ある企業がAzure VMのOSディスクをManaged Diskで管理している。セキュリティ要件として「OSディスクのデータをAzureが管理するキーではなく顧客が管理するキー(CMK)で暗号化したい」という要件と、「VMのゲストOS内でもディスク暗号化を適用したい(OSとデータディスクの両方)」という2つの要件がある。これらをそれぞれ満たすAzureの機能を2つ選択してください。
- A. サーバー側暗号化(SSE)+カスタマー マネージド キー(CMK):Azureストレージレイヤーで顧客管理キーによる暗号化を適用する
- B. Transparent Data Encryption(TDE):SQLデータベースのデータファイルを暗号化するSQL Server固有の機能
- C. Azure Defender for Servers:VMのディスクをリアルタイムでウイルススキャンして暗号化する
- D. Azure Disk Encryption(ADE):Windows(BitLocker)またはLinux(DM-Crypt)を使ってゲストOSレベルでディスクを暗号化する
- E. Azure Key Vault マネージドHSM:HSMバックアップのキーを使って暗号化する(通常のSSE/ADEと置き換えで使用)
解答と解説を見る
正解: A, D
サーバー側暗号化(SSE)+CMKは、AzureストレージプラットフォームレイヤーでManaged Diskを顧客が管理するキーで暗号化する機能であり、「Azureが管理するキーではなく顧客管理キーを使いたい」という最初の要件を満たす。Azure Disk Encryption(ADE)は、VMのゲストOS内でWindowsのBitLockerまたはLinuxのDM-CryptをAzure Key Vault連携で動作させる機能で、OSディスクとデータディスクをゲストOSレベルで暗号化する。これが2つ目の要件を満たす。選択肢EのマネージドHSMはキー保管のハードウェアセキュリティを強化するものであり、SSEやADEと別のレイヤーで組み合わせて使うが、単体でディスク暗号化を提供するものではない。選択肢BのTDEはSQL Serverのデータベースファイル専用であり、VM OSディスクには適用できない。選択肢CのDefender for Serversはセキュリティ監視・脅威検知であり、ディスク暗号化機能ではない。