ある金融機関が、機密データを保存する RDS for PostgreSQL データベースを運用している。規制要件として、データベースに保存されるすべてのデータを顧客管理の暗号化キー(CMK)で暗号化し、キーのローテーション履歴や使用ログを監査できる必要がある。また、アプリケーション側でのコード変更を最小限に抑えたい。最も適切なソリューションはどれか。
- A. Amazon Macie を使用して RDS のデータを定期スキャンし、機密データが含まれる場合にアラートを送信する。
- B. RDS for PostgreSQL の作成時に AWS KMS のカスタマーマネージドキー(CMK)を使用した暗号化を有効化し、AWS CloudTrail で KMS API の呼び出しログを記録する。
- C. アプリケーション層でデータを AES-256 で暗号化してから RDS に保存する。暗号化キーはアプリケーションサーバーのローカルファイルに保管する。
- D. RDS の SSL/TLS 接続を有効化し、転送中暗号化のみで規制要件を満たすと判断する。
解答と解説を見る
正解: B
RDS のストレージ暗号化を有効にする際に AWS KMS のカスタマーマネージドキー(CMK)を指定することで、顧客がキーのライフサイクルを管理できる。CloudTrail は KMS の API コール(Decrypt, GenerateDataKey 等)を自動的に記録するため、キー使用の監査証跡も取得できる。アプリケーション側のコード変更は不要である。選択肢Cはアプリ層での暗号化であり、コード変更が大規模になる。さらにキーをローカルファイルに保管するのは安全でなく、監査証跡も取得しにくい。選択肢Dは転送中暗号化(TLS)のみで、保存データ(at rest)の暗号化要件を満たしていない。選択肢AのAmazon Macie は S3 上のデータの機密性検出ツールであり、RDS のデータを直接スキャンする機能は持たない。また暗号化の実装そのものに寄与しない。
📚 関連サービスの解説: Amazon RDS ・ AWS KMS