クラウド サービス プロバイダー向けのアンケートにクラウド セキュリティ アーキテクチャやデータ レジデンシーなどのトピックを含めることは非常に重要です。これらの領域は、データ侵害や不正なデータ アクセスなど、クラウド サービスによってもたらされる固有のリスクに直接関係しているからです。

リスク レジスタは、組織がサードパーティのリスクを文書化、監視、管理するのに役立つツールです。通常、リスクの説明、カテゴリ、ソース、影響、可能性、評価、所有者、ステータス、アクション プランなどの情報が含まれます。リスク レジスタを使用すると、組織はリスクの優先順位付け、責任の割り当て、進捗状況の追跡、リスク ポスチャの報告を行うことができます。CTPRP 学習ガイドによると、「リスク レジスタは、サードパーティのライフサイクル全体にわたってリスクを捕捉および管理するためのツールです。組織のサードパーティのリスク プロファイルの包括的なビューを提供し、リスクの報告とコミュニケーションを容易にします。」1 同様に、サードパーティ リスクに関する GARP ベスト プラクティス ガイダンスでは、「リスク レジスタは、サードパーティに関連するリスクを記録して追跡するツールです。リスクの特定、評価、優先順位付け、および所有権、軽減アクション、目標日の割り当てに役立ちます。」2 と述べられています。参考文献:
* CTPRP 学習ガイド
* サードパーティリスクに関するGARPベストプラクティスガイダンス

物理的なアクセス手順とアクティビティ ログは、組織とそのサードパーティの物理的な資産とデータのセキュリティと整合性を確保するのに役立つため、サードパーティのリスク管理の重要なコンポーネントです。
ただし、監査目的で物理アクセス ログを無期限に保持することを要求することは、法律、規制、および運用上の課題を引き起こす可能性があるため、ベスト プラクティスではありません。サードパーティ関係のリスク管理に関する補足検査手順によると、物理アクセス ログは、組織のポリシーと手順に従って、適用される法律と規制に準拠して、合理的な期間保持する必要があります1。物理アクセス ログを無期限に保持すると、不正アクセス、データ侵害、プライバシー侵害、および訴訟のリスクが増大する可能性があります2。したがって、ステートメント B が正解です。これは、物理アクセス手順とアクティビティ ログのベスト プラクティスを反映していない唯一のステートメントです。
参考文献:
* 1: サードパーティリスク管理 (TPRM) ポリシーと手順の作成方法 - SecurityScorecard ブログ
* 2: サードパーティリスクを管理および制御するための 5 つのベストプラクティス - Broadcom Inc.
* 3: サードパーティのリスク管理プラットフォームのチェックリスト - Crowe LLP
* 4: 第三者関係のリスク管理に関する補足検査手順
* 5: サードパーティのリスク管理: なぜそれが重要なのか、どのような機能に注目すべきか - 専門家の洞察

保存時および転送中の両方でイメージ スナップショットを暗号化することは、機密データを不正アクセスから保護し、データの機密性と整合性を維持するために不可欠です。

カード所有者データ環境 (CDE) は、カード所有者データや機密認証データ、および接続されたシステムやセキュリティに影響を与えるシステムを格納、処理、または送信するネットワークの一部です123。CDE は、ペイメント カード トランザクションのセキュリティとコンプライアンスを確保するための一連の要件とガイドラインであるペイメント カード業界データ セキュリティ標準 (PCI DSS) の対象です123。
PCI DSS では、CDE を評価する際に確認される次のようなさまざまな成果物が定義されています。
* データ セキュリティ標準 (DSS) フレームワーク: これは、PCI DSS 準拠の 12 の高レベル要件と対応するサブ要件およびテスト手順を規定するドキュメントです123。DSS フレームワークは、評価の範囲を定めるために使用する必要があります。つまり、PCI DSS の適用範囲内にあるシステムとコンポーネント、および各システムとコンポーネントに適用される要件と制御を識別して文書化する必要があります123。したがって、オプション A は、CDE を評価するときにレビューされる成果物に関する正しい記述です。
* コンプライアンスに関するレポート (ROC): これは、CDE123 のオンサイト監査を含む、認定セキュリティ評価者 (QSA) によって完了された評価結果を提供するレポートです。ROC は、組織のコンプライアンス ステータスを検証し、修正が必要なギャップや欠陥を特定する詳細で包括的なドキュメントです123。ROC は、年間 600 万件を超えるトランザクションを処理する、または過去 1 年間に違反や侵害を受けたことがある販売業者やサービス プロバイダーに必要です123。したがって、オプション B は、CDE を評価する際に確認されるアーティファクトに関する正しい記述です。
* 自己評価質問票 (SAQ): これは、ROC123 を提出する必要のない商店やサービス プロバイダーに検証ツールを提供する質問票です。SA​​Q は、組織が独自のコンプライアンス ステータスを評価し、修正が必要なギャップや欠陥を特定できる自己評価ツールです。SA​​Q は、組織が自己報告した回答と証拠123 に基づいているため、コントロールの独立したテストは提供されません。したがって、オプション C は、CDE を評価する際に確認された成果物に関する誤った記述です。
* システムおよび組織統制 (SOC) レポート: これは、クラウド プロバイダー、データ センター、支払い処理業者などのサービス組織の内部統制とプロセスの独立した監査を提供するレポートです45。SOC レポートは PCI DSS に固有のものではなく、SOC 1 (SSAE 18 に基づく)、SOC 2 (Trust Services Criteria に基づく)、SOC 3 (SOC 2 に基づく) などの他の標準とフレームワークに固有のものです45。SOC レポートは、PCI DSS のすべての要件と制御を網羅していない可能性があり、CDE123 と同じ場所または範囲を扱っていない可能性があるため、PCI DSS 準拠を証明するには不十分です。したがって、オプション D は、CDE を評価するときにレビューされた成果物に関する誤った記述です。
参考資料: 検証済みの回答と説明をサポートするリソースは次のとおりです。
* 1: PCI DSS クイックリファレンスガイド
* 2: PCI DSSに関するよくある質問
* 3: PCI DSS用語集
* 4: SOC レポートとは何ですか?
* 5: SOC レポート: SOC レポートとは何か、なぜ重要なのか