【正解: B】の理由

図に示される通り CMK (Column Master Key) は Key Vault または Windows Cert Store に保管される Asymmetric キーで CEK (Column Encryption Key) を暗号化保護します。CEK は実際にカラム値を暗号化する Symmetric キーで DB 内に暗号化された状態で保管されます。両者の階層化により クライアント側でのみ復号可能となります。

【他選択肢が違う理由】

• A: CMK と CEK は異なる役割を持つ別々のキーです。
• C: 階層関係は CMK → CEK で、その逆ではありません。
• D: CMK は Key Vault 保管が標準で クライアント PC 上のローカル保管ではありません。

【参考】

AE key management