【SCS-C02】WEB問題集:データ保護編

WEB問題集

SCS-C02#1(data-protection)

ある企業が複数の AWS アカウントで Amazon S3 と Amazon EBS を運用しており、暗号化キーの管理コストを最小化したいと考えています。セキュリティチームは、キーポリシーの編集やローテーションの制御を完全に自社で行えることを必須要件としており、キーの利用状況も CloudTrail で詳細に追跡したいと考えています。どの KMS キータイプを選択すべきですか。

A.
カスタマーマネージドキー (CMK) を作成しキーポリシーとローテーションを自社制御します
B.
AWS マネージドキーを使い、AWS が暗号操作と監査の全責任を負うため運用負担を最小化します
C.
AWS 所有キーを利用し、複数顧客で共有される鍵で透過的に暗号化を完了させて作業を省きます
D.
データキーをアプリ側で直接生成し、KMS には登録せずローカルでファイルに保存して管理します

正解と解説ディスカッション 0

正解：A

正解の根拠

カスタマーマネージドキー (CMK) はキーポリシー編集、ローテーション制御、無効化、削除スケジュールなど、ライフサイクル全体を顧客が制御でき、CloudTrail に全 API が記録されます。AWS マネージドキーはポリシー編集不可、AWS 所有キーは可視性がありません。

不正解の理由

B: AWS マネージドキーは aws/service プレフィックスでサービスが管理し、ポリシー編集や手動制御ができません。
C: AWS 所有キーは複数顧客で共有され、キーポリシーや使用ログを参照できず制御要件を満たせません。
D: アプリ独自管理は KMS の監査統合や強い鍵保護の利点を放棄するため要件を満たしません。

参考：AWS KMS concepts

SCS-C02#2(data-protection)

セキュリティ部門は、対称カスタマーマネージドキーの自動ローテーションを有効化しました。アプリケーションは古いデータを引き続き復号する必要があり、キー ID は変更されてはなりません。ローテーションの動作として正しい説明はどれですか。

A.
毎月新しいキー ARN が払い出され、古い ARN は 90 日間の猶予期間を経て自動的に無効化される運用設計となります
B.
キー ID と ARN は維持され、年 1 回バッキングが置換され旧マテリアルでも復号可能です
C.
ローテーション時に既存暗号文が KMS によって再暗号化されるため旧バッキングキーは即時削除します
D.
非対称キーと同様に、公開鍵成分のみが定期的にローテーションされ秘密鍵成分は変わりません

正解と解説ディスカッション 0

正解：B

正解の根拠

対称 CMK の自動ローテーションは年 1 回 (現在は構成可能) バッキングキーマテリアルを生成し、KMS が新旧マテリアルの両方を保持するため、過去に暗号化されたデータも継続して復号できます。キー ID/ARN/エイリアスは変わりません。

不正解の理由

A: ローテーションでは新しい ARN は払い出されません。ARN は同一のまま内部マテリアルだけが置き換わります。
C: KMS は既存暗号文を再暗号化しません。旧バッキングキーは復号用に保持され続けます。
D: 非対称キーは自動ローテーション非対応 (一部例外あり) で、公開鍵だけのローテーションは存在しません。

参考：Rotating AWS KMS keys

SCS-C02#3(data-protection)

マルチリージョン構成のグローバル Web アプリで、DynamoDB Global Table と S3 Cross-Region Replication を us-east-1 と eu-west-1 で利用しています。アクティブ-アクティブで両リージョンが同じ暗号文を扱い、同一のキーマテリアルで復号できるようにする必要があります。どの設計が最も適切ですか。

A.
各リージョンに独立した CMK を作り、データを必ず再暗号化してからレプリケートします
B.
CloudHSM クラスターをリージョン間で同期して同じ HSM 鍵を両リージョンから参照します
C.
マルチリージョンキーをプライマリ作成しレプリカを別リージョンに展開して鍵マテリアルを共有します
D.
KMS グラントを発行して暗号文を相手リージョンに送信し、その都度復号と再暗号化を実施します

正解と解説ディスカッション 0

正解：C

正解の根拠

KMS マルチリージョンキーは、プライマリとレプリカが同一のキーマテリアル/キー ID 末尾を共有しつつ各リージョンで独立したリソースとして動作するため、片方のリージョンで生成された暗号文をもう片方で再暗号化なしに復号できます。

不正解の理由

A: 独立 CMK は鍵マテリアルが異なるため復号できず、再暗号化のコストとオペレーション負荷が増加します。
B: CloudHSM クラスターはリージョン間レプリケーションをサポートせず、運用が複雑で要件外です。
D: グラントはアクセス権限の付与であり、鍵マテリアルの共有手段ではないため復号できません。

参考：Multi-Region keys

SCS-C02#4(data-protection)

金融機関がパートナーから受け取る JWT 風の署名済みペイロードの署名検証を AWS 内で行いたいと考えています。秘密鍵は AWS から外部に出さず、アルゴリズムは RSASSA-PSS 2048 を使用します。どの構成が最適ですか。

A.
対称 KMS キーで HMAC-SHA256 を生成し、その値を署名値として比較する方式に切り替えます
B.
非対称 KMS キーを KeyUsage=ENCRYPT_DECRYPT で作成し Decrypt API を署名検証に流用します
C.
ACM Private CA で証明書を発行し CloudFront のリクエストヘッダで署名検証を強制します
D.
非対称 KMS キーを SIGN_VERIFY と RSA_2048 で作成し Verify API で検証します

正解と解説ディスカッション 0

正解：D

正解の根拠

署名と検証には KeyUsage=SIGN_VERIFY の非対称キーが必要で、RSA_2048 は RSASSA-PSS_SHA_256/384/512 などの署名アルゴリズムをサポートします。Verify API に署名・メッセージ・アルゴリズムを渡すことで検証できます。

不正解の理由

A: HMAC は対称署名でありパートナー側の公開鍵検証モデルと整合せず、RSASSA-PSS 要件に合いません。
B: ENCRYPT_DECRYPT 用途のキーは署名/検証 API では利用できず、KeyUsage の指定が誤っています。
C: Private CA は X.509 証明書発行であり JWT 風ペイロードの署名検証用途には不適切です。

参考：Asymmetric keys in AWS KMS

SCS-C02#5(data-protection)

あるアカウント A の Lambda 関数が、別アカウント B の DynamoDB テーブルに書き込みを行い、テーブルはアカウント B が所有するカスタマーマネージドキーで暗号化されています。アカウント B のキー所有者は、長期的なキーポリシー更新を避けつつアカウント A に時限的な復号権限を与えたいと考えています。どの仕組みが最も適切ですか。

A.
キーポリシーに kms:Decrypt を含むアカウント A の ARN を直接追加して恒久的な権限を与えます
B.
KMS グラントを発行し、GranteePrincipal にアカウント A のロールを指定します
C.
アカウント A 側で同じキーマテリアルをインポートし、独自の CMK として運用します
D.
S3 バケットポリシーでクロスアカウントアクセスを許可し DynamoDB アクセスにも流用します

正解と解説ディスカッション 0

正解：B

正解の根拠

KMS グラントは、特定のプリンシパルに一時的かつ細粒度な暗号操作権限を付与する仕組みで、キーポリシーを編集せずに発行・取消できます。クロスアカウントの一時的アクセスに最適で、RetireGrant や ScheduleExpiration で管理できます。

不正解の理由

A: 直接追加は永続的な変更となりレビューも必要で、長期的なポリシー更新を避けたい要件に反します。
C: 同じキーマテリアルのインポートは別 CMK としての扱いとなり、暗号文の互換性も得られません。
D: S3 バケットポリシーは KMS 復号権限の付与には関係なく、対象リソースも異なります。

参考：Using grants in AWS KMS