DP300-SEC#54-3
【シナリオ】
金融機関の Azure SQL Database で SOX (Sarbanes-Oxley) コンプライアンス対応します。要件: 全 T-SQL クエリの監査ログを 7 年保管 + KQL クエリ分析、変更管理プロセスの厳格化、本番アクセスは特定 IP + MFA、TDE Customer-Managed Key 運用。
【ステートメント】
TDE Customer-Managed Key を有効化すれば Microsoft も TDE 暗号化キーにアクセス できない。
解説
【正解: はい】の理由
CMK は Azure Key Vault 保管で SQL Server は Managed Identity で キーアクセスし Microsoft 運用者は Key Vault Access Policy / RBAC 制御の対象外 (顧客が制御権を持つ) です。Key Vault の Soft Delete + Purge Protection で キー消失 リスクも排除します。
【不正解の選択肢の場合】
「いいえ」と判定すると Microsoft アクセス可能となりますが CMK は顧客がキーの制御権を持つ設計です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Auditing を Log Analytics Workspace 保管にすると 監査ログを KQL で分析できる。 | はい |
| 問2 | Auditing ログを 7 年保管する場合 Storage Account 保管が最適 でコスト効率 が良い。 | はい |
| 問3 | TDE Customer-Managed Key を有効化すれば Microsoft も TDE 暗号化キーにアクセス できない。 | はい |
コメント