ある企業が Azure Key Vault でデータベースの接続文字列を管理している。監査要件として、誰がいつどのシークレットにアクセスしたかを6か月間記録・保存する必要がある。Key Vault の診断ログをどこに送れば要件を満たせるか。
- A. Azure Defender for Key Vault を有効化してアラートとしてアクセスログを記録する
- B. Azure Key Vault 自体の監査ログ機能で保存期間を6か月に設定する
- C. Key Vault のアクセスポリシーを監査モードに切り替えてすべてのアクセスを拒否ログとして記録する
- D. Key Vault の診断設定から Azure Monitor ログ(Log Analytics ワークスペース)または Azure Storage Account に転送し、保存期間を設定する
解答と解説を見る
正解: D
Azure Key Vault の診断設定(Diagnostic Settings)を構成すると、AuditEvent ログ(シークレット・キー・証明書へのアクセスイベント)を Azure Monitor ログ(Log Analytics ワークスペース)または Azure Storage Account に転送できる。Storage Account では保存期間(リテンション)をポリシーで設定することも可能で、6か月間の監査ログ保存要件を満たせる。選択肢BはKey Vault 自体が長期ログ保存機能を内部に持つという誤解に基づいており、実際には外部のストレージに転送する必要がある。選択肢CのアクセスポリシーをAuditモードに設定しても操作は拒否されないが、ログを長期保存する仕組みとしては機能しない。選択肢Aのゲスト(Defender for Key Vault)はランタイムの不審アクセスをアラートとして検知するものであり、すべてのアクセス操作の監査ログ長期保存とは役割が異なる。
📚 関連サービスの解説: Azure Key Vault ・ Azure Monitor