HOME»情報セキュリティスペシャリスト平成25年秋期»午前U 問25
情報セキュリティスペシャリスト平成25年秋期 午前U 問25
午前U 問25
被監査企業がSaaSをサービス利用契約して業務を実施している場合,被監査企業のシステム監査人がSaaSの利用者環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。
分類
マネジメント系 » システム監査 » システム監査
正解
イ
解説
SaaS(Software as a Service)は、専門の事業者が運用するサービスをネットワーク(インターネット)経由で利用する形態です。
SaaSの特徴を同じクラウドサービスであるPaaS、IaaSと比較すると次のようになります。
上表のようにSaaSでは、OSやハードウェア、DBMSなどのミドルウェアを直接操作することはありません。サービスの利用者は、付与された利用者IDを使用してSaaS提供業者のWebアプリケーションにアクセスし、サービスを使用するだけです。
したがってSaaSの利用者環境からのアクセスコントロールを確認するには「アプリケーションの利用者ID」が対象として適切です。
SaaSの特徴を同じクラウドサービスであるPaaS、IaaSと比較すると次のようになります。
- SaaS(Software as a Service)
- アプリケーション(ソフトウェア)をサービスとして提供する
- PaaS(Platform as a Service)
- アプリケーションを稼働させるための基盤(プラットフォーム)をサービスとして提供する
- IaaS(Infrastructure as a Service)
- サーバ、CPU、ストレージなどのインフラをサービスとして提供する

したがってSaaSの利用者環境からのアクセスコントロールを確認するには「アプリケーションの利用者ID」が対象として適切です。