セキュリティとコンプライアンス応用問題
企業がAWS KMSで管理するカスタマーマネージドキー(CMK)を使用してS3バケット内のデータを暗号化しています。セキュリティ担当者が誤ってそのCMKを削除スケジュール(削除待機期間7日)に設定した場合、削除待機期間中のデータへのアクセスはどうなりますか?
A.CMKは削除待機期間中は無効化され、そのキーで暗号化されたデータへのアクセスはできなくなる← 正解
✓ 正解です。KMSでCMKを削除スケジュールに設定すると、待機期間中はキーが無効化されアクセス不可になります。待機期間内にキャンセルすることで復元可能です。
B.削除待機期間中もCMKは有効なため、暗号化されたデータへのアクセスは通常通り可能である
✗ 削除スケジュール設定後、CMKは待機期間中に無効化されます。通常通りアクセス可能という説明は誤りです。
C.CMKは即座に完全削除されるため、データは復元不可能な状態になる
✗ AWS KMSには最短7日の削除待機期間があり、即座の完全削除はできません。待機期間中はキャンセルが可能です。
D.AWSが自動的にバックアップキーを生成し、データへのアクセスは継続して可能になる
✗ AWSがバックアップキーを自動生成することはありません。キー管理はカスタマーの責任であり、削除をキャンセルするかどうかはユーザーが判断します。