DP300-SEC#21-1
【シナリオ】
あなたは医療系 SaaS の Azure SQL Database に PHI (Protected Health Information) を保管します。要件: HIPAA 準拠、PHI カラムは DBA も復号不可、医師ロール のみ平文参照可、Public Internet からのアクセス は完全拒否、監査ログを 7 年保管。
【ステートメント】
Always Encrypted with Secure Enclaves を使用すれば DBA も PHI カラムの平文を参照不可となる。
解説
【正解: はい】の理由
Always Encrypted with Secure Enclaves は カラム単位の Client-side 暗号化機能で SQL Database 内では常に暗号化バイナリで保管され DBA / Microsoft 運用者 も復号不可です。さらに Enclave 内で range query や pattern matching が可能になり 暗号化カラムでの 検索 / 集計が可能です。
【不正解の選択肢の場合】
「いいえ」と判定すると DBA が PHI を参照可能となりますが Always Encrypted の動作モデルは Client-side 暗号化で DBA も復号不可です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Always Encrypted with Secure Enclaves を使用すれば DBA も PHI カラムの平文を参照不可となる。 | はい |
| 問2 | TDE と TLS 1.2 強制で HIPAA の暗号化要件 (At-rest + In-transit) を満たす。 | はい |
| 問3 | Public Network Access Disabled + Private Endpoint だけでは Public からのアクセ… | いいえ |
コメント