コンプライアンス応用
ある金融機関がAzureでのシステム監査において、「過去6ヶ月間にどの管理者がどのリソースに何度アクセスしたか」を証明する必要が生じた。現在、Azure Monitor と Azure AD Sign-in Logs を有効化済みの場合、この要件を最適に満たすために最も重要な追加設定は何か。
A.Azure Activity Logの保有期間を90日間に延長し、全ての管理アクション(リソース作成・削除・変更)を記録することで要件が満たされる。
✗ Activity Logだけでは管理アクション記録のみで、細粒度のリソースアクセス(誰がどのリソースを参照したか)は不足する。複合ログが必須。
B.Activity LogとSign-in Logsに加え、Azure Role-Based Access Control(RBAC)の変更履歴とリソースレベルでの監査ログを複合的に分析し、アクセス証拠を構築する必要がある。← 正解
✓ 正解です。Activity Log(管理操作)、Sign-in Logs(認証)、RBAC変更履歴(権限変化)、リソースレベル監査ログを組み合わせることで、「誰が何にいつアクセスしたか」の完全証拠を構築できる。
C.Azure Policyで全リソースアクセスを自動ブロックすれば、アクセス痕跡が記録されるため証拠となる。
✗ ポリシーでブロックしてもアクセス試行ログには含まれるが、成功したアクセスの記録とは異なり、監査証拠として不完全。
D.6ヶ月間のログ保有にはApplication Insights の有効化のみで十分である。
✗ Application Insightsはアプリレベルのメトリクス中心。管理操作とアクセス制御の監査にはActivity LogとAzure ADログが必要。
この問題のポイント
Activity Log(管理操作)、Sign-in Logs(認証)、RBAC変更履歴(権限変化)、リソースレベル監査ログを組み合わせることで、「誰が何にいつアクセスしたか」の完全証拠を構築できる。
「コンプライアンス」の他の問題
ある企業の法務・コンプライアンス担当者が「MicrosoftがGDPRやISO 27001などの規制要件にどのように対応…ある企業がAzure上でHIPAA(医療情報)に準拠したシステムを構築したい。「Microsoftとの間でHIPAAのビ…ある企業のコンプライアンス担当者が「自社のAzure環境がNIST SP 800-53やPCI DSSなどの規制フレーム…ある企業がAzureのデータガバナンスを強化したい。「データレイク・SQL Database・BlobストレージなどのA…ある企業が「Azureのクラウドサービスにおいて、顧客データはどの国のデータセンターに保存されるか」「Microsoft…ある企業の情報セキュリティ担当者が「AzureがSOC 2 Type IIの監査を受けているかどうかを証明する報告書を取…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。