戻る
一覧へ
被監査企業がSaaSをサービス利用契約して業務を実施している場合、被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
| ア | DBMSの管理者ID |
| イ | アプリケーションの利用者ID |
| ウ | サーバのOSの利用者ID |
| エ | ストレージデバイスの管理者ID |
答え イ
【解説】
監査内容が利用者環境からSaaSへのアクセスコントロールの評価なので、ここで評価の対象となるIDは実業務でSaaSを利用するときに使用しているアプリケーションの利用者ID(イ)になります。
監査の内容としては、アプリケーションの利用者IDで必要な機能を使用でき必要なデータにアクセスできるか。また、アプリケーションの利用者IDではアクセス許可されていない機能を使用できたりデータにアクセスできてしまわないかになります。
【キーワード】
・アクセスコントロール