ISMSクラウドセキュリティ認証に関する記述として、適切なものはどれか。
ISMSクラウドセキュリティ認証=クラウドサービスのセキュリティ管理を認証する制度
ア 一度認証するだけで、複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
シングルサインオン(SSO:Single Sign-On)の説明
イ クラウドサービスについて、クラウドサービス固有の管理策が実施されていることを認証する制度
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)クラウドセキュリティ認証とは、クラウドサービスに特化したセキュリティ管理策が適切に実施されていることを認証する制度です。クラウドサービス事業者や利用者が、クラウド特有のリスクに対して適切なセキュリティ対策を行っていることを第三者が認証します。ここでいう第三者(third party)とは、クラウドサービスを提供する会社でも、利用する会社でもない、独立した認証機関のことです。中立な立場でセキュリティを審査・認証する機関です。具体的には、JIPDEC(日本情報経済社会推進協会)やISMS認証機関(ISO認証機関)です。第三者がチェックすることで、「このクラウドサービスは安全です」と客観的に証明できます。
ISMS Cloud Security Certification is a system that certifies that security controls specific to cloud services are properly implemented. It is a third-party certification that confirms cloud service providers and users have appropriate security measures in place to address cloud-specific risks.
In this context, a third party refers to an independent certification body that is neither the cloud service provider nor the user. It is an organization that evaluates and certifies security from a neutral standpoint. Examples include JIPDEC (Japan Institute for Promotion of Digital Economy and Community) and ISMS certification bodies (ISO certification organizations). By being evaluated by a third party, the cloud service can be objectively verified as secure.
ウ 個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して、事業活動に関してプライバシーマークの使用を認める制度
プライバシーマーク制度の説明
エ 利用者がクラウドサービスへログインするときの環境、IPアドレスなどに基づいて状況を分析し、リスクが高いと判断された場合に追加の認証を行う仕組み
リスクベース認証の説明
※出典:ITパスポート試験 令和6年度 問82
