WEB問題集
解説
【正解: A】の理由
Azure Blueprints は Microsoft が 2026 年 7 月に Deprecated と発表しており、後継として Template Specs (ARM / Bicep を Azure リソースとして管理) と Deployment Stacks (複数リソースを Stack 管理し Deny Settings で保護) への移行が推奨されています。Policy 機能は単体 / Initiative で継続利用でき、CAF Landing Zone は Bicep / Terraform + Pipeline ベースに移行します。
【他選択肢が違う理由】
- B. 主力で拡張中: 真逆の事実で Deprecated が公式に発表されています
- C. 後継サービスなし: Template Specs と Deployment Stacks が公式の後継サービスです
- D. 無料化で永久提供: 完全な誤情報で廃止予定が正式に告知されています
解説
【正解: A】の理由
Microsoft Purview は組織のデータ資産全体を統合ガバナンスするプラットフォームで、旧 Azure Purview と M365 Compliance が 2022 年に統合されました。Data Catalog / Lineage / Sensitivity Labels / DLP / Insider Risk Management / eDiscovery / Records Management を提供し、マルチクラウド / SaaS のデータを横断管理します。
【他選択肢が違う理由】
- B. クラウド ネイティブ SIEM: SIEM は Microsoft Sentinel の領域で別サービスです
- C. 物理データ センター運用ツール: Purview はソフトウェア プラットフォームで物理運用は対象外です
- D. 廃止された機能: 現役の主力データ ガバナンス プラットフォームです
解説
【正解: A】の理由
Service Trust Portal (servicetrust.microsoft.com) は Microsoft のクラウド サービスに関するコンプライアンス / セキュリティ / プライバシー情報を一元提供する顧客向けポータルです。SOC 1/2/3、ISO 27001/27017/27018、PCI DSS、HIPAA、FedRAMP、IRAP 等の第三者監査レポート、GDPR DPA、Penetration Test Summary、業界 / 地域別コンプライアンス資料を提供します。
【他選択肢が違う理由】
- B. パスワード変更ポータル: それは個人ユーザー向けの別ポータルで STP の役割ではありません
- C. データ センター アクセス予約: Microsoft は顧客にデータ センターへの物理アクセスを許可しません
- D. 廃止された機能: 現役の主要ポータルで監査対応の標準資料源です
解説
【判定: はい】の理由
Service Trust Portal は Microsoft Azure / Microsoft 365 / Dynamics の第三者監査レポート (SOC 1/2/3、ISO 27001/27017/27018、PCI DSS、HIPAA、FedRAMP、IRAP 等) を顧客が無料でダウンロードできるポータルです。監査人 / 内部統制 / 規制当局への Microsoft クラウドのコンプライアンス証跡として直接提示でき、要件 1 を完璧に満たします。
【「いいえ」が違う理由】
STP では監査レポートに加え GDPR DPA、Online Services Terms、Penetration Test Summary、業界 / 地域別コンプライアンス資料も取得可能です。要件 2 は Compliance Manager、要件 3 は Microsoft Purview が必要ですが、本解決策は要件 1 を解決し PCI DSS / GDPR 対応の標準的な開始点となります。
解説
【判定: はい】の理由
Microsoft Purview Compliance Manager は組織の規制対応スコアを自動評価し、Improvement Actions を優先度付きで提示します。350+ の Assessment Templates (GDPR / HIPAA / PCI DSS / ISO 27001 / NIST 800-53 等) に対応し、二つ目の要件である自社の規制対応スコア自動評価と改善アクション取得を完璧に満たします。
【「いいえ」が違う理由】
Compliance Manager は Microsoft Managed Controls と Customer Managed Controls の双方を評価し、責任共有モデルを可視化できます。実装 / テスト / 監査の進捗管理ワークフローと監査人向けレポート (PDF / Excel) 出力も提供し、PCI DSS / GDPR 対応の中核ツールとして要件を満たします。
解説
【判定: はい】の理由
Microsoft Purview Data Governance はデータ ソースを自動スキャンして Data Map / Data Catalog を構築し、Sensitivity Labels で機密データを AI 分類、DLP で漏洩を防止します。Data Lineage でデータ系譜も追跡でき、三つ目の要件であるデータ ガバナンスを完璧に満たします。
【「いいえ」が違う理由】
Purview は Azure / AWS / Google Cloud / Snowflake / Power BI / SQL Server などを横断スキャンし、Business Glossary でデータ意味を統一管理できます。Information Protection による暗号化 / アクセス制御 / 透かしも提供し、PCI DSS / GDPR のデータ保護要件を満たすエンタープライズ標準パターンです。
解説
【正解: A】の理由
Microsoft Purview Compliance Manager は 350+ の規制 / 標準 (GDPR / HIPAA / PCI DSS / ISO 27001 / NIST 等) に対する組織のコンプライアンス スコアを自動評価します。Improvement Actions を優先度 / コスト / 期待効果付きで提示し、監査人向けの PDF / Excel レポートを出力できます。
【他選択肢が違う理由】
- B. VM パッチ管理のみ: パッチ管理は Azure Update Manager の領域で、Compliance Manager の役割ではありません
- C. 物理サーバの脆弱性スキャン: 脆弱性スキャンは Defender for Cloud の領域で、Compliance Manager は規制対応評価に特化したサービスです
- D. 廃止された機能: Microsoft 365 E3 / E5 に含まれる現役の主要ツールで、エンタープライズのコンプライアンス対応に必須です
解説
【正解: A, B, C】の理由
Microsoft のコンプライアンス対応 3 大ツールが該当します。Service Trust Portal は Microsoft クラウドの第三者監査レポート (SOC / ISO / PCI / GDPR 等) を一元提供し、Compliance Manager は組織のコンプライアンス スコアと改善アクションを提示、Purview Data Governance は Data Catalog / Lineage / Sensitivity Labels / DLP でデータ ガバナンスを実現します。
【他選択肢が違う理由】
- D. Word: 文書作成ソフトウェアで、コンプライアンス / 規制対応の専用ツールではありません
- E. Calculator: 計算機アクセサリで、Microsoft クラウドのコンプライアンス機能とは無関係です
解説
【正解: A, B】の理由
責任共有モデルは Microsoft 側 (基盤 / 物理 / ハイパーバイザー) と顧客側 (ID / データ / アプリ) で責任を区分する考え方です。Data Residency は GDPR / 個人情報保護法等の要件に基づきデータを特定地理範囲内に留める考え方で、Azure は 60+ リージョンと Azure Policy の Allowed Locations で対応できます。
【他選択肢が違う理由】
- C. Microsoft が 100% 実施: 責任共有モデルに反し、顧客側責任部分は顧客が実施する必要があります
- D. データ センターへの自由アクセス: セキュリティのため顧客の物理アクセスは許可されず、第三者監査機関のみ限定的に許可されます
- E. 顧客データの公開: 真逆で、データ保護と機密性確保は Microsoft クラウドの最重要事項です
エンタープライズの Azure コンプライアンス対応プロジェクトの一般的なステップ順序に並べ替えてください。
- Identify (規制特定): 対象規制 (PCI DSS / GDPR / HIPAA 等) と適用範囲を特定、Service Trust Portal で Microsoft 側証跡確認
- Assess (現状評価): Compliance Manager で組織のコンプライアンス スコア評価、ギャップ分析
- Implement (実装): Improvement Actions に基づく Policy / Lock / Defender / Purview 設定、Azure Policy で強制
- Audit & Report (監査 & 報告): 監査人にレポート提示、継続モニタリング、定期見直し
解説
【正しい順序: Identify → Assess → Implement → Audit】の理由
コンプライアンス対応プロジェクトは PDCA サイクル型のステップで進めます。最初に対象規制 (PCI DSS / GDPR / HIPAA 等) と適用範囲を特定し、Service Trust Portal で Microsoft 側証跡を確認します。次に Compliance Manager で組織の現状スコアを評価しギャップ分析を行い、Improvement Actions に基づき Azure Policy / Lock / Defender / Purview で対策を実装します。最後に監査人向けレポートを提示し、継続モニタリングと年次レビューで規制改定に追従します。