クラウドの概念応用
ある企業が複数の部門のWebアプリケーションをAzure App Service(PaaS)で運用しています。セキュリティ監査で「アプリケーションコードの脆弱性スキャンと、基盤Webサーバーのセキュリティパッチ適用について、責任の所在を明確にすべき」と指摘されました。この2つの項目について、正しい責任分担を説明しているものはどれか。
A.アプリケーションコードのスキャンはMicrosoft側、パッチ適用はお客様側
✗ 逆です。アプリケーションコードの脆弱性スキャンはお客様の責任であり、基盤Webサーバーのパッチはパッチ適用はMicrosoftが行います。
B.アプリケーションコードのスキャンはお客様側、パッチ適用はMicrosoft側← 正解
✓ 正解です。PaaSでは基盤インフラ(ランタイム・Webサーバーなど)の更新・パッチはMicrosoft側が自動管理し、アプリケーション層のセキュリティ(コード品質、脆弱性スキャン)はお客様側の責任です。
C.両方ともMicrosoft側が全責任を負う
✗ PaaSではお客様にも重要な責任があります。Microsoft が全て管理するのはSaaS(Office 365など)に近い形です。
D.両方ともお客様側が全責任を負う
✗ PaaSでは基盤インフラのパッチ管理はMicrosoftが行うため、この説明は不正確です。
この問題のポイント
PaaSでは基盤インフラ(ランタイム・Webサーバーなど)の更新・パッチはMicrosoft側が自動管理し、アプリケーション層のセキュリティ(コード品質、脆弱性スキャン)はお客様側の責任です。
「クラウドの概念」の他の問題
ある中堅製造業の情報システム部門が、自社データセンターのサーバーを更新しようとしている。CFOから「初期投資を抑えて月次…あるスタートアップ企業がAzure App Serviceを使用してWebアプリケーションをホストしている。セキュリティ…ある小売業者がオンラインショッピングサイトを運営している。年に一度のセール期間中だけ通常の10倍のトラフィックが発生し、…ある金融機関が厳格なデータ主権規制により、顧客データを自社の物理施設内に保管する義務がある。しかし一部の分析ワークロード…あるシステム管理者が、Azure Virtual Machinesを使って基幹業務システムを移行した。セキュリティ監査で…ある医療系企業がMicrosoft 365を全社員に導入した。CISOから「SaaSモデルで顧客が責任を持つ項目はどれか…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。