Cloud KMS(Key Management Service)を使ってデータを暗号化しています。最も安全にキーを管理するための設定として最も適切なものはどれですか?
- A. Cloud KMS のキーを 1 つ作成し、すべてのサービスで共用する
- B. Cloud KMS のキーリングとキーをサービスごとに分けて作成し、自動ローテーションを設定する
- C. CMEK(顧客管理の暗号化キー)は使わず、Google のデフォルト暗号化に委ねる
- D. KMS キーをローカルにエクスポートしてバックアップとして保管する
解答と解説を見る
正解: B
キーをサービスごとに分けて作成すると、1 つのキーが侵害された場合の影響範囲を限定できます。自動ローテーションを設定することでキーの露出リスクを低減できます。Cloud KMS はキーのバージョン管理・ローテーション・監査ログをネイティブにサポートしています。すべてのサービスで 1 つのキーを共用すると、キーの侵害がすべてのデータに影響します。Google のデフォルト暗号化は有効ですが、コンプライアンス要件やキー管理の制御が必要な場合は CMEK が推奨されます。KMS キーのエクスポートはセキュリティモデルを弱体化させます(Cloud KMS はキーが外に出ないことが設計の核心です)。
📚 関連サービスの解説: Cloud KMS