキング・ゼロトラストアーキテクチャのNAC（Network Access Control）に広く採用されている。

出典・引用について

出典：IPA（情報処理推進機構）公式 ITパスポート試験令和6年度問82／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。