WEB問題集
金融機関がコンプライアンス要件として FIPS 140-2 Level 3 認定のハードウェアで暗号鍵を保護する必要があります。Google Cloud で最も適切なサービスはどれですか。
正解:C
正解の根拠
Cloud HSM は FIPS 140-2 Level 3 認定のハードウェアセキュリティモジュールでホストされる鍵管理サービスです。鍵素材が HSM 境界の外に出ることはなく、金融機関などの厳格な準拠要件を満たします。
| 保護レベル | FIPS |
|---|---|
| Software | 140-2 Level 1 |
| HSM | 140-2 Level 3 |
| External | 外部 KMS に依存 |
不正解の理由
- A は Level 1 相当でハードウェア要件を満たしません
- C は外部に鍵があるため Google による Level 3 認定の対象ではありません
- D はシークレット管理サービスで鍵管理 HSM ではありません
参考:Cloud HSM
BigQuery のテーブルを CMEK で保護する際、どのリソースで鍵を指定する必要がありますか。
正解:D
正解の根拠
BigQuery の CMEK はデータセットまたはテーブル単位で Cloud KMS 鍵を指定して構成します。鍵はテーブルと同じリージョンに配置する必要があります。
| レベル | 設定可否 |
|---|---|
| データセット | 可 (デフォルト鍵) |
| テーブル | 可 (個別鍵) |
| クエリ単位 | 不可 |
不正解の理由
- A はプロジェクト全体に CMEK を一括設定する仕組みはありません
- B はクエリ時の指定はサポートされません
- C は地域指定だけでは CMEK にはなりません
オンプレミスで管理する鍵を Google Cloud のサービスで利用しつつ、鍵素材を Google に渡したくありません。最適な方式はどれですか。
正解:A
正解の根拠
Cloud EKM は Google Cloud 外部の鍵管理システムで保持された鍵を、Google Cloud のサービスから参照して暗号化に利用できるサービスです。鍵素材は外部 KMS に常駐し、Google に渡されません。
| 方式 | 鍵の所在 |
|---|---|
| EKM | 外部 KMS |
| HSM | Google の HSM |
| CSEK | リクエスト毎に提供 |
不正解の理由
- A は Google が管理する HSM 内に鍵が存在します
- B はリクエスト毎に鍵をアップロードする方式で外部 KMS 連携ではありません
- D はインポートで鍵素材が Google KMS に渡ります
参考:Cloud EKM
Cloud KMS の鍵ローテーションについて、適切な説明を 2 つ選んでください。
(2つ選択)
正解:A, B
正解の根拠
Cloud KMS の対称暗号鍵には自動ローテーション期間を指定でき、新しいプライマリバージョンが生成されます。古いバージョンは ENABLED のまま残るため、過去に暗号化されたデータも復号可能です。
| 項目 | 動作 |
|---|---|
| 対称鍵 | 自動ローテ可 |
| 非対称鍵 | 手動ローテのみ |
| 旧バージョン | 有効のまま残る |
不正解の理由
- C は非対称鍵の自動ローテーションは未対応です
- D は古いバージョンは保持されます
- E は再暗号化は自動では行われません
参考:Key rotation
Customer Supplied Encryption Key (CSEK) について正しい説明はどれですか。
正解:B
正解の根拠
CSEK は顧客が独自に管理する AES-256 鍵を、Cloud Storage や Compute Engine に対するリクエスト時にヘッダで渡し、その都度暗号化や復号に使用させる方式です。Google は鍵素材を保存しません。
| サービス | CSEK 対応 |
|---|---|
| GCS | 対応 |
| Compute Engine | 対応 |
| BigQuery | 非対応 (CMEK のみ) |
不正解の理由
- A は CSEK は KMS に保管しません
- B は Cloud HSM 連携ではありません
- C は BigQuery は CSEK 非対応です
参考:CSEK