情報セキュリティ

基本情報技術者試験クラウドセキュリティ」の問題

情報セキュリティ情報セキュリティ難易度:normal
C社は、サーバの基盤(物理・仮想化・OSより下位)はクラウド事業者が運用するIaaSを利用し、その上に自社でOSとアプリケーションを構築している。利用者が登録したアプリのアカウント設定の不備を突かれて情報が漏えいした。責任共有モデルに照らした責任の所在として、最も適切なものはどれか。
漏えいの起点がクラウド基盤上の処理である以上、原因の階層を問わず事業者がすべて一括で責任を負う。
運用を委託しているのは事業者であり、設定の不備も含め第一義的な責任は事業者側にある。
OSやアプリの構築・設定はC社が担う層であり、設定不備による当該漏えいの責任はC社にある。
設定の不備はSaaSと同様にサービス提供側の管理責任に含まれ、C社の負担は限定される。
正解
OSやアプリの構築・設定はC社が担う層であり、設定不備による当該漏えいの責任はC社にある。

責任共有モデルでは、クラウド事業者と利用者が階層ごとに責任を分担する。IaaSでは物理基盤・仮想化基盤までを事業者が、その上のOS・ミドルウェア・アプリケーション・データ・各種設定を利用者(C社)が担う。本件はC社が構築したアプリのアカウント設定不備が原因であり、設定はC社の責任範囲であるため、漏えいの責任はC社にある。

?選択肢ごとの解説

ア ×事業者の責任は契約したサービス階層(IaaSなら基盤層)に限られ、利用者が構築・設定したOSやアプリの不備まで事業者が負うわけではない。
イ ×事業者が運用するのは基盤層であり、その上の設定はC社が担うため、設定不備の第一義的責任を事業者に置くのは責任分担の前提に反する。
ウ ○責任共有モデルでは、クラウド事業者と利用者が階層ごとに責任を分担する。IaaSでは物理基盤・仮想化基盤までを事業者が、その上のOS・ミドルウェア・アプリケーション・データ・各種設定を利用者(C社)が担う。本件はC社が構築したアプリのアカウント設定不備が原因であり、設定はC社の責任範囲であるため、漏えいの責任はC社にある。
エ ×本件はIaaSであり利用者の責任範囲はSaaSより広くOS・アプリ・設定に及ぶため、SaaS同様に提供側責任とみなすのは誤りである。

くわしく

クラウドの責任共有モデルは、IaaS/PaaS/SaaSで利用者の責任範囲が変わる。IaaSは利用者の責任が最も広く(OS以上)、SaaSは最も狭い(主にデータ・アカウント設定)。共通して『データと利用者のアクセス設定』は概ね利用者責任である点を押さえることが重要である。

本番での押さえどころ

試験のコツ

責任共有モデルはサービス階層(IaaS/PaaS/SaaS)で利用者の責任範囲が変わる。設定・データ・アクセス管理は利用者責任になりやすいと覚える。

覚え方

クラウドは『貸し部屋』。建物(基盤)は大家(事業者)、部屋の鍵のかけ方や荷物(設定・データ)は借主(利用者)の責任。

よくある誤り

『クラウドだから事業者が守ってくれる』と誤解し、設定や運用まで丸投げできると考える。利用者が担う範囲(特に設定・データ)を見落とすと設定ミスによる漏えいを招く。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0183

【基本情報技術者試験】クラウドセキュリティの問題 — 解答・解説|ukamiru 過去問