[https://www.youtube.com/watch?v=BEYrIKLr0Fc:embed:cite]

令和7年度秋期システム監査技術者試験午後I問2を題材に、IaaSセキュリティと内部統制の要点を解説します。K社の事例を通じて、システム管理者権限の管理、脆弱性対応、操作ログの完全性、属人化リスクなど、クラウド監査で陥りやすい落とし穴を紹介します。CSPMやIaCといった最新の解決策も提示し、クラウド環境の厳格な規律と本質的なリスク低減の重要性を学べる動画です。 本動画で学習すべき重要なキーワードについて説明します。まず最初に押さえておきたいのが、システム管理者権限の棚卸しに関する概念です。クラウド環境では、正規の管理者以外に権限が付与されていないこと、つまり陰のIDが存在しないことを証明することが非常に重要になります。また、権限を持つアカウントに対しては、多要素認証であるMFAが単に利用可能であるだけでなく、必須として設定されているかどうかが監査のポイントとなります。次に、脆弱性対処のタイミングについてです。システムの保守を毎月スキャンし四半期ごとの定期保守に合わせているだけでは不十分です。サイバー攻撃の脅威は決算期などを待ってはくれないため、新たに発見された脆弱性に対しては、その緊急度に応じた判断基準を持ち、リスクベースで優先順位をつけて迅速に対処する体制が求められます。操作ログの完全性も非常に重要なキーワードです。操作ログが暗号化されていることで中身を見られなくして完璧だと考えがちですが、本質的な問題はそこではありません。不正を働いた管理者が自身の証拠を隠滅するために、システム管理者権限であっても操作ログを変更したり削除したりできないような設定になっているかを確認することが、監査における真のチェックポイントとなります。また、システム運用の現場では自動化ツールが導入されるまでの暫定対策も重要です。人間が手動で設定変更を行う場合、設定の戻し忘れなどのミスが必ず発生します。そのため、委託先などのベンダーとの定例会を活用し、変更管理台帳に記載された内容と実際の設定値を突き合わせるレビューを行うことで、設定漏れがないことを確かめる仕組みが必要となります。さらに、管理体制における相互牽制と単一障害点のリスクについても深く理解する必要があります。社内でたった一人の管理者が全てのシステムを握っている状態は、属人化を生み出し、その人物がミスをしたり悪意を持ったりした場合に誰も止めることができないという最大のリスクを抱えることになります。業務に対する牽制が働くような体制を構築し、孤独な管理者を作らないことが求められます。最後に、将来的な解決策として登場するCSPMとIaCという技術用語も不可欠です。人間がコンソールを直接操作する限り、ミスは避けられません。そこで、CSPMを利用して設定ミスを24時間365日自動で検知し修復する仕組みや、IaCを用いて画面操作を禁止し全ての設定をコードで管理することで、人為的なエラーを根本から排除するアプローチが重要になります。これらを通じて、単なるチェックにとどまらず本質的なリスク低減を意識することがクラウド運用におけるスタンダードとなっていきます。