WEB問題集
解説
【正解: A】の理由
Azure Key Vault は API キー / 接続文字列 / パスワード / 暗号化キー / SSL 証明書を一元保管し、Premium SKU では FIPS 140-2 Level 3 認定の HSM 裏付けで物理保護します。RBAC とアクセス ポリシーで細粒制御し、Managed Identity 経由でアプリから安全にシークレットを取得できます。
【他選択肢が違う理由】
- B. 物理金庫の販売: Key Vault はクラウド サービスで、物理金庫の販売とは無関係です
- C. リレーショナル データベース: RDB は Azure SQL Database の領域で、Key Vault はシークレット管理に特化します
- D. ロード バランシング: 負荷分散は Load Balancer / Application Gateway の役割で、Key Vault の機能ではありません
解説
【正解: A】の理由
Microsoft Defender for Cloud は CSPM (構成評価 / Secure Score / 規制コンプライアンス) と CWPP (VM / Storage / SQL / Containers 等の実行時脅威保護) を統合提供します。Azure Arc 経由で AWS / Google Cloud のリソースも統合管理でき、マルチクラウドのセキュリティ ポスチャと脅威保護を一元化します。
【他選択肢が違う理由】
- B. ソース コードのバージョン管理: バージョン管理は GitHub / Azure Repos の役割で、Defender for Cloud の範囲外です
- C. 物理ファイアウォール装置の販売: Defender for Cloud はクラウド サービスで、物理装置とは別カテゴリです
- D. ストレージ容量の管理のみ: 容量管理は別概念で、Defender for Cloud はセキュリティに特化します
解説
【正解: A】の理由
Microsoft Sentinel は Log Analytics ベースのクラウド ネイティブ SIEM + SOAR で、Microsoft 製品とサードパーティ (AWS / Cisco / Palo Alto 等) のセキュリティ ログを統合収集し、AI と Threat Intelligence で脅威検知、Logic Apps の Playbook で応答を自動化します。オンプレ SIEM と比較しインフラ管理が不要です。
【他選択肢が違う理由】
- B. 物理ファイアウォール装置: Sentinel はクラウド サービスで、物理 NW 機器とは別カテゴリです
- C. Web アプリ ロード バランサ: 負荷分散は Load Balancer の領域で、Sentinel は SIEM 機能を提供します
- D. Azure でサポートされない: Sentinel は Azure の主要セキュリティ サービスのため、誤りです
解説
【正解: A】の理由
DDoS Network Protection は VNet 全体を一括保護し、詳細メトリクス / 24x7 DDoS Rapid Response / SLA / コスト保護を提供するエンタープライズ向けプランです。DDoS IP Protection は個別 Public IP 単位で保護を有効化でき、より柔軟 / 安価ですが Rapid Response や SLA の一部は提供されません。
【他選択肢が違う理由】
- B. 同義で置換可能: 保護範囲と機能 / コストが異なるため、同一視はできません
- C. Network が無料 / IP が有料: 両プランとも有料で、無料 / 有料の対比は誤りです
- D. DDoS Protection 非対応: DDoS Protection は Azure の主要セキュリティ サービスで、非対応は誤りです
解説
【判定: はい】の理由
Key Vault + Managed Identity の組み合わせは要件 1 のシークレット一元管理を最適に満たします。API キーや接続文字列、証明書を Key Vault に集約し、アプリは Managed Identity で認証することでコード ハードコードを排除でき、PCI-DSS 要件 3 や SOC 2 のセキュリティ基準にも適合します。
【「いいえ」が違う理由】
Premium SKU の HSM 保護 / 自動ローテーション / Soft Delete + Purge Protection / 監査ログにより、誤露出や誤削除リスクを根本から排除できます。これはクラウド ネイティブのシークレット管理の標準パターンで、目的を満たさないとする判定は誤りです。
解説
【判定: はい】の理由
Defender for Cloud は要件 2 のコンプライアンス スコア継続評価と推奨実装を直接満たします。Secure Score でセキュリティ ポスチャを定量化し、Regulatory Compliance Dashboard で PCI-DSS / SOC 2 / ISO 27001 等の適合状況を可視化、Quick Fix で改善サイクルを高速回転できます。
【「いいえ」が違う理由】
Defender for Servers / Storage / SQL / Containers 等の個別プランで実行時脅威検知も提供し、Azure Arc 経由でマルチクラウドも統合管理できます。コンプライアンス取得目的に最適なため、解決策が目的を満たさないとする判定は誤りです。
解説
【判定: はい】の理由
Microsoft Sentinel は要件 3 の統合ログ分析 / 脅威検知 / 応答自動化を完璧に満たします。Azure / M365 / Defender / AWS / Cisco 等から統合ログを収集し、KQL と Machine Learning で未知脅威を検知、PCI-DSS / SOC 2 が求めるログ中央収集とインシデント応答プロセスをクラウド ネイティブに実装できます。
【「いいえ」が違う理由】
Sentinel の Playbook は Logic Apps ベースで、漏洩検知からパスワード強制リセット / アカウント無効化 / 通知 / インシデント作成までを自動化できます。MTTR を大幅短縮でき SaaS 企業のコンプライアンス取得に有効なため、目的を満たさないとする判定は誤りです。
解説
【正解: A, B, C】の理由
SSE は Blob / Files / Disk / Queue / Table を 256-bit AES でデフォルト暗号化し、CMK と Key Vault 連携も可能です。Azure SQL TDE は Database / Managed Instance のページレベル暗号化を透過的に実行します。TLS 1.2/1.3 は Azure 通信を暗号化し、保管時と通信時の両方の暗号化を実現します。
【他選択肢が違う理由】
- D. Excel 表計算結果暗号化: Excel は Microsoft 365 アプリで、Azure のデータ暗号化技術ではありません
- E. Word の文字色変更: 文字色変更は装飾機能で、暗号化技術とは無関係です
次の各ステートメントを完成させるために、最も適切な Azure / Microsoft セキュリティ サービスを選んでください。同じ選択肢は 2 回使用できません。
| ステートメント | 選択 |
|---|---|
クラウド ネイティブな SIEM + SOAR で、AI ベースの脅威検知と Playbook による応答自動化を提供するサービスは [ ] である。 Microsoft Sentinel は Log Analytics 上のクラウド ネイティブ SIEM / SOAR で、Microsoft とサードパーティのログを統合収集し、KQL での分析と Logic Apps Playbook で応答を自動化します。SOC の運用効率を大きく向上させます。 | |
クラウド資産のセキュリティ ポスチャ (CSPM) と実行時の脅威保護 (CWPP) を統合し、Secure Score と Regulatory Compliance Dashboard を提供するサービスは [ ] である。 Microsoft Defender for Cloud は CSPM + CWPP を統合し、Azure / AWS / Google Cloud の構成評価と脅威保護を一元管理します。Secure Score と Regulatory Compliance Dashboard で規制適合スコアを継続評価できます。 | |
シークレット / 暗号化キー / SSL 証明書を一元保管し、HSM 裏付けで安全に管理するサービスは [ ] である。 Azure Key Vault は HSM 裏付けのシークレット / キー / 証明書管理サービスで、Premium SKU は FIPS 140-2 Level 3 認定 HSM で保護します。Managed Identity 連携でコード ハードコードによる誤露出を防げます。 |
Azure 環境のセキュリティ実装の標準的な優先順序に並べ替えてください。
- Identity 基盤の整備: Microsoft Entra ID で MFA / Conditional Access / PIM を構成
- シークレット管理: Azure Key Vault でシークレット / 証明書を一元保管、Managed Identity で連携
- セキュリティ ポスチャ評価: Microsoft Defender for Cloud で Secure Score / Regulatory Compliance を継続評価
- SIEM / SOAR 統合: Microsoft Sentinel でログ統合 + 脅威検知 + Playbook による応答自動化
解説
【正しい順序: Identity → Secrets → Posture → SIEM】の理由
Azure セキュリティ実装は基礎から積み上げる順序で進めるのが王道です。最初に Microsoft Entra ID で MFA / Conditional Access / PIM を構成し、ID を新しいセキュリティ境界として確立します。次に Azure Key Vault でシークレットを一元化し、Managed Identity 連携でコード ハードコードを排除します。基礎が整ったら Microsoft Defender for Cloud で Secure Score と Regulatory Compliance を継続評価し、推奨事項の実装でポスチャを継続改善します。最後に Microsoft Sentinel でログ統合 / AI 脅威検知 / Playbook による応答自動化を構築し、24x7 SOC 運用を最小人員で実現して MTTD / MTTR を大幅短縮します。