ホーム > 情報処理安全確保支援士試験 > 2013年 秋期
情報処理安全確保支援士試験 2013年 秋期 午前2 問25
被監査企業がSaaSをサービス利用契約して業務を実施している場合、被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
ア:DBMSの管理者ID
イ:アプリケーションの利用者ID(正解)
ウ:サーバのOSの利用者ID
エ:ストレージデバイスの管理者ID
解説
被監査企業がSaaS利用時に評価すべきアクセスコントロールのIDとは【午前2 解説】
要点まとめ
- 結論:SaaS利用環境で評価すべきIDは「アプリケーションの利用者ID」である。
- 根拠:SaaSはサービスとして提供されるため、利用者が直接管理するのはアプリケーションレベルのIDに限られる。
- 差がつくポイント:インフラやOSの管理者IDはSaaS提供者側の管理範囲であり、被監査企業の監査対象外となる点を理解すること。
正解の理由
SaaS(Software as a Service)はクラウド上のアプリケーションをサービスとして利用する形態です。被監査企業はSaaSの利用者環境からアクセスコントロールを評価する際、直接管理・操作可能なIDは「アプリケーションの利用者ID」のみです。DBMSやサーバOS、ストレージデバイスの管理者IDはSaaS提供者側の管理範囲であり、被監査企業のシステム監査人が評価できる対象外となります。したがって、正解はイ: アプリケーションの利用者IDです。
よくある誤解
被監査企業がSaaS利用時にインフラやOSの管理者IDも評価できると誤解しがちですが、これらはSaaS提供者の管理範囲であり監査対象外です。
解法ステップ
- SaaSの特徴を理解する(サービス提供形態であること)。
- 被監査企業が管理・操作可能な範囲を特定する。
- アクセスコントロールの評価対象IDを利用者が管理するものに絞る。
- 選択肢のIDがどのレイヤーに属するかを判別する。
- アプリケーション利用者IDが被監査企業の管理範囲であると判断し選択する。
選択肢別の誤答解説
- ア: DBMSの管理者ID
→ DBMSはSaaS提供者側で管理されるため、被監査企業の監査対象外です。 - イ: アプリケーションの利用者ID
→ 被監査企業が直接管理し、アクセスコントロール評価の対象となる正解です。 - ウ: サーバのOSの利用者ID
→ OSレベルはSaaS提供者の管理範囲であり、被監査企業は評価できません。 - エ: ストレージデバイスの管理者ID
→ ストレージもSaaS提供者側の管理対象であり、監査対象外です。
補足コラム
SaaS利用時の監査では、クラウドサービス提供者の管理範囲と利用者の管理範囲を明確に区別することが重要です。利用者はアプリケーションの利用者IDや権限設定を中心にアクセスコントロールを評価し、インフラやOSレベルの管理はサービス提供者の責任範囲となります。
FAQ
Q: SaaS利用時に被監査企業が評価できる管理者IDは何ですか?
A: アプリケーションの利用者IDのみが被監査企業の管理範囲で評価対象です。
A: アプリケーションの利用者IDのみが被監査企業の管理範囲で評価対象です。
Q: なぜサーバOSの利用者IDは評価対象外なのですか?
A: サーバOSはSaaS提供者が管理しており、被監査企業は直接操作や管理ができないためです。
A: サーバOSはSaaS提供者が管理しており、被監査企業は直接操作や管理ができないためです。
関連キーワード: SaaS監査, アクセスコントロール, クラウドサービス, ID管理, システム監査