A不正解
AWS KMS
AWS KMS は、暗号化キーを マネージドに作成・管理する サービスで、多くの暗号化要件はこれで満たせます。
ただし標準の KMS は AWS が管理する共有基盤の HSM を使うため、『自社専有の物理 HSM』という本問の法規制要件には 占有ハードウェアの CloudHSM が必要で不正解です。
法規制により、暗号化キーを自社専有の物理ハードウェアセキュリティモジュール(HSM)上で管理することが求められています。この要件を満たす AWS のサービスはどれですか。
1 / 1
回答を選択してください
正解D
解説
専有の物理 HSM で鍵を管理するサービスを選ぶ問題。
- 1「自社専有の物理ハードウェアセキュリティモジュール(HSM)」専用ハードウェア上での鍵管理が必要=CloudHSM
- 2「法規制により」厳格なコンプライアンス要件
B不正解
AWS Secrets Manager
AWS Secrets Manager は、データベースの認証情報や API キーなどの シークレットを保管しローテーションする サービスです。
保管するのは パスワード等の機密情報 であり、暗号化キーを 専有の物理 HSM 上で管理する 要件を満たすものではないため不正解です。
C不正解
AWS Certificate Manager
AWS Certificate Manager(ACM)は、TLS/SSL 証明書の発行・更新を管理する サービスです。
扱うのは 通信暗号化のための証明書 であり、汎用の暗号化キーを専有 HSM で管理する仕組みではないため不正解です。
D正解
AWS CloudHSM
正解。AWS CloudHSM は、顧客専有のハードウェアセキュリティモジュール(HSM)をクラウド上で提供するサービスです。専用ハードウェア上で暗号化キーを管理でき、厳格なコンプライアンス要件(自社専有の HSM での鍵管理など)を満たせます。KMS よりも専有性・制御性が高いのが特徴です。
ポイント
『専有の物理 HSM』『厳格なコンプライアンス』は AWS CloudHSM。通常のマネージド鍵管理は KMS、専用ハードウェアが要件なら CloudHSM、と要件の厳しさで使い分ける。