基本情報技術者試験「クラウドセキュリティ」の問題
C社は、サーバの基盤(物理・仮想化・OSより下位)はクラウド事業者が運用するIaaSを利用し、その上に自社でOSとアプリケーションを構築している。利用者が登録したアプリのアカウント設定の不備を突かれて情報が漏えいした。責任共有モデルに照らした責任の所在として、最も適切なものはどれか。
ア漏えいの起点がクラウド基盤上の処理である以上、原因の階層を問わず事業者がすべて一括で責任を負う。
イ運用を委託しているのは事業者であり、設定の不備も含め第一義的な責任は事業者側にある。
ウOSやアプリの構築・設定はC社が担う層であり、設定不備による当該漏えいの責任はC社にある。
エ設定の不備はSaaSと同様にサービス提供側の管理責任に含まれ、C社の負担は限定される。
正解
ウ.OSやアプリの構築・設定はC社が担う層であり、設定不備による当該漏えいの責任はC社にある。
責任共有モデルでは、クラウド事業者と利用者が階層ごとに責任を分担する。IaaSでは物理基盤・仮想化基盤までを事業者が、その上のOS・ミドルウェア・アプリケーション・データ・各種設定を利用者(C社)が担う。本件はC社が構築したアプリのアカウント設定不備が原因であり、設定はC社の責任範囲であるため、漏えいの責任はC社にある。
?選択肢ごとの解説
ア ×事業者の責任は契約したサービス階層(IaaSなら基盤層)に限られ、利用者が構築・設定したOSやアプリの不備まで事業者が負うわけではない。
イ ×事業者が運用するのは基盤層であり、その上の設定はC社が担うため、設定不備の第一義的責任を事業者に置くのは責任分担の前提に反する。
ウ ○責任共有モデルでは、クラウド事業者と利用者が階層ごとに責任を分担する。IaaSでは物理基盤・仮想化基盤までを事業者が、その上のOS・ミドルウェア・アプリケーション・データ・各種設定を利用者(C社)が担う。本件はC社が構築したアプリのアカウント設定不備が原因であり、設定はC社の責任範囲であるため、漏えいの責任はC社にある。
エ ×本件はIaaSであり利用者の責任範囲はSaaSより広くOS・アプリ・設定に及ぶため、SaaS同様に提供側責任とみなすのは誤りである。
✎くわしく
クラウドの責任共有モデルは、IaaS/PaaS/SaaSで利用者の責任範囲が変わる。IaaSは利用者の責任が最も広く(OS以上)、SaaSは最も狭い(主にデータ・アカウント設定)。共通して『データと利用者のアクセス設定』は概ね利用者責任である点を押さえることが重要である。
✓本番での押さえどころ
試験のコツ
責任共有モデルはサービス階層(IaaS/PaaS/SaaS)で利用者の責任範囲が変わる。設定・データ・アクセス管理は利用者責任になりやすいと覚える。
覚え方
クラウドは『貸し部屋』。建物(基盤)は大家(事業者)、部屋の鍵のかけ方や荷物(設定・データ)は借主(利用者)の責任。
よくある誤り
『クラウドだから事業者が守ってくれる』と誤解し、設定や運用まで丸投げできると考える。利用者が担う範囲(特に設定・データ)を見落とすと設定ミスによる漏えいを招く。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0183