情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ 問25: 被監査企業が SaaS をサービス利用契約して業務を実施している場合，被監査企業のシステム監査人が SaaS の利用者環境から SaaS へのアクセスコントロー

問題本文

被監査企業が SaaS をサービス利用契約して業務を実施している場合，被監査企業のシステム監査人が SaaS の利用者環境から SaaS へのアクセスコントロールを評価できる対象の ID はどれか。

選択肢

• ア.DBMS の管理者 ID
• イ.アプリケーションの利用者 ID
• ウ.サーバの OS の利用者 ID
• エ.ストレージデバイスの管理者 ID

正解

イ. アプリケーションの利用者 ID

解説

SaaSは事業者がインフラからアプリまで運用し、利用者はネットワーク越しに機能を使うだけ。利用者環境から統制できるのはアプリケーションの利用者IDの範囲に限られ、OS・DBMS・ストレージなど基盤側のIDは事業者の責任範囲で利用者からは管理・評価できない。評価対象になり得るのはアプリ利用者IDで、イが正解。実務ではクラウドの責任共有モデルを踏まえた監査範囲の見極めが要点。

選択肢ごとの解説

• ア.DBMSの管理者IDはSaaS事業者の責任範囲で、利用者側から評価できないため対象外で誤り。
• イ.アプリの利用者IDは利用者側で管理・統制でき、利用者環境から評価できる対象で正解。
• ウ.サーバOSの利用者IDはSaaS事業者が管理する基盤側のIDで、利用者からは評価できず誤り。
• エ.ストレージデバイスの管理者IDも事業者の責任範囲で、利用者環境からは評価対象にできない。