複合シナリオ誤り発見
ある企業がAzure Storageアカウントを使用して機密データを保存している。セキュリティ対策に関する以下の記述で誤っているものはどれか。
A.Blob Storageはデフォルトでは暗号化されておらず、保存時の暗号化(Encryption at Rest)を有効にする必要がある。← 正解
✓ 正解です。この記述が誤りで、Azure Blob Storageは保存時に自動的にAES-256の暗号化が有効化されており、追加の設定は不要である。Microsoftが管理するキー使用時は暗号化コストも追加費用なし。
B.Azureでは、顧客が持ち込んだ暗号化キーではなく、Microsoftが管理する暗号化キーを使用すれば、保存時の暗号化コストは無料である。
✓ この記述は正しい。Microsoftが管理する暗号化キーを使用する場合、暗号化は追加費用なしで自動的に有効になる。
C.ファイアウォール設定により、特定のAzureサブネット、IPアドレス範囲、またはAzureサービス(例:App Service)からのみアクセスを許可できる。
✓ この記述は正しい。Storageアカウントのファイアウォール機能により、特定のネットワーク範囲やAzureサービスからのアクセスを制御できる。
D.ストレージアカウントへのアクセスは、ストレージアカウントキーではなく、マネージドID(Managed Identity)を使用して認証することで、キー管理のセキュリティリスクを低減できる。
✓ この記述は正しい。マネージドIDはキーレス認証を実現し、暗号化キーをアプリケーションコードに保持する必要がなくなるため、セキュリティが向上する。
この問題のポイント
この記述が誤りで、Azure Blob Storageは保存時に自動的にAES-256の暗号化が有効化されており、追加の設定は不要である。Microsoftが管理するキー使用時は暗号化コストも追加費用なし。
「複合シナリオ」の他の問題
ある企業がグローバルにWebアプリを公開している。「世界中のユーザーが最も近いAzureリージョンのエンドポイントに自動…ある企業がAzureのVNet内で「内部のVM同士の東西通信(East-West)でも、特定ポートのみ許可し不要なポート…ある企業がAzureでシステムを設計している。「データを最低3か所の分離した場所に複製し、リージョン全体が障害になっても…ある企業がAzureでコンテナ化されたマイクロサービスを本番運用したい。「コンテナのオーケストレーション(自動スケーリン…ある企業がオンプレミスのActive Directoryユーザーを使ってAzureリソースにアクセスさせたい。「オンプレ…ある大企業がAzureのコスト管理を強化している。「先月の請求額が予算の3倍になっていた。原因を特定するために、どのサー…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。