ある企業が Azure Key Vault でマスター暗号化キーを管理し、複数の Azure サービス(Storage、SQL Database、Azure Disk Encryption)でカスタマー マネージド キー(CMK)を使用している。Key Vault のキーが誤って削除された場合にデータが復元不能になるリスクを最小化するために有効にすべき Key Vault の保護機能はどれか。
- A. Key Vault の論理的な削除(Soft Delete)のみを有効化し、削除後90日以内に復元できるようにする
- B. 論理的な削除(Soft Delete)と消去保護(Purge Protection)の両方を有効化し、保持期間中の完全削除を防ぐ
- C. Key Vault をリージョン冗長(Zone-redundant Storage)構成にしてキーのコピーを複数ゾーンに保持する
- D. Key Vault Premium SKU の HSM 保護に切り替えてキーのハードウェア的な耐障害性を確保する
解答と解説を見る
正解: B
論理的な削除(Soft Delete)は Key Vault オブジェクトを削除後、設定した保持期間(7〜90日)にわたって復元可能な状態で保持する機能。しかし Soft Delete のみでは保持期間内に「完全削除(Purge)」を実行すると即座に削除される。消去保護(Purge Protection)を有効化すると、Soft Delete の保持期間が終わるまで管理者であっても完全削除(Purge)できなくなり、誤削除・悪意ある削除から CMK を確実に保護できる。選択肢AのSoft Deleteのみでは内部の管理者による意図的なPurge操作は防げず不十分。選択肢Cのリージョン冗長はKey Vaultサービスの可用性向上(ゾーン冗長)であり、論理的なキー削除操作からの保護とは別の話。選択肢DのHSM保護はキーのセキュリティ強度を高めるが、誤削除からの復元可能性を保証する機能ではない。