DP300-SEC#39-2
【シナリオ】
大規模 EC サイトの Azure SQL Database を運用しています。要件: 顧客カード番号 (PCI-DSS 対象) は DBA も参照不可、Customer Service オペレーターは下4桁のみ参照、不正アクセス検出は Defender で自動化、認証は Microsoft Entra ID + MFA 強制。
【ステートメント】
Dynamic Data Masking で カード番号 下 4 桁のみ表示する マスク パターンを設定できる。
解説
【正解: はい】の理由
DDM の デフォルト credit card マスク または カスタム pattern (例: XXXX-XXXX-XXXX-1234) でカード番号 下 4 桁のみ表示 / 上 12 桁マスクが可能です。Customer Service オペレーター用権限ユーザーに対する マスク表示要件を満たします。
【不正解の選択肢の場合】
「いいえ」と判定すると DDM の機能を否定することになりますが credit card mask は DDM の代表的な用途で 標準サポートされています。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Always Encrypted でカード番号カラムを暗号化すれば DBA も平文 参照不可となる。 | はい |
| 問2 | Dynamic Data Masking で カード番号 下 4 桁のみ表示する マスク パターンを設定できる。 | はい |
| 問3 | Microsoft Entra ID 認証 + MFA は Defender for SQL を有効化すると自動的に強制される。 | いいえ |
コメント