コンプライアンス誤り発見
Azure のセキュリティ基準と業界標準への準拠に関する以下の記述で、誤っているものはどれか。
A.Azure は SOC 2 Type II 監査を受けており、セキュリティ・可用性・機密保持・処理完全性に関する監査報告書が Service Trust Portal で入手可能である。
✓ この記述は正しい。Azure は SOC 2 Type II 監査を受けており、セキュリティ等の内部統制の有効性を第三者が検証している。
B.HIPAA(米国医療保険の携行性と責任に関する法律)に準拠するため、Microsoftとの間でビジネスアソシエイト契約(BAA)を締結する必要があり、特定の Azure サービスが HIPAA 対応として提供されている。
✓ この記述は正しい。HIPAA 準拠システムの構築には Microsoftとの BAA 締結が必須であり、HIPAA 認定サービスのセットが提供されている。
C.PCI DSS(Payment Card Industry Data Security Standard)に準拠したシステムをAzure上で構築する場合、Azure側の準拠は自動的に顧客の PCI DSS 達成を保証する。← 正解
✓ 正解です。この記述が誤りで、正しくは「Azure の準拠は必要条件の一つに過ぎず、顧客側でも適切に設定・運用することで初めて PCI DSS 達成が成立する。責任は共有型である」。
D.ISO 27001 認証は Microsoftが取得しており、Microsoft Purview コンプライアンス マネージャーで ISO 27001 への準拠度を評価・監視できる。
✓ この記述は正しい。Microsoft は ISO 27001 認証を保有し、コンプライアンス マネージャー上で ISO 27001 への準拠状況を可視化できる。
この問題のポイント
この記述が誤りで、正しくは「Azure の準拠は必要条件の一つに過ぎず、顧客側でも適切に設定・運用することで初めて PCI DSS 達成が成立する。責任は共有型である」。
「コンプライアンス」の他の問題
ある企業の法務・コンプライアンス担当者が「MicrosoftがGDPRやISO 27001などの規制要件にどのように対応…ある企業がAzure上でHIPAA(医療情報)に準拠したシステムを構築したい。「Microsoftとの間でHIPAAのビ…ある企業のコンプライアンス担当者が「自社のAzure環境がNIST SP 800-53やPCI DSSなどの規制フレーム…ある企業がAzureのデータガバナンスを強化したい。「データレイク・SQL Database・BlobストレージなどのA…ある企業が「Azureのクラウドサービスにおいて、顧客データはどの国のデータセンターに保存されるか」「Microsoft…ある企業の情報セキュリティ担当者が「AzureがSOC 2 Type IIの監査を受けているかどうかを証明する報告書を取…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。