DP-900-CORE#99-2
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある金融機関が、月次レポートで使う集計データを Azure に保管しています。要件として (1) PII (個人情報) と一般データを明確に分離、(2) 監査ログを 7 年保管、(3) 部門別アクセス制御 (営業部門は自部門の集計のみ閲覧可) を実現する必要があります。
解決策
Azure SQL Database で Dynamic Data Masking (動的マスキング) のみを有効化し、それ以外の対策 (監査、ロール制御) は実装しない。
この解決策は目的を満たしますか?
解説
【判定: いいえ】の理由
Dynamic Data Masking (DDM) だけでは要件の一部しか満たせず、根本的な対策にはなりません。
DDM の特徴として、クエリ結果の表示を変える機能 (例:
【「はい」が違う理由】
DDM は表示時の便利機能であり、コンプライアンス要件の中心ではありません。本提案には監査ログ長期保管・部門別アクセス制御の対策が抜け落ちており、金融機関の規制要件を満たせません。
出典: Microsoft Learn — Dynamic data masking
Dynamic Data Masking (DDM) だけでは要件の一部しか満たせず、根本的な対策にはなりません。
| 要件 | DDM 単独での充足 | 必要な追加対策 |
|---|---|---|
| (1) PII 分離 | △ 表示マスキングのみで、データ自体は同 DB に残ります | 列レベル暗号化 (Always Encrypted) や別 DB 分離が必要です |
| (2) 監査ログ 7 年保管 | ❌ DDM は監査機能ではありません | SQL Audit を Log Analytics / Storage に転送する必要があります |
| (3) 部門別アクセス制御 | ❌ 全社員に同じ DDM ルールが適用されます | Row-Level Security (RLS) + Azure AD ロールが必要です |
DDM の特徴として、クエリ結果の表示を変える機能 (例:
xxxx-xxxx-1234) であり、本物の暗号化ではありません。権限ユーザーは UNMASK で生データを取得できます。【「はい」が違う理由】
DDM は表示時の便利機能であり、コンプライアンス要件の中心ではありません。本提案には監査ログ長期保管・部門別アクセス制御の対策が抜け落ちており、金融機関の規制要件を満たせません。
出典: Microsoft Learn — Dynamic data masking
コメント