ある企業がAzureのセキュリティベストプラクティスに沿った設計を行っている。「多層防御(Defense in Depth)」のアプローチにおいて、Azureで実装すべきセキュリティ制御を2つ選択してください。
- A. スケーリング層:自動スケーリングを有効にして常に最大インスタンス数で稼働させる
- B. アプリケーション層:App ServiceのカスタムドメインにHTTPSを強制してデータ転送時の暗号化を確保する
- C. データ層:Azure SQL DatabaseのTDE(透過的データ暗号化)を有効にして保存データを暗号化する
- D. 管理層:すべてのユーザーにOwnerロールを付与して管理を簡素化する
- E. 可用性層:VNetに複数の可用性ゾーンを設定してコスト削減を図る
解答と解説を見る
正解: B, C
多層防御は複数のセキュリティ層(物理・ID・境界・ネットワーク・コンピューティング・アプリケーション・データ)でシステムを保護するアプローチである。データ層のTDE(透過的データ暗号化)はSQL Databaseに保存されたデータを自動的に暗号化し、物理メディア盗難からデータを保護する(選択肢C正解)。アプリケーション層のHTTPS強制はデータ転送時(in-transit)の盗聴・改ざんを防ぐ(選択肢B正解)。選択肢Eの「可用性ゾーン+コスト削減」は可用性(Reliability)の設計であり、セキュリティレイヤーの話ではない(AZはコスト削減ではなく冗長化)。選択肢DのOwner付与は最小権限の原則に違反するセキュリティ上の悪手。選択肢Aのスケーリング最大化は可用性・パフォーマンス設計であり、セキュリティの多層防御の制御ではない。
📚 関連サービスの解説: Azure App Service ・ Azure SQL Database