情報処理安全確保支援士令和4年秋期 午前Ⅱ 問25

問25

被監査企業がSaaSをサービス利用契約して業務を実施している場合,被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
  • DBMSの管理者ID
  • アプリケーションの利用者ID
  • サーバのOSの利用者ID
  • ストレージデバイスの管理者ID
  • [出題歴]
  • 情報セキュリティ H25秋期 問25

分類

マネジメント系 » システム監査 » システム監査

正解

解説

SaaS(Software as a Service)は、専門の事業者が運用するソフトウェアの機能をネットワーク経由でサービスとして利用する形態です。SaaSの特徴を同じクラウドサービスであるPaaS、IaaSと比較すると次のようになります。
SaaS(Software as a Service)
アプリケーション(ソフトウェア)をサービスとして提供する
PaaS(Platform as a Service)
アプリケーションを稼働させるための基盤(プラットフォーム)をサービスとして提供する
IaaS(Infrastructure as a Service)
サーバ、CPU、ストレージなどのインフラをサービスとして提供する
25.png/image-size:363×335
上表のようにSaaSでは、OSやハードウェア、DBMSなどのミドルウェアを直接操作することはありません。サービスの利用者は、付与された利用者IDを使用してSaaS提供業者のWebアプリケーションにアクセスし、サービスを使用するだけです。

したがって、SaaSの利用者環境からのアクセスコントロールを確認するには「アプリケーションの利用者ID」が対象として適切です。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop