被監査企業がSaaSをサービス利用契約して業務を実施している場合、被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
| ア | DBMSの管理者ID |
| イ | アプリケーションの利用者ID |
| ウ | サーバのOSの利用者ID |
| エ | ストレージデバイスの管理者ID |
答え イ
【解説】
監査内容が利用者環境からSaaSへのアクセスコントロールの評価なので、ここで評価の対象となるIDは実業務でSaaSを利用するときに使用しているアプリケーションの利用者ID(イ)になります。
監査の内容としては、アプリケーションの利用者IDで必要な機能を使用でき必要なデータにアクセスできるか。また、アプリケーションの利用者IDではアクセス許可されていない機能を使用できたりデータにアクセスできてしまわないかになります。
【キーワード】
・アクセスコントロール
- アクセスコントロール(access control)
ITシステムにおいて、利用者に応じてアクセスできる内容(リソース、機能)を事前に設定し、利用者は利用時にユーザー認証などを行い、システムの利用内容を制限することです。
また、アクセスコントロールでは個々の利用者の利用内容をログとして記録することも行われることが多いです。
もっと、「アクセスコントロール」について調べてみよう。
戻る
一覧へ