SC-900Microsoft セキュリティ ソリューションの機能MEDIUM単一選択

ある企業のセキュリティチームが Defender for Cloud のセキュア スコアを確認したところ、スコアを最も大きく改善できる推奨事項として「仮想マシンの管理ポートをインターネットに公開しないこと」が表示された。この推奨事項に対処するための最も推奨される方法はどれか。

  1. A. VM に Just-In-Time(JIT)アクセスを有効化し、管理ポートをデフォルトで閉じて承認時のみ一時開放する
  2. B. VMをプライベート サブネットに移動し、パブリックIPをなくしてNSGを削除する
  3. C. NSGのインバウンドルールで管理ポートを全IPに許可する代わりに、送信元をAzure管理ネットワークに絞る
  4. D. Azure Bastion を展開して RDP/SSH をポータル経由に移行し、VMの管理ポートをNSGで閉じる
解答と解説を見る

正解: A

Just-In-Time(JIT)VM アクセスは Defender for Cloud の機能で、RDP(3389)や SSH(22)などの管理ポートを常時公開せず、承認された要求があった場合のみ指定時間・指定IPから一時的に開放するアクセス制御を提供する。管理ポートの常時公開リスクを排除しつつ、管理作業の利便性も維持できる。選択肢CはAzure管理ネットワークへの制限であり一定の効果はあるが、管理ポートをインターネット向けに開放し続けることになり根本的な解決ではない。選択肢DのAzure Bastionも有効な手段だが、設問は「推奨事項に対処するための最も推奨される方法」として Defender for Cloud が直接提案するJITアクセスを問うている。選択肢Bのパブリック IP 削除・NSG削除では、必要な管理アクセス手段を失い運用不能になるリスクがある。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題