DP-900-CORE#99-3
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある金融機関が、月次レポートで使う集計データを Azure に保管しています。要件として (1) PII (個人情報) と一般データを明確に分離、(2) 監査ログを 7 年保管、(3) 部門別アクセス制御 (営業部門は自部門の集計のみ閲覧可) を実現する必要があります。
解決策
PII は別 DB に分離 + Always Encrypted で列単位暗号化、SQL Audit を Log Analytics ワークスペースに転送し 7 年保持ポリシーを設定、Azure AD 認証 + Row-Level Security で部門別フィルター + 監査用 SQL Audit + Microsoft Purview でデータ分類 / リネージュ管理。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
本ソリューションは 金融機関のコンプライアンス + ガバナンス要件を満たす多層防御アプローチであり、3 要件すべてを完全に充足します。
Microsoft Purview は Microsoft の統合データ ガバナンス プラットフォーム (旧 Azure Purview) です。Azure SQL、Synapse、Fabric、Power BI、オンプレ SQL、Salesforce、Snowflake 等を横断スキャンし、機密データ分類・リネージュ追跡・アクセス権限管理を提供します。
【「いいえ」が違う理由】
本拡張は金融業界規制対応ガバナンスを Microsoft 推奨パターンで実装しており、PII 分離・監査・アクセス制御の 3 要件 + ガバナンス全体を多層防御で実現できます。
出典: Microsoft Learn — Microsoft Purview overview
本ソリューションは 金融機関のコンプライアンス + ガバナンス要件を満たす多層防御アプローチであり、3 要件すべてを完全に充足します。
| 要件 | 採用技術 | 効果 |
|---|---|---|
| (1) PII 分離 | 別 DB + Always Encrypted | PII を物理分離し、列単位 AES 暗号化により DBA でも生データを参照できません |
| (2) 監査ログ 7 年保管 | SQL Audit → Log Analytics + Retention 2557 日 | 全クエリの監査ログを長期保管できます |
| (3) 部門別アクセス制御 | Azure AD 認証 + Row-Level Security (RLS) | ユーザー属性に応じて行レベルで自動フィルターします |
| (4) ガバナンス追加 | Microsoft Purview | 全社データ資産のカタログ、データ分類、リネージュを可視化できます |
Microsoft Purview は Microsoft の統合データ ガバナンス プラットフォーム (旧 Azure Purview) です。Azure SQL、Synapse、Fabric、Power BI、オンプレ SQL、Salesforce、Snowflake 等を横断スキャンし、機密データ分類・リネージュ追跡・アクセス権限管理を提供します。
【「いいえ」が違う理由】
本拡張は金融業界規制対応ガバナンスを Microsoft 推奨パターンで実装しており、PII 分離・監査・アクセス制御の 3 要件 + ガバナンス全体を多層防御で実現できます。
出典: Microsoft Learn — Microsoft Purview overview
コメント