SC-900Microsoft コンプライアンス ソリューションの機能MEDIUM単一選択

ある金融機関が、コンプライアンスマネージャーで NIST SP 800-53 評価を実施したところ、コンプライアンススコアが 45% となった。スコアを上げるために最も効果的なアプローチはどれか。

  1. A. 評価内のすべての改善アクションを「リスク承認済み」ステータスに変更し、スコアへの反映を待つ
  2. B. Azure Policy イニシアティブで NIST SP 800-53 のビルトインポリシーを割り当て、Azure リソースの準拠状態を向上させることで自動的にスコアが更新される
  3. C. コンプライアンスマネージャーの改善アクション一覧からポイントが高い顧客管理コントロールを優先して実装し、実装証拠をアップロードしてステータスを更新する
  4. D. Microsoft 管理コントロールの実装状況テストを実施し、Microsoft に実装の改善を依頼する
解答と解説を見る

正解: C

コンプライアンスマネージャーのスコアは、顧客管理コントロールの改善アクションを実装し、ステータスを「実装済み」に更新することで向上する。各改善アクションにはポイント(重み)が設定されており、高ポイントのアクションを優先して取り組むことが最もスコア向上に効果的である。実装証拠(スクリーンショット・設定ドキュメント・テスト結果など)をアップロードして記録することでコンプライアンスの透明性も担保できる。選択肢Dの Microsoft 管理コントロールは Microsoft が責任を持つものであり、顧客が実装を依頼したり変更したりすることはできない。選択肢Bの Azure Policy はリソース準拠を管理するものであり、コンプライアンスマネージャーのスコアに自動連携する仕組みは一部存在するが、アクションを実装してステータスを更新することが主要な手段である。選択肢Aの「リスク承認済み」は実装を行わずにリスクを受容することを示すが、これもある程度のポイントは付く場合があるものの、実装済みと比較してスコア貢献が小さく、かつ実際のセキュリティ向上にならない。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題