応用情報技術者試験平成30年秋午前問63 解説付き過去問

問題

企業の業務システムを、自社のコンピュータでの運用からクラウドサービスの利用に切り替えるときの留意点はどれか。

企業が管理する顧客情報や従業員の個人情報を取り扱うシステム機能は、リスクを検討するまでもなく、クラウドサービスの対象外とする。

企業の情報セキュリティポリシやセキュリティ関連の社内規則と、クラウドサービスで提供される管理レベルとの不一致の存在を確認する。

クラウドサービスの利用開始に備え、自社で保有しているサーバの機能強化や記憶域の増加を実施する。

事業継続計画は自社の資産の範囲で実施することを優先し、クラウドサービスを利用する範囲から除外する。

この問題では、企業が自社のコンピュータシステムからクラウドサービスへの移行を検討する際の重要な留意点について問われています。

クラウドサービスのリスク評価
クラウドサービスを利用する際には、企業が管理する顧客情報や従業員の個人情報の扱いについて、クラウドプロバイダーとの間でセキュリティレベルを確認し、合意することが重要です。ただし、クラウドへの一律の移行を避け、特定のリスクが高いデータは対象外とすることも検討が必要です。
情報セキュリティポリシーの確認
企業が定める情報セキュリティポリシーや社内規則と、クラウドサービスプロバイダが提供するセキュリティ管理のレベルとの間に不一致があるかどうかを確認することは非常に重要です。セキュリティ管理の不一致は、データ漏洩やサイバー攻撃のリスクを高める可能性があります。
事業継続計画とクラウドサービスの整合性
事業継続計画（BCP）を策定する際は、クラウドサービスがどの程度事業に影響を与えるかを考慮に入れる必要があります。クラウドサービスを利用することで、災害時のデータ復旧が容易になる場合がありますが、クラウドサービス自体がダウンするリスクも考慮する必要があります。

したがって、クラウドサービスを利用する際には、企業の情報セキュリティポリシーや社内規則とクラウドサービスプロバイダの管理レベルとの間の不一致を確認することが重要です。これにより、リスクを適切に管理し、セキュリティを確保することが可能となります。