ホーム > 情報処理安全確保支援士試験 > 2022年 秋期
情報処理安全確保支援士試験 2022年 秋期 午前2 問25
被監査企業がSaaSをサービス利用契約して業務を実施している場合、被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
ア:DBMSの管理者ID
イ:アプリケーションの利用者ID(正解)
ウ:サーバのOSの利用者ID
エ:ストレージデバイスの管理者ID
解説
SaaS利用環境におけるアクセスコントロール評価対象ID【午前2 解説】
要点まとめ
- 結論:SaaS利用者環境から評価できるアクセスコントロール対象は「アプリケーションの利用者ID」です。
- 根拠:SaaSはサービス提供者がインフラやOSを管理し、利用者はアプリケーション層のIDでアクセス制御を行うためです。
- 差がつくポイント:監査対象のIDがどの層に属するかを理解し、SaaSの責任分界点を正確に把握することが重要です。
正解の理由
SaaS(Software as a Service)はクラウドサービスの一形態であり、利用者はインフラやOSの管理権限を持ちません。したがって、監査人が評価可能なアクセスコントロールは、利用者が直接操作・管理できるアプリケーションの利用者IDに限定されます。DBMS管理者IDやサーバOS利用者ID、ストレージ管理者IDはサービス提供者側の管理範囲であり、被監査企業の監査人が直接評価できません。よって「イ: アプリケーションの利用者ID」が正解です。
よくある誤解
SaaS利用時にサーバやDBMSの管理者IDも利用者側で管理できると誤解しがちですが、これらはサービス提供者側の管理範囲です。利用者はアプリケーションIDのみが評価対象となります。
解法ステップ
- SaaSのサービスモデルを理解し、管理責任の範囲を確認する。
- 被監査企業が管理できるIDの種類を特定する。
- 利用者環境からアクセスコントロール評価可能なIDを絞り込む。
- 選択肢のIDがどの層に属するかを判別し、利用者管理のIDを選択する。
選択肢別の誤答解説
- ア: DBMSの管理者ID
→ DBMSはSaaS提供者側で管理されるため、利用者環境からの評価対象外です。 - イ: アプリケーションの利用者ID
→ 利用者が直接操作しアクセス制御を受けるIDであり、監査評価対象として正しいです。 - ウ: サーバのOSの利用者ID
→ OSはSaaS提供者が管理するため、利用者側で評価できません。 - エ: ストレージデバイスの管理者ID
→ ストレージ管理もサービス提供者側の責任範囲であり、利用者環境からは評価不可です。
補足コラム
SaaSの責任分界点(責任共有モデル)は、利用者が管理するのはアプリケーションの利用者IDやデータのみであり、インフラやプラットフォームの管理はサービス提供者が担います。監査時にはこの分界点を正確に理解し、評価範囲を明確にすることが重要です。
FAQ
Q: SaaS利用時にサーバOSの利用者IDを監査できない理由は?
A: サーバOSはサービス提供者が管理しており、利用者はアクセス権限を持たないため監査対象外です。
A: サーバOSはサービス提供者が管理しており、利用者はアクセス権限を持たないため監査対象外です。
Q: PaaSやIaaSの場合はどう違う?
A: PaaSやIaaSでは利用者がOSやミドルウェアを管理する場合があり、監査対象IDの範囲が広がることがあります。
A: PaaSやIaaSでは利用者がOSやミドルウェアを管理する場合があり、監査対象IDの範囲が広がることがあります。
関連キーワード: SaaS, アクセスコントロール, ID管理, クラウドサービス, システム監査