提出前チェックリスト
提出前チェック:特権ID(管理者)の監視状況
最終更新: 2026-02-06
### このページの目的
「管理者は神ではない」ことを証明し、内部不正リスクへの対策を示します。
### チェックリスト
#### A. 管理者ログ
- [ ] **共有アカウント(root/admin)を使い回していないか?**
- 使い回していると「誰がやったか」不明になります。個人IDへの切り替えを。
- [ ] **管理者がログを消せる状態になっていないか?**
- S3 Object Lock等で、管理者でも消せないログになっていますか?
#### B. 相互牽制
- [ ] **管理者の操作を誰かがチェックしているか?**
- または、管理者が操作した時に通知が飛ぶようになっていますか?
---
### 「No」の時の言い訳
- **Q. 管理者の操作は全て承認制ですか?**
- A. 「事後承認(操作ログのレビュー)および操作時のリアルタイム通知により、牽制を行っています。」
この記事について
想定読者
BtoB SaaSの開発・運用担当者、情報システム部門
記事の目的
監査人や取引先への回答作成時間を短縮し、抜け漏れのない回答を作成する
根拠・参照情報
- •IPA 安全なウェブサイトの作り方
最終更新日
2026-02-06
免責事項: 本記事は監査対応における判断支援を目的としており、法的・監査上の最終判断を保証するものではありません。 最終的な意思決定は、必ず関連規格(PCI DSS, SOC2等)の公式文書や、貴社の法務・監査部門の判断を参照してください。