【実務思考】【SC-R07-1-PM-Q4K】クラウドサービス活用に伴う情報セキュリティ管理強化

情報処理安全確保支援士
目次
  1. 🍀概要
  2. 🧾問題・設問(SC-R07-1-PM-Q4)
    1. 📘記述式問題(IPAオリジナル)
    2. 📘論述式問題(再構築版:SC-R07-1-PM-Q4K)
    3. 📗設問
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭クラウドサービス活用に伴う情報セキュリティ管理強化についての考察
  4. 📌補足(考察について)

🍀概要

 情報処理安全確保支援士試験 令和7年 午後 問4を題材に、AIを活用して詳細に解析した結果を示すものです。
 本稿では、問題を単なる模範解答の提示にとどめず、論述形式に再構築して多角的に検討することで、実務で求められる課題発見力・抽象化力・全体設計の視座を獲得することを狙いとしています。
 これにより、試験対策の枠を超え、問題文に内在する本質的な課題や情報処理安全確保支援士としての思考プロセスを深く理解するための示唆を提供します。

🧾問題・設問(SC-R07-1-PM-Q4)

 出典:情報処理推進機構 情報処理安全確保支援士試験 令和7年 午後 問4(🔗取り扱いガイドライン)

📘記述式問題(IPAオリジナル)

■タイトル
 IT資産管理及び脆弱性管理について
 ※IPA公式問題PDF(独自OCR処理版) 問題文・解答はこちらから入手可能
■要約(AI生成)

200文字程度

 情報処理安全確保支援士として、V社のIT資産管理と脆弱性管理の課題に取り組んだ。事業部が契約するクラウドサービスのIT資産が未登録であること、導入ソフトウェアの管理が不十分であること、脆弱性管理における優先度判断や部門間の連携不足が課題として挙げられる。これらの課題に対し、公開IT資産の網羅的な登録、ソフトウェアの一元管理、脆弱性対策の優先度付けと実施確認の仕組みを構築した。

800文字程度

 情報処理安全確保支援士として、従業員3,000名の製造業V社のIT資産管理及び脆弱性管理の見直しを主導した。V社では本社と支社、データセンターをUTMのVPN機能で接続し、情シス部が社内システムとセキュリティを統括する。
 現状の課題として、以下の点が挙げられた。まず、IT資産管理において、事業部が他社データセンターやクラウドサービスを契約して利用するサーバなどがIT資産管理台帳に未登録である。次に、PCに導入するソフトウェアはAMツールで管理されるが、IT資産管理台帳には登録されず、ビジネス上重要ではないサーバに導入するソフトウェアは「その他特記事項」に記入されるのみであった。また、脆弱性管理では、情シス部が脆弱性情報を全部門に連絡するが、各部門が取捨選択して対応するため、重要な脆弱性への対応が漏れる可能性があった。さらに、キャンペーンなどで利用した公開Webサーバのサブドメインが、サービス解約後も海外の広告サイトとして利用される問題も発覚し、利用終了IT資産の措置不足が露呈した。
 これらの課題を踏まえ、以下の目標を設定した。第一に、IT資産管理台帳に公開IT資産を漏れなく登録することを目指し、特に事業部が利用するクラウドサービスの公開IT資産の登録漏れをなくす。第二に、情シス部がサーバの導入ソフトウェアを一元管理する体制を確立する。第三に、重要な脆弱性を事業部が修正したかどうかを情シス部が確認できるようにする。第四に、利用が終了した公開IT資産について、必要な措置を漏れなく行う仕組みを構築する。
 目標K-1の実現のため、事業部への未登録公開IT資産の調査依頼に加え、情シス部によるインターネットからの調査を実施した。調査方法としては、他社環境への負荷を考慮し、検索エンジン型を選択した。具体的には、WHOISプロトコルを利用したレジストラ/レジストリへの問い合わせや、Xサービス(ドメイン検索)、Yサービス(GIP検索)、Zサービス(製品名、バージョン情報など検索)を活用して、公開IT資産に関する情報を収集した。収集した情報からFリスト(GIP,ドメイン名,組織名,部署名,担当者名,FQDNをまとめたリスト)を作成し、事業部からの提出リストと突合することで、調査漏れを特定した。
 特定された調査漏れには、既に存在しない事業部のGIPが割り当てられたWebサーバや、利用OSやソフトウェアのバージョンが古く多くの脆弱性が内在する公開IT資産が含まれていた。これらに対し、継続利用する場合としない場合それぞれにおいて、業務継承部門が具体的な対応を行うべき旨を指示する。
 目標K-2、K-3の実現に向けて、導入ソフトウェアの管理ルールを策定し、脆弱性管理の改善に着手する。脆弱性対策の優先度判断には、CVSSの深刻度とKEVカタログへの掲載の有無を基準とすることを決定した。これらの判断ルールに基づき、脆弱性情報の全社的な共有と、各部門における修正状況の確認を情シス部が行う仕組みを構築する。
 さらに、目標K-4として、公開IT資産の利用終了時に行うべき措置をまとめ、経営層の承認を得た。これらの取り組みを通じて、V社の公開IT資産管理と脆弱性管理の運用を強化し、サイバー攻撃に対する耐性を向上させた。

📘論述式問題(再構築版:SC-R07-1-PM-Q4K)

■タイトル
 クラウドサービス活用に伴う情報セキュリティ管理強化について
■内容
 企業は,DX推進の一環としてクラウドサービスの利用を拡大しており,多様なIT資産が組織の管理範囲外に配置される傾向にある。特に,事業部門主導によるクラウドサービスの導入や,短期間のキャンペーン等での利用後に適切な措置が講じられないIT資産の存在は,サイバーセキュリティリスクを増大させている。また,日々進化するサイバー攻撃の手法に対応するためには,脆弱性情報の継続的な収集と適切なリスク評価に基づく迅速な対策が不可欠である。情報処理安全確保支援士は,このような状況下で,組織全体のIT資産の可視化とセキュリティレベルの維持・向上に貢献することが求められる。
 情報処理安全確保支援士は,IT資産管理及び脆弱性管理の見直しにおいて,経営層への説明責任を果たす必要がある。事業部門が利用するクラウドサービス上のIT資産の把握,導入ソフトウェアの一元的な管理,そして脆弱性に対する優先順位付けと効果的な対策の実施について,具体的な計画を立案し,経営層の理解と承認を得る必要がある。特に,近年においては,サプライチェーン全体のセキュリティリスクに対する意識の高まりや,AIを活用した脅威分析・対策の導入が注目されており,これらの視点も踏まえた戦略的なセキュリティ管理が重要となる。
 あなたの経験と考えに基づいて,設問ア~ウに従って解答せよ。
 なお,解答欄には,文章に加えて,図表を記載してもよい。

📗設問

■設問ア
 あなたが携わった,クラウドサービス活用に伴う情報セキュリティ管理強化のプロジェクトについて,プロジェクト推進の背景,課題認識,目標設定を,企業の事業特性とサイバーセキュリティを取り巻く環境を踏まえて,2ページ(800字相当)以内で答えよ。
■設問イ
 設問アで述べた目標を実現するために,あなたはどのようなIT資産の可視化と脆弱性管理の改善策を検討し,実施したか。特に,事業部門が利用する未登録IT資産の発見方法,導入ソフトウェアの一元管理体制の構築,脆弱性評価基準の策定と対策実施の仕組みについて,その結果や工夫したこととともに,1.5ページ(600字相当)以上,かつ,3ページ(1,200字相当)以内で具体的に答えよ。
■設問ウ
 設問イで述べた改善策の実施に当たり,あなたはどのような潜在的リスクとその対策を具体化し,経営層にどのように説明し,承認を得たか。経営層からの指摘,指摘を受けて改善したこととともに,1.5ページ(600字相当)以上,かつ,3ページ(1,200字相当)以内で具体的に答えよ。

🪄詳細分析(AI)

 論述式問題(SC-R07-1-PM-Q4K)について、分析した結果を示す。

📝3行まとめ

  1. 【背景】DX推進によりクラウド利用が拡大し、管理外IT資産の増加がサイバーリスクを深刻化させています。
  2. 【SC視点】分散したIT資産の可視化と、脆弱性情報に基づく迅速な対応を軸に、組織全体の統制力を高める視座が必要です。
  3. 【行動・着眼点】クラウド導入プロセスの全体把握、放置資産の洗い出し、リスク評価・是正措置の定常化が実務上の鍵となります。

🧭クラウドサービス活用に伴う情報セキュリティ管理強化についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • DX推進によるクラウドサービス利用の拡大に伴い、組織の管理下にないIT資産(シャドーIT)が増加し、セキュリティガバナンスが及ばなくなっている。
    • 事業部門が主導で導入したクラウドサービスや、一時的な利用後に放置されたIT資産が、サイバー攻撃の侵入口となるリスクを増大させている。
    • IT資産の全体像を正確に把握できていないため、脆弱性情報を入手しても、どの資産に影響があるのかを迅速に特定し、対策を講じることが困難。
  • 変化の必要性の背景:
    • ITの経営への浸透: クラウドサービスが事業の根幹を支えるようになり、そのセキュリティ不備が直接的な事業継続リスクやコンプライアンス違反に繋がる。
    • コーポレートガバナンス・コードの要請: サプライチェーン全体のセキュリティ確保が求められる中、自社が利用するクラウドサービスを含めたIT資産管理は、経営の重要課題となっている。
    • リスクの増大と複雑化: サイバー攻撃の巧妙化に加え、AIを活用した脅威分析など、防御側も高度な技術活用が求められる時代になっており、場当たり的な対応では限界がある。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 網羅的かつ動的なIT資産・脆弱性管理: 全てのIT資産(オンプレミス、クラウド、SaaS等)が自動的に可視化され、脆弱性情報と紐づけられることで、リスクベースでの迅速な対応が継続的に行われる状態。
  • 克服すべき障壁:
    • 技術的・組織的障壁: マルチクラウド環境や多数のSaaSを横断してIT資産情報を収集・一元管理する技術的な仕組みの構築。IT部門と事業部門間の連携体制を確立し、IT資産の導入から廃棄までのライフサイクル管理プロセスを全社に浸透させること。
  • 利害関係者の視点:
    • 経営層: 組織全体のセキュリティリスクをリアルタイムかつ定量的に把握し、コンプライアンス要件を満たしていることを確認できる。
    • 事業部門: セキュリティを遵守しながらも、ビジネスに必要なクラウドサービスを迅速かつ安全に利用できるプロセスが整備されている。
    • セキュリティ担当者: IT資産の棚卸しや脆弱性情報の突合作業から解放され、リスク評価やプロアクティブな脅威対策といった、より戦略的な業務に集中できる。

3. 要約

  • [200文字]要約:
    理想的なクラウド時代の情報セキュリティ管理は、全てのIT資産を自動で可視化し、脆弱性情報と動的に紐づけることである。これにより、事業部門の俊敏性を損なうことなく、リスクベースで優先順位付けされた効果的な対策を、迅速かつ継続的に実施する体制を構築する。
  • [400文字]要約:
    理想的なクラウド時代の情報セキュリティ管理は、シャドーITを含む全IT資産を自動的に発見・可視化する仕組みを構築することから始まる。収集した情報に基づき、導入ソフトウェアや脆弱性を一元管理し、事業影響度に応じたリスク評価を行う。このリスクベースのアプローチにより、対策の優先順位を明確化し、事業部門の俊敏性を維持しつつ、組織全体のセキュリティレベルを継続的に向上させるガバナンス体制を実現するものである。
  • [800文字]による詳細な考察:
    クラウド活用が常態化した現代において、情報セキュリティ管理は「管理できる範囲だけを守る」という従来の境界型モデルからの脱却が急務である。
    • あるべき理想像とは、「ゼロトラスト」の原則に基づき、いかなるIT資産も信用せず、その全てを継続的に可視化・検証する動的なセキュリティ管理体制である。これは、IT資産の棚卸しを年次のイベントではなく、リアルタイムに行うことを意味し、組織のセキュリティポスチャ(態勢)を常に最新の状態に保つことを目指す。
    • 理想像実現へのアプローチとして、まずCSPM(Cloud Security Posture Management)やASM(Attack Surface Management)といったツールを導入し、マルチクラウド環境や外部に公開された資産を自動的に検知・可視化する。次に、収集した資産情報とソフトウェア構成(SBOM)、そして脆弱性データベース(CVE)を連携させ、リスクを一元的に評価するプラットフォームを構築する。この評価に基づき、パッチ適用や設定変更といった対応策の実行を自動化(SOAR)することで、対応の迅速化と人的ミスの削減を図る。
    • 期待される効果は、シャドーITに起因するセキュリティインシデントの撲滅、コンプライアンス監査への迅速な対応、そして何よりも、経営層が事業リスクとしてセキュリティを正確に把握し、的確な意思決定を下せるようになることである。これにより、セキュリティ部門は「コストセンター」から脱却し、事業成長を支える「ビジネスイネーブラー」へと変革できる。
    • 考慮すべきリスクは、ツールの導入・運用コスト、大量のアラートに対応しきれない「アラート疲れ」、そして事業部門の反発である。これらのリスクに対しては、段階的な導入計画、リスク評価に基づくアラートの優先順位付け、そして事業部門への丁寧な説明とメリットの提示を通じて、組織的な合意形成を図りながら進めることが不可欠である。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。