ある企業がAzureで機密性の高いアプリケーションデータを暗号化して保存したい。暗号化キーは顧客が自社で管理し(Customer-Managed Key:CMK)、Azureや第三者がキーにアクセスできないようにしたい。アプリケーションからのシークレット・証明書管理も一元化したい。最も適切なAzureサービスはどれか。
- A. Azure Key Vault:暗号化キー・シークレット・証明書を安全に管理するHSMバックドサービス
- B. Azure Security Center(Defender for Cloud):セキュリティ評価と脅威防御
- C. Microsoft Entra ID(旧 Azure AD):IDおよびアクセス管理サービス
- D. Azure Information Protection:ドキュメントやメールの分類・保護サービス
解答と解説を見る
正解: A
Azure Key VaultはHSM(ハードウェアセキュリティモジュール)またはソフトウェアバックドで暗号化キーを保護し、顧客管理キー(CMK)として自社でキーのライフサイクルを制御できる。アプリケーションのシークレット(接続文字列・APIキー)・TLS証明書・暗号化キーを一元管理し、きめ細かいアクセスポリシーでアプリケーションごとに必要最小限のアクセスを許可できる。選択肢CのEntra IDはユーザー認証・認可・IDガバナンスのサービスであり、暗号化キーの管理機能はない。選択肢BのDefender for Cloudはセキュリティ推奨・脅威検出・コンプライアンス評価を行うサービスで、暗号化キーの保管・管理機能はない。選択肢DAzure Information ProtectionはAIPとも呼ばれ、ドキュメントのラベリング・権限管理(IRM)に使うサービスであり、汎用的な暗号化キー管理とは異なる。
📚 関連サービスの解説: Azure Key Vault