ある企業が Azure Backup を使って VM を保護している。セキュリティ担当者が「バックアップインフラのセキュリティ強化」を要件として挙げ、最善の対策を検討している。Recovery Services コンテナーで有効化すべきセキュリティ機能として正しいものを2つ選択してください。
- A. プライベートエンドポイント(Private endpoint):バックアップトラフィックをパブリックインターネットを経由せずに転送する
- B. 読み取りアクセス geo 冗長ストレージ(RA-GRS):セカンダリリージョンからの読み取りを可能にする
- C. Azure Defender for Backup:バックアップに対する高度脅威検知を提供するプレミアム機能
- D. コンテナーの地理冗長レプリケーション(GRS):バックアップデータをペアリージョンに自動レプリケーションする
- E. ソフトデリート(Soft delete):削除されたバックアップデータを 14 日間保持して誤削除・ランサムウェアから保護する
解答と解説を見る
正解: A, E
ソフトデリートはランサムウェアや悪意ある内部者・誤操作による即時削除を防ぐ重要なセキュリティ機能であり、Recovery Services コンテナーで新規作成時からデフォルト有効化が推奨されている。プライベートエンドポイントは VNet 内からのみ Recovery Services コンテナーへの通信を許可し、パブリックインターネットを経由したバックアップデータの流出リスクを排除する。この 2 つはバックアップのセキュリティ強化として Azure 公式ドキュメントで強く推奨されている。選択肢Cの「Azure Defender for Backup」という単独の製品は存在せず、Defender for Cloud のワークロード保護として Backup 監視機能は含まれるが、選択肢の表現は不正確である。選択肢DのGRS は可用性・耐久性のための冗長化オプションであり「セキュリティ機能」とは分類されない。選択肢BのRA-GRS も冗長性オプションであり、セキュリティ強化の文脈とは異なる。
📚 関連サービスの解説: プライベート エンドポイント