DP300-SEC#39-1
【シナリオ】
大規模 EC サイトの Azure SQL Database を運用しています。要件: 顧客カード番号 (PCI-DSS 対象) は DBA も参照不可、Customer Service オペレーターは下4桁のみ参照、不正アクセス検出は Defender で自動化、認証は Microsoft Entra ID + MFA 強制。
【ステートメント】
Always Encrypted でカード番号カラムを暗号化すれば DBA も平文 参照不可となる。
解説
【正解: はい】の理由
Always Encrypted は Client-side 暗号化で SQL Database 内では常に暗号化バイナリで保管され DBA / 運用者 / Microsoft も平文を参照不可です。PCI-DSS のカード番号保護要件を満たします。
【不正解の選択肢の場合】
「いいえ」と判定すると DBA が カード番号を参照可能となりますが Always Encrypted は そのリスクを排除する技術です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Always Encrypted でカード番号カラムを暗号化すれば DBA も平文 参照不可となる。 | はい |
| 問2 | Dynamic Data Masking で カード番号 下 4 桁のみ表示する マスク パターンを設定できる。 | はい |
| 問3 | Microsoft Entra ID 認証 + MFA は Defender for SQL を有効化すると自動的に強制される。 | いいえ |
コメント