Q36 — AWS SAA-C03 第1章

第 36/65 問 | ← 第1章

Q36. ある企業が、機密データをAmazon S3に保存する準備をしています。コンプライアンス要件により、データは静止時(at rest)に暗号化される必要があります。また、暗号化キーの使用状況は監査目的でログ記録されなければなりません。さらに、キーは毎年ローテーションする必要があります。 これらの要件を満たし、かつ運用上最も効率的なソリューションはどれですか?

正解: D. 自動ローテーションを有効にしたAWS KMS(SSE-KMS)のカスタマーマスターキー(CMK)によるサーバー側暗号化

解説

静止時におけるデータの暗号化、監査のためのキー使用状況のログ記録、および年1回のキー・ローテーションという要件を満たし、かつ運用上最も効率的なソリューションは、選択肢Dです。 自動ローテーションを有効にしたAWS KMS(SSE-KMS)のカスタマーマスターキー(CMK)によるサーバー側暗号化を利用します。この方法では、機密データを静止時に強固に暗号化でき、AWS Key Management Service(KMS)が自動的にCMKを年1回ローテーションします。さらに、KMSはすべてのキー使用状況をAmazon CloudTrailに記録するAPIを提供しており、これにより監査目的での利用が可能です。 選択肢A(SSE-C)は、ユーザーが自身で提供・管理するキーを扱う必要があり、アーキテクチャに複雑さとセキュリティリスクを追加します。 選択肢B(SSE-S3)は、自動キー・ローテーション機能を提供しないため、手動によるローテーションが必要となり、運用負荷が増加します。