ACE#4(access-security)
ある研究機関では、機密データを含む BigQuery データセットを保護するため、データの外部持ち出しを完全に禁止し、信頼できるネットワークからのみアクセスを許可する境界を構築したいと考えています。最適なサービスはどれですか?
正解:D
正解の根拠
VPC Service Controls は BigQuery や Cloud Storage などのマネージドサービスに対してデータ流出防止 (DLP) の境界を提供します。サービス境界を構成し許可された IP 範囲や VPC ネットワークのみアクセスを許可することで、認証情報が漏洩しても境界外への持ち出しを防げます。BigQuery API への対応も公式にサポートされており、研究データ保護に適した手段です。
サービス比較
| 項目 | 正解 (VPC SC) | 不正解 (FW ルール) |
|---|---|---|
| 保護対象 | マネージド API | VM 間通信 |
| データ流出防止 | 可能 | 不可 |
不正解の理由
- A: ファイアウォールルールは VM 間トラフィック制御で、BigQuery API の境界保護はできません。
- B: Cloud IAP はアプリケーションへのアクセス認証用で、データ持ち出し防止には対応しません。
- C: Cloud Armor は HTTP(S) LB の WAF 用途で、BigQuery API 境界保護の機能はありません。
コメント