AZ-900 Management & Governance #15

【正解: A】の理由
Compliance Manager は ISO 27001 / NIST / HIPAA / GDPR など 350 以上の Assessment Templates を備え、Microsoft Managed Controls と Customer Managed Controls の Improvement Actions を提示します。実装状況に応じて Compliance Score を自動算出し継続的改善を支援します。

【他選択肢が違う理由】

• B. 構成ドリフト自動修復: 自動修復は Azure Policy の DeployIfNotExists / Modify エフェクトの領域で、Compliance Manager は評価と推奨に特化しています
• C. 監査レポート PDF 提供: 第三者監査レポート配布は Service Trust Portal の役割で、Compliance Manager は組織側の対応管理を担います
• D. メールボックス保持: Microsoft 365 の保持ポリシー / eDiscovery は Purview の別機能で、Compliance Manager のスコープではありません

【正解: A】の理由
Microsoft Purview Data Governance は Data Catalog (資産検索 / 分類)、Data Lineage (データ流通の可視化)、Sensitivity Labels (機密度自動付与)、Data Loss Prevention (流出防止) を統合した統合データガバナンス基盤です。マルチクラウド / オンプレ資産を横断管理できます。

【他選択肢が違う理由】

• B. ディスク暗号化と鍵管理: Azure Disk Encryption と Key Vault の領域で、Purview のスコープではありません
• C. フロー ログと脅威分析: Network Watcher と Microsoft Sentinel の役割で、Purview はデータ資産管理に特化しています
• D. DB スキーマ移行: Azure Database Migration Service の領域で、Purview はデータの発見と保護を担います

【正解: A】の理由
Activity Log は Azure Resource Manager 経由のコントロール プレーン操作 (リソース作成 / 削除 / RBAC 変更 / Policy 評価など) の監査証跡を記録します。デフォルト保持は 90 日で、Diagnostic Settings 経由で Log Analytics / Storage Account / Event Hub に転送し長期保管と分析が可能です。

【他選択肢が違う理由】

• B. ゲスト OS ログ収集: ゲスト OS 内部ログは Azure Monitor Agent (AMA) が収集する領域で、Activity Log は制御操作に限定されます
• C. メトリクスと AutoScale: 数値時系列メトリクスは Azure Monitor Metrics の役割で、Activity Log はイベント ログです
• D. パケット キャプチャ: パケット ペイロード取得は Network Watcher Packet Capture の領域で、Activity Log はネットワーク データを扱いません

【判定: はい】の理由
Service Trust Portal は Microsoft が受けた第三者監査の証跡 (SOC 1/2/3、ISO 27001/27018、HIPAA / HITRUST、FedRAMP など) をダウンロード提供します。クラウド プロバイダ側の統制実装を規制当局に示す上で正式な証拠となり、Shared Responsibility Model の Microsoft 担当部分を裏付けます。

【「いいえ」が違う理由】
Service Trust Portal のレポートは規制当局や監査人への提示用途を想定した公式ドキュメントで、医療機関の HIPAA 対応の Microsoft 側証跡として有効です。Customer Managed Controls は別途必要ですが、本解決策自体は適切な手順となります。

【判定: はい】の理由
Compliance Manager の HIPAA / HITRUST テンプレートは Microsoft Managed Controls と Customer Managed Controls を分離提示し、後者の Improvement Actions (アクセス制御 / 暗号化 / 監査ログ設定など) を組織側で実装すべき具体タスクとして列挙します。実装状況に応じ Compliance Score が更新されます。

【「いいえ」が違う理由】
HIPAA 対応では Shared Responsibility に基づき顧客側の統制実装が必須で、Compliance Manager のテンプレートはまさにその実装ガイドを提供します。Improvement Actions を順次実行することで監査対応の証跡を構築でき、本解決策は規制対応の中核手順となります。

【判定: いいえ】の理由
クラウドのコンプライアンスは Shared Responsibility Model に基づき、Microsoft はインフラ側の統制を担う一方、データ分類 / アクセス制御 / 暗号化キー管理 / 監査ログ運用などの Customer Managed Controls は顧客責任です。HIPAA は顧客側の Business Associate Agreement 締結と実装統制が必須で「何もしない」では規制違反となります。

【「はい」が違う理由】
Microsoft が完全管理するのは IaaS / PaaS 基盤の物理的 / 論理的セキュリティに留まり、PHI の取り扱い責任は完全には移転しません。BAA 締結と Customer Managed Controls 実装を怠れば規制当局から重大な制裁を受ける可能性があります。

【正解: A】の理由
Diagnostic Logs は Diagnostic Settings 経由で Storage Account に転送でき、Hot / Cool / Archive 階層を用いて低コストに長期保管できます。Archive 階層では数年〜12 年など監査要件に応じた保持が可能で、規制対応の証跡保管に最適です。

【他選択肢が違う理由】

• B. Log Analytics 10 年: Log Analytics の保持期間は最大 730 日 (2 年)で、それ以上の保管にはアーカイブまたは Storage 転送が必要です
• C. Activity Log 90 日: 既定の 90 日は最低保持で、長期保管要件には Storage / Log Analytics への転送設定が前提となります
• D. VM ローカル ディスク: 単一 VM 保管は耐障害性 / 改ざん耐性 / 検索性に欠け、コンプライアンス用途には不適切です

【正解: A, B, C】の理由
Service Trust Portal は Microsoft の第三者監査レポート (SOC / ISO / HIPAA / FedRAMP) を提供する公式ポータルです。Compliance Manager は 350+ Assessment Templates と Improvement Actions で組織の Compliance Score を算出します。Purview Data Governance は Data Catalog / Lineage / Sensitivity Labels / DLP を統合提供します。3 つともコンプライアンス領域の中核サービスです。

【他選択肢が違う理由】

• D. Azure Load Balancer: L4 トラフィック分散の役割で、コンプライアンス対応の直接機能を持ちません
• E. Azure CDN: 静的コンテンツ配信高速化が用途で、規制対応や監査機能を提供しません

コンプライアンス対応は Identify → Assess → Implement → Audit & Report の順で進めます。最初に適用規制と対象資産を Identify します。次に Compliance Manager で現状を Assess し Compliance Score を把握します。続いて Improvement Actions に基づき Customer Managed Controls を Implement します。最後に Activity Log / Diagnostic Logs と Service Trust Portal の証跡を組み合わせ Audit & Report を実施します。この PDCA サイクルを継続することで規制要件への適合状態を維持できます。