コンプライアンス応用
ある企業がAzure Policyを使用してリソースのコンプライアンス準拠状況を継続的に監視している。突然、新しい規制フレームワーク(PCI DSS v4.0)に対応する必要が生じた。この場合、既存のPolicy定義だけでは何が不足するか。
A.既存のPolicy定義はそのままで、Azure上にPCI DSS v4.0準拠の証明書をアップロードすれば自動的に対応できる。
✗ 証明書アップロードでは自動対応されない。Policy設定を明示的に拡張し、PCI DSSv4.0要件に対応させる必要がある。
B.既存のPolicyで監視できるのは技術的な設定準拠のみであり、新しいフレームワークへの完全準拠には追加的な組織プロセス、アクセス制御、監査ログ要件への対応が別途必要となる可能性がある。← 正解
✓ 正解です。Policyは技術的統制(リソース設定)をチェックするが、アクセス制御、チェンジマネジメント、セキュリティ教育などの組織的要件はPolicy外で対応する必要がある。
C.PCI DSSフレームワークに対応するには、Policy定義そのものをMicrosoftが提供する新しいテンプレートに完全に置き換える必要がある。
✗ Microsoftが完全テンプレートを提供しても、既存Policyを全て置き換える必要はない。必要な部分だけ追加・拡張できる。
D.Azure上の全リソースを削除して新しくPCI DSS v4.0対応の環境を構築し直す必要がある。
✗ 既存リソースを削除する必要はない。Policy定義の追加・修正で対応可能。
この問題のポイント
Policyは技術的統制(リソース設定)をチェックするが、アクセス制御、チェンジマネジメント、セキュリティ教育などの組織的要件はPolicy外で対応する必要がある。
「コンプライアンス」の他の問題
ある企業の法務・コンプライアンス担当者が「MicrosoftがGDPRやISO 27001などの規制要件にどのように対応…ある企業がAzure上でHIPAA(医療情報)に準拠したシステムを構築したい。「Microsoftとの間でHIPAAのビ…ある企業のコンプライアンス担当者が「自社のAzure環境がNIST SP 800-53やPCI DSSなどの規制フレーム…ある企業がAzureのデータガバナンスを強化したい。「データレイク・SQL Database・BlobストレージなどのA…ある企業が「Azureのクラウドサービスにおいて、顧客データはどの国のデータセンターに保存されるか」「Microsoft…ある企業の情報セキュリティ担当者が「AzureがSOC 2 Type IIの監査を受けているかどうかを証明する報告書を取…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。