情報セキュリティマネジメント 平成30年秋期 午前問5

午前問5

SaaS(Software as a Service)を利用するときの企業のセキュリティ管理についての記述のうち,適切なものはどれか。
  • システム運用を行わずに済み,障害時の業務手順やバックアップについての検討が不要である。
  • システムのアクセス管理を行わずに済み,パスワードの初期化の手続や複雑性の要件を満たすパスワードポリシの検討が不要である。
  • システムの構築を行わずに済み,アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である。
  • システムの情報セキュリティ管理を行わずに済み,情報セキュリティ管理規定の策定や管理担当者の設置が不要である。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

SaaS(Software as a Service)は、クラウドサービスの一形態で、利用者が必要とするITの機能をインターネットを経由したサービスという形で提供する仕組みです。企業や個人が個別にコンピュータやアプリケーションを所有して利用するのに比べて、ITに関する開発や調達や運用・保守の負担が軽減され、コスト削減にもなる技術、サービスとして注目されています。
  • サービス障害時に備えて利用者側で重要データのバックアップをとっておく必要があります。
  • 利用するサービスと利用者ごとに適切なアクセス権限の付与を行い、パスワード設定のルールなども整備する必要があります。またパスワードを忘れるとサービスの利用ができなくなってしまうため、パスワード初期化方法を用意する措置も必要になってきます。
  • 正しい。利用者側は、サービス提供事業者の構築したシステムの機能を利用することになります。したがってファイアウォールの設定や不正アクセスの管理、ソフトウェアアップデート、およびセキュリティパッチの適用などのシステム自体のセキュリティ管理から解放される利点があります。
  • クラウドサービスの特性を理解した利用管理担当者を最低1人は確保する必要があります。
参考URL: IPA「小企業のためのクラウドサービス安全利用の手引き」(PDF)
 https://www.ipa.go.jp/files/000011595.pdf
© 2015-2018 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop