ある企業が Azure SQL Database でコンプライアンス要件を満たすために、特定のカラム(クレジットカード番号・社会保障番号)のデータを保存時および転送時に暗号化し、DBA であっても平文データを参照できないようにしたいと考えている。最も適切な機能はどれか。
- A. Transparent Data Encryption(TDE):データベースファイル全体を暗号化するが、接続したユーザーには平文で見える
- B. 動的データマスク(Dynamic Data Masking):クエリ結果の特定カラムをマスクして表示するが、データ自体は平文で保存される
- C. Azure SQL Database の監査(Auditing):クエリログを記録してコンプライアンスを証明する
- D. Always Encrypted:クライアントドライバーレベルで暗号化し、データベースエンジン・DBA にも平文が見えない列暗号化
解答と解説を見る
正解: D
Always Encrypted はクライアントアプリケーション側(ドライバー内)で暗号化・復号を行う機能であり、暗号化キーをクライアントが管理する。データベースサーバーには暗号化された状態でのみデータが到達・保存されるため、DBA・Azure のオペレーターであっても SQL Server プロセスからは平文データにアクセスできない。カラム単位での制御が可能でコンプライアンス要件に最適である。TDE はデータベースファイルの保存時暗号化であり、データベースに接続したユーザー(DBA を含む)は平文でデータを参照できてしまう(選択肢Aは要件を満たさない)。監査はアクセスログの記録であり暗号化ではない(選択肢Cは不正解)。動的データマスクはクエリ結果の表示をマスクするが基のデータは平文保存であり、DBA はマスクを回避できる(選択肢Bは要件を満たさない)。