問題
問99
SaaS (Software as a Service) を利用する際のシステム監査の観点として、最も適切なものはどれか。
- SaaS事業者が提供する監査レポート(SOCレポートなど)を入手し、事業者の内部統制の有効性を評価する。
- 利用企業が、SaaSの基盤となるサーバやネットワーク機器の物理的な管理状況を直接監査する。
- SaaSのアプリケーションソースコードを入手し、脆弱性がないかを独自に診断する。
- SaaSのデータセンターに立ち入り、電源設備や空調設備を点検する。
正解
正解は「ア」です。
解説
正解は「SaaS事業者が提供する監査レポート(SOCレポートなど)を入手し、事業者の内部統制の有効性を評価する。」です。SaaSは、インターネット経由でソフトウェアを利用するサービス形態で、サーバやソフトウェア自体はSaaS事業者が管理しています。そのため、利用企業がSaaSのデータセンターに立ち入ったり、サーバを直接触ったりして監査することは、物理的にも契約上も通常不可能です。
そこで、利用企業は、SaaS事業者が自社のセキュリティ対策や内部統制がしっかりしていることを証明するために、第三者の監査機関から受けた監査報告書(SOCレポートなど)を入手し、その内容を確認することで、間接的にSaaSサービスの安全性を評価します。これは、直接お店の中を調べられなくても、そのお店が保健所の検査に合格した「営業許可証」を持っていることを確認して安心するのに似ています。このように、外部サービスを利用する際は、提供元が信頼できるかどうかを客観的な証明書で確認することが監査の重要なポイントとなります。
イ(利用企業が、SaaSの基…):
SaaSの物理的なインフラはSaaS事業者の管理下にあるため、利用企業が直接監査することは通常できません。
ウ(SaaSのアプリケーション…):
アプリケーションのソースコードはSaaS事業者の知的財産であるため、通常は公開されず、利用企業が入手して診断することはできません。
エ(SaaSのデータセンターに…):
セキュリティ上の理由から、部外者である利用企業がデータセンターに立ち入ることは、ほとんどの場合許可されません。
解法のポイント
この問題のポイントは、SaaSをはじめとするクラウドサービスの「責任共有モデル」を理解しているかです。クラウドサービスでは、利用者とサービス提供者でセキュリティの責任範囲が分担されています。SaaSの場合、インフラやアプリケーションの管理責任はSaaS事業者が負います。したがって、利用側の監査人は、事業者がその責任をきちんと果たしているかを、直接調査するのではなく、第三者による客観的な評価レポート(SOCレポートなど)を通じて確認します。選択肢の中で、このクラウド監査の現実的なアプローチを説明しているものが正解となります。
用語補足
SaaS (Software as a Service):
インターネット経由で提供されるソフトウェアのことです。自分でソフトウェアをインストールする必要がなく、Webブラウザなどから利用できます。GmailやMicrosoft 365などが代表例です。
システム監査:
情報システムが抱えるリスクを管理し、ルール通りに運用されているかを、独立した専門家が点検・評価することです。システムの信頼性や安全性を確保する目的で行われます。
SOCレポート:
外部の監査法人が、企業の内部統制(社内のルールや仕組み)が有効に機能しているかを評価した報告書です。特に、ITサービスを提供する会社が顧客のデータを安全に扱っていることを証明するためによく利用されます。
内部統制:
企業の業務が正しく効率的に行われるように、社内で決められたルールや仕組みのことです。不正やミスを防ぎ、会社の信頼性を高めるための自己管理システムのようなものです。
