PCA#4(security)

PCA#4(security)

BigQuery と Cloud Storage 間でのデータ持ち出しを防ぎ、信頼できるネットワーク内からのみアクセスを許可したい要件があります。最も適した制御はどれですか。

A. Cloud KMS の鍵ローテーションを 1 日ごとに実施し古い鍵バージョンを即時破棄する運用を行う。
B. IAM ポリシーで全ユーザーから読み取り権限を剥奪して個別ジョブごとに付与し直す手動制御を採用する。
C. Cloud DLP で機微データを検出してマスクする処理を導入し全件のスキャンを毎時実行する運用にする。
D. VPC Service Controls でサービス境界を作成し、対象 API を制限する。

正解と解説ディスカッション 0

正解：D

正解の根拠

VPC Service Controls はサービス境界を構築し、BigQuery や Cloud Storage 等の API へのアクセスを境界内の VPC や許可されたコンテキストに限定して、IAM 権限が漏洩した場合でもデータの外部持ち出しを防止します。アクセスレベルや上り下りルールで例外を細かく定義可能です。

機能	役割
Service Perimeter	API アクセス境界
Ingress/Egress Rule	例外通信の許可

不正解の理由

B: 業務影響が大きく根本対策になりません。
C: DLP は機微検出でありネットワーク制御は別問題です。
A: 鍵ローテーションは持ち出し防止と直接関係しません。

参考：VPC Service Controls 概要

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル