クラウドサービスのセキュリティ評価制度であるISMAPに関する記述のうち、適切なものはどれか。
| ア | PaaS、SaaS事業者が求めるセキュリティ要求を満たしているIaaSを登録する制度であるので、IaaSだけがISMAPクラウドサービスリストに登録される。 |
| イ | クラウドサービス事業者自らが情報セキュリティ対策に取り組むことを自己宣言したクラウドサービスはISMAPクラウドサービスリストに登録される。 |
| ウ | 政府が求めるセキュリティ要件を満たしていることが確認されたクラウドサービスがISMAPクラウドサービスリストに登録される。 |
| エ | 政府機関がクラウドサービスを利用するに当たり、適切にクラウドサービス事業者を選定しているかどうかを監査機関が審査し、認定された政府機関はISMAPクラウドサービスリストに登録される。 |
答え ウ
【解説】
ISMAPは政府機関(省庁)がクラウドサービスを利用した施策を行う際の入札時の条件提示、確認時に求められるセキュリティ要件についての作業が事業者と政府機関双方の負担となるため、あらかじめ政府機関が求めるセキュリティ要件に適合した事業者をリストにし、その事業者から入札を行うことで、クラウドサービス調達を円滑に行うことが目的です。
クラウドサービス事業者にとっても、リストに登録されることでセキュリティ対策を行っていることが認められているため信頼性が増し、政府機関だけでなく地方自治体や民間事業者からも選ばれやすくなることが期待できます。
【キーワード】
・ISMAP
- ISMAP(Information system Security Management and Assessment Program、政府情報システムのためのセキュリティ評価制度)
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録し、各政府機関は原則、安全性が評価され「登録簿」に掲載されたサービスから調達をおこなうことで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。
もっと、「ISMAP」について調べてみよう。
戻る
一覧へ
次へ