ある金融機関が Azure Key Vault を使い、HSM(ハードウェア セキュリティ モジュール)で保護された暗号化キーを管理したい。法規制でキーは物理的に FIPS 140-2 Level 3 の HSM に保管することが義務付けられている。適切な Key Vault の構成はどれか。
- A. Key Vault Standard レベルを使用する — ソフトウェアで保護されたキーを格納する
- B. Key Vault Premium レベルを使用する — HSM で保護されたキーを格納できる
- C. Key Vault を複数のリージョンに冗長構成する — 物理的なHSMバックアップが担保される
- D. Key Vault Standard レベルで TLS 1.3 を有効化する — 転送中の暗号化がFIPS準拠になる
解答と解説を見る
正解: B
Azure Key Vault Premium レベルでは、FIPS 140-2 Level 2(ソフトウェア Keys)に加え、FIPS 140-2 Level 3 認定の HSM(Azure マネージド HSM または Key Vault Premium HSM保護キー)でキーマテリアルを保護できる。法規制でHSM保管が義務付けられている場合はPremiumレベルを選択する必要がある。選択肢AのStandardレベルはソフトウェア保護のみでHSMには格納されないため、FIPS 140-2 Level 3 要件を満たせない。選択肢DのTLS 1.3有効化は転送中の暗号化強化であり、静止時のキーのHSM保管要件とは無関係。選択肢Cのリージョン冗長はKey Vaultの可用性向上であり、HSMによる物理保護とは異なる概念で、この構成でHSM要件を満たすことはできない。
📚 関連サービスの解説: Azure Key Vault