情報セキュリティマネジメント試験「クラウドセキュリティ(責任共有モデル・SaaS/PaaS/IaaS・設定ミス・ゼロトラスト)とIoTセキュリティ」の練習問題9問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。
Q1. クラウドの「責任共有モデル」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
責任共有モデル は、クラウドのセキュリティ責任を 事業者と利用者で分担する という考え方です。おおまかには、クラウドそのもの(設備やインフラ)の安全は事業者が守り、その上に置く データやアカウントの設定は利用者が守る という役割分担になります。マンションにたとえると、建物の構造や共用部の管理は管理会社が、各部屋の戸締まりは入居者が担当するイメージです。
A・C は責任を一方に偏らせた誤り、D は責任の所在があいまいで、いずれも本問の答えではありません。
Q2. IaaS・PaaS・SaaS の責任範囲に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
クラウドのサービス形態は、利用者が管理する範囲が広い順に IaaS → PaaS → SaaS と並びます。IaaS(基盤を借りる)では OS から上を利用者が管理し、PaaS(開発環境を借りる)では OS やミドルウェアまで事業者が面倒を見ます。SaaS(完成したソフトを借りる)では、利用者は データや設定の管理が中心 になります。出来合いの料理を買うか、材料から自分で作るかの違いに近いイメージです。
A・B は IaaS と SaaS の説明が逆、C は形態ごとの違いを無視した誤りで、いずれも本問の答えではありません。
Q3. クラウドの設定ミスによる情報漏えいの例として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
クラウドでは、ストレージ(データの保存領域)の アクセス権の設定ミス が情報漏えいの大きな原因になります。本来は限られた人だけが見られるはずの領域を、誤って一般公開の設定にしてしまう と、インターネット上の誰もがデータを閲覧できる状態になってしまいます。責任共有モデルでは こうした設定は利用者側の責任 にあたるため、公開範囲の定期的な点検が欠かせません。
A は可用性(停電)の問題、B はローカル端末のマルウェア被害、D はむしろ安全な状態で、いずれも設定ミスによる漏えいの例ではありません。
Q4. ゼロトラストの考え方として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
ゼロトラスト は、その名のとおり「何も信頼しない(zero trust)」を前提に、社内・社外を問わずすべてのアクセスを毎回検証する という考え方です。クラウドやテレワークが広がり、社内ネットワークの内側=安全とは言いきれなく なったことを背景に重視されています。「内側だから安心」とせず、入るたびに身分証を確認する受付のようなイメージです。
B・C・D は、いずれも「いったん中に入れば信頼する」という従来の境界型の発想で、ゼロトラストとは逆の考え方です。
Q5. クラウド上のデータを保護する対策として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
クラウド上のデータ保護では、暗号化 と 最小権限の原則 が基本です。保存しているデータ(保存時)と、やり取りする通信(転送時)の 両方を暗号化 しておけば、万一データが流出しても中身を読み取られにくくなります。あわせて、各利用者には 業務に必要な範囲だけ の権限を与えることで、被害の広がりを抑えられます。
A は権限の与えすぎ、B は認証の弱体化、C は追跡手段の放棄で、いずれもセキュリティを下げてしまうため適切ではありません。
Q6. IoT機器の初期パスワードの扱いとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
IoT機器(インターネットにつながる家電やセンサーなどの機器)の 出荷時の初期パスワード は、取扱説明書やインターネット上で 広く知られていることが多く、そのまま使うと簡単に乗っ取られてしまいます。設置したら、機器ごとに推測されにくいパスワードへ速やかに変更する ことが基本の対策です。家の鍵を、最初から付いている共通の鍵のまま使わないのと同じ考え方です。
A・B は初期パスワードを放置する危険な発想、D は使い回しでまとめて狙われる原因になり、いずれも適切ではありません。
Q7. IoT機器のファームウェア更新に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
ファームウェア は、IoT機器を動かすために組み込まれた基本ソフトです。機器に 脆弱性(攻撃に悪用されうる弱点) が見つかると、メーカーは修正版のファームウェアを配布します。これを適用して 最新の状態に保つ ことで、既知の弱点を突かれるのを防げます。パソコンやスマホのソフトを更新して安全を保つのと、同じ考え方です。
A・D は更新を避ける誤り、C はファームウェアの役割を取り違えた誤りで、いずれも本問の答えではありません。
Q8. 大量のIoT機器を狙った攻撃に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
セキュリティ対策が甘いIoT機器は、攻撃者に乗っ取られ ボットネット(遠隔操作される機器の集団)に組み込まれることがあります。これを踏み台にして、標的のサーバへ 多数の機器から一斉に大量の通信を送りつける ことで、サービスを停止に追い込む攻撃(DDoS攻撃)に悪用されます。多数の機器を 適切に管理し、初期パスワード変更や更新を徹底することが、踏み台化を防ぐ鍵になります。
B・C・D は、いずれもIoT機器のリスクを過小評価した誤りで、本問の答えではありません。
Q9. クラウドサービスへの不正ログインを防ぐ対策として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
クラウドサービスはインターネット経由で誰でもログイン画面にたどり着けるため、認証の強化 がとても重要です。パスワード(知っているもの)に加えて、スマホに届くコードや生体情報(持っているもの・本人そのもの)など 別の要素も組み合わせる多要素認証 を使えば、パスワードが漏れても すぐには侵入されにくく なります。鍵に加えて暗証番号も必要にする、二重の戸締まりのイメージです。
A・B はパスワードを弱くする行為、C は不正の検知を放棄する行為で、いずれも安全性を下げてしまうため適切ではありません。
試験全体の流れを俯瞰したい時は、情報セキュリティマネジメント試験 試験全体概要 に戻れます。
学習の全体像と次に進む分野は、情報セキュリティマネジメント試験 学習ロードマップ で確認できます。