クラウドへの移行-令和５年春午後２問２-

令和５年春午後２問２では、既存Webサイトのクラウドサービスへの移行が題材となりました。

そもそもクラウド移行のポイントってなんでしょうか？
そんな時は、IPAや各省庁、関係団体の各種ガイドラインを読み解いて見てはどうでしょうか？

経営層から実務層、そして各層ごとに、コンセプトから具体的対策と２次元的にガイドラインが提供されています。
※情報セキュリティ白書2023　P82  に図解があります。
情報セキュリティ白書2023 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
情報処理推進機構（IPA）の「情報セキュリティ白書2023」に関する情報です。
www.ipa.go.jp

情報セキュリティ白書2023は無料で入手可能です。
詳しくはこちらをクリック
IPA情報セキュリティ白書2023年版から「ランサムウェア被害からの復旧」の驚愕の事実を紹介
情報処理推進機構（IPA）が発行する情報セキュリティ白書2023年版には、情報セキュリティの最新動向や課題、具体的なインシデントの傾向が詳細に掲載されています。特に、ランサムウェアの被害とその復旧に関する驚きのデータが深堀りされており、実際の被害現場での事象や復旧の成功ポイントについての情報が満載です。この白書を通じて、情報セキュリティの実務に臨む際の指針や、試験対策としての活用方法を学ぶことができます。ランサムウェア被害を受けた事例の中で、バックアップがあったにも関わらず復元できなかったシステムの割合や、成功したケースのポイントなど、実際のデータに基づいた分析が行われています。また、復旧を成功させるための具体的な方法や、情報セキュリティの最前線での実態を知るための必読資料としての価値が高まっています。情報セキュリティの専門家や関心を持つ方々にとって、この白書は欠かせない情報源となるでしょう。
www.2cobo2.jp
2023.08.14

まずは、ざっくりクラウド移行のポイントを押さえるために
中小企業向けガイドラインを読み解いてみましょう。
中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構（IPA）の「中小企業の情報セキュリティ対策ガイドライン」に関する情報です。
www.ipa.go.jp

ガイドラインから設問を深堀り
必要最低限の利用権限設定を！-令和５年春午後２問２設問５-

ガイドラインから設問を深堀り

IPAは中小企業の情報セキュリティ対策に関する「中小企業の情報セキュリティ対策ガイドライン」を公開しています。このガイドラインは、経営者が認識し、実施すべき指針と、社内での対策を実践する手順を示しています。

第3.1版では、新型コロナウイルス感染防止策に伴うテレワークの普及やDX推進の観点からの情報セキュリティ対策の変化を取り入れ、テレワークの安全対策やセキュリティインシデント時の対応策を追加しています。

中小企業はITの活用が進む一方で、サイバー攻撃のリスクが増しています。サプライチェーン内の中小企業は、標的型攻撃のリスクも指摘されています。このガイドラインと「SECURITY ACTION」制度を活用して、中小企業の情報セキュリティ対策の強化とサイバーリスクの低減を目指しています。

中小企業向けガイドラインの４０ページに中小企業のためのクラウドサービス安全利用のための１５項目があります。実際に移行する際にも、手始めにこの１５項目をベースに移行計画を立案できる内容ではないかと思います。

情報処理安全確保支援士試験では、これらのポイントを軸に技術的に深掘りする内容が出題されています。

必要最低限の利用権限設定を！-令和５年春午後２問２設問５-

令和５年春午後２問２設問５の（２）（３）は、利用権限設定に関する出題となっています。
中小企業のためのクラウドサービス安全利用のための１５項目の「セキュリティルールと矛盾しないようにする」「利用者の範囲を決める」などが、該当するかと思います。

これらが設問では、技術的に深掘りされています。
ご存知の通り、長文で読解力を求められますが、慌てず、要件や仕様を図や表にまとめれば、解けない問題ではないかと思います。

実務ベースで考えれば、上記の１５項目をベースに作業項目を漏れなく洗い出すことができるかと思います。

試験対策ということで、どうしても対策本に頼りがちですが、IPAが取りまとめている白書やガイドラインは、意外と実務でも試験対策でも役に立ちます。
遠回りなような気がしますが、さらりと一読しておくのも悪くないと思いますよ。