ある金融機関がAzureで機密データを扱うアプリケーションを構築している。アプリケーションの実行中(メモリ内のデータ処理中)も暗号化された状態を維持し、クラウドプロバイダーや管理者でさえもデータにアクセスできないようにする「コンフィデンシャルコンピューティング」を実現したい。最も適切なAzureサービスはどれか。
- A. 透過的なデータ暗号化(TDE):Azure SQL Databaseのデータを保存時に暗号化する
- B. Azure Confidential Computing(Intel SGXまたはAMD SEV-SNPを使用するコンフィデンシャルVM/コンテナ):処理中のデータをハードウェアレベルのTEEで保護する
- C. Azure Key Vault:暗号化キーを安全に保管・管理する
- D. Azure Disk Encryption:VMのOSディスクとデータディスクを暗号化する
解答と解説を見る
正解: B
Azure Confidential Computingはアプリケーションの実行中(メモリ内でのデータ処理中)を保護する技術で、Intel SGX(Software Guard Extensions)またはAMD SEV-SNP(Secure Encrypted Virtualization)を使った信頼実行環境(TEE:Trusted Execution Environment)内でコードとデータを処理する。これによりクラウドプロバイダーのハイパーバイザー管理者でもメモリ内のデータにアクセスできない。選択肢DAzure Disk Encryptionは「保存時(at-rest)」のデータを暗号化するもので、処理中(in-use)の保護は行わない。選択肢CのKey Vaultは暗号化キーの保管・管理サービスであり、処理中データの保護機能はない。選択肢AのTDEはSQL Databaseのデータとログファイルの保存時暗号化であり、アプリケーションがデータをメモリで処理する際の保護は行わない。