平成27年春期試験問題 午前Ⅱ 問21

クラウドサービスにおける情報セキュリティ上のリスクを"ポリシー及び組織関連のリスク","技術関連のリスク",及び"法的なリスク"に分類したとき,海外に設置されたデータセンターにデータが保管されることに起因するリスクのうち,"法的なリスク"に分類されるものはどれか。

  • データセンターが設置された国の法執行機関の命令を受けて,保管されたデータが開示されたり,ハードウェアが差し押さえられたりする。
  • ハイパーパイザの脆弱性によって,サービス運用妨害が引き起こされる。
  • 不具合によって,データセンターの他のテナントに情報が漏えいする。
  • 利用料金が従量課金制であるので,様々な国から通信回線などのリソースを大量に消費する攻撃が行われ,経済的な損失を被る。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
欧州ネットワーク情報セキュリティ庁の発行した「クラウドコンピューティング:情報セキュリティに関わる利点、リスク及び推奨事項」によれば、クラウド利用のセキュリティリスクは、「ポリシー及び組織的リスク」、「技術的リスク」及び「法律的リスク」に分けられます。
ポリシー及び組織的リスク
クラウド事業者の倒産、クラウド事業の廃止などによりデータの管理が行われなくなってしまうリスク、或いは、データを別のクラウドサービスへ移転する仕組みが不十分なためにデータの移行が困難になってしまうなどクラウド事業者の組織体制に起因するリスク
技術的リスク
一つのサーバやネットワークなどが複数の利用者により共有されているクラウドサービス(いわゆるパブリッククラウド)における、別の利用者への情報漏えいなどの様に、複数の利用者のストレージやルーティングを隔離するメカニズムが充分に用意されていないことに起因するリスク、或いはその他の技術的な攻撃により損害を被るリスク
法律的リスク
クラウド事業者のサーバが法制度の十分に整っていない日本国外に設置されている場合に、法的に問題のあるサーバの差押えなどにより、サーバ内のデータが強制的に没収されるなどの司法権の違いから来るリスク
  • 正しい。法的なリスクに分類されます。
  • 技術的リスクに分類されます。
  • 技術的リスクに分類されます。
  • 技術的リスクに分類されます。
参考URL: 経済産業省:クラウドセキュリティガイドライン活用ガイドブック(PDF)
 http://www.meti.go.jp/press/2013/03/20140314004/20140314004-3.pdf

Pagetop