AWS におけるデータの暗号化に関する説明として正しいものを 2 つ選んでください。
AWS の暗号化に関する正しい記述を 2 つ選ぶ問題。
AWS KMS を使うと、暗号化キーの作成・管理とアクセス制御を一元的に行える
正解。AWS KMS(Key Management Service の略。日本語では鍵管理サービス)は、データの暗号化に使う 暗号化キーの作成・保管・ローテーション(定期的な鍵の交換)を一元的に行うマネージドサービス です。誰がどのキーを使えるかを IAM やキーポリシーでアクセス制御 でき、キーがいつ誰に使われたかを CloudTrail で監査 できます。S3 や EBS など多くの AWS サービスの暗号化はこの KMS の鍵を使って行われます。
S3 で保管時の暗号化を有効にすると、転送時の通信も自動的に暗号化される
保管時の暗号化(SSE など)が保護するのは ディスク上に保存されたデータ だけです。
通信経路の保護は TLS(HTTPS)による転送時の暗号化 として 別に 確保するものであり、保管時の設定で転送時まで自動的にカバーされるわけではないため不正解です。
KMS のキーは AWS が管理するため、顧客がアクセス制御を行うことはできない
AWS KMS では、キーポリシーや IAM ポリシーによって誰がどのキーを使えるかを顧客自身が制御 できます。
『AWS 管理だから制御できない』という説明は KMS の中核機能(キーの作成・管理・アクセス制御の一元化)と矛盾するため不正解です。
転送時の暗号化は TLS などを用いて通信経路上のデータを保護する
正解。転送時の暗号化はTLS/SSL を用いて通信経路上のデータを暗号化し、盗聴や改ざんから保護します。HTTPS が代表例です。
保管時の暗号化を有効にするには、アプリケーション側の改修が必須になる
S3 や EBS などの サーバー側暗号化(SSE) では、保存するときに AWS 側が 自動で暗号化 し、読み出すときに 自動で復号 してくれます。つまりアプリケーションからは暗号化されていることが見えず、今までどおり読み書きするだけでよい(この性質を透過的と呼びます)。
設定を有効化するだけで使い始められるため、アプリ改修が必須という説明は誤りで不正解です。
暗号化の要点: KMS=鍵の一元管理とアクセス制御(キーポリシー)、in transit=TLS で通信保護、at rest≠in transit(対象が違い別々に有効化)、サーバー側暗号化は透過的でアプリ改修不要。