SaaSの評価|情報処理安全確保支援士試験 令和4年秋期午前Ⅱ 問25

出典:令和4年秋期 午前Ⅱ 問25 分野:システム監査(中分類) / システム監査(小分類)
被監査企業がSaaSをサービス利用契約して業務を実施している場合,被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
  • ア:DBMSの管理者ID
  • イ:アプリケーションの利用者ID
  • ウ:サーバのOSの利用者ID
  • エ:ストレージデバイスの管理者ID
この問題を解く
解説

SaaSは、サービス提供者がアプリケーションや基盤を運用し、利用者はネットワーク経由でアプリケーション機能を利用する形態です。

被監査企業のシステム監査人が、SaaSの利用者環境から評価できるアクセスコントロールの対象は、通常、SaaSアプリケーションにログインするための利用者IDです。DBMS、OS、ストレージデバイスなどの管理者IDは、SaaS提供者側の管理対象であり、利用企業側から直接評価できる対象ではありません。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:DBMSの管理者ID
⇒DBMSの管理者IDは、SaaSを提供する事業者側が管理する基盤やデータベースに関するIDです。SaaS利用企業は、通常、DBMSを直接管理せず、アプリケーションをサービスとして利用するため、利用者環境から評価するアクセスコントロールの対象にはなりません。
ウ:サーバのOSの利用者ID
⇒サーバOSの利用者IDは、SaaS提供基盤を運用するためのIDです。SaaSでは、サーバOSの管理はサービス提供者側の責任範囲に含まれるため、被監査企業の利用者環境から直接評価する対象ではありません。
エ:ストレージデバイスの管理者ID
⇒ストレージデバイスの管理者IDは、SaaSの物理・仮想基盤を管理するためのIDです。利用企業はSaaSアプリケーションを利用する立場であり、ストレージ装置の管理権限を持つわけではないため、アクセスコントロール評価の対象としては適切ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

SaaSでは、利用者企業が直接管理・評価しやすいのは、SaaS上で業務利用者に割り当てるIDです。したがって、アクセスコントロールの評価対象はアプリケーションの利用者IDになります。

迷ったときの判断軸

DBMS・サーバOS・ストレージデバイスは、通常SaaS提供者側が管理する基盤です。被監査企業がサービス利用契約でSaaSを使っている場合、利用者環境から評価できるのは、誰がSaaSアプリケーションにアクセスできるかという利用者IDの管理です。

科目Bにつなげるために

科目Bでは、クラウドサービスの責任分界点を読み取る力が問われます。SaaSでは、基盤側の管理は提供者、利用者や権限の管理は利用者企業側というように、どの層を誰が管理しているかを切り分けて考えましょう。

の問題 試験TOPへ の問題