QUIZ 30分

クイズの説明

Step 4「マルチクラウドセキュリティを設計しよう」の理解度を確認します。セキュリティベースライン、ID連携、ネットワークセキュリティ、コンプライアンスについて問います。

合格ライン: 80%(5問中4問正解)

問題

Q1. 共有責任モデル

マルチクラウド環境のセキュリティにおいて、共有責任モデルの理解として最も正しいのはどれですか?

  • A. クラウドプロバイダーがすべてのセキュリティを担当するので、顧客は気にしなくてよい
  • B. 各クラウドプロバイダーの責任範囲が異なるため、3つの共有責任モデルを理解し、自社の責任範囲を正確に把握する必要がある
  • C. セキュリティは顧客がすべて担当するので、クラウドプロバイダーのセキュリティ機能は使わなくてよい
  • D. 共有責任モデルはIaaSにのみ適用され、PaaSやSaaSには適用されない
答えを見る

正解: B

マルチクラウド環境では、AWS/GCP/Azureそれぞれの共有責任モデルを理解する必要があります。基本的な構造は類似していますが、サービスタイプ(IaaS/PaaS/SaaS)によって責任範囲が異なります。プロバイダーがすべてを担う(A)わけではなく、顧客がすべてを担う(C)わけでもありません。PaaS/SaaSにも共有責任モデルは適用されます(D)。

Q2. ID連携

マルチクラウド環境でのID管理として最も適切なアプローチはどれですか?

  • A. 各クラウドにローカルユーザーアカウントを個別に作成し管理する
  • B. 統一IdPからSAML/OIDCで全クラウドにSSO連携し、クラウド横断の統一RBAC設計を行う
  • C. すべてのユーザーにadmin権限を付与して管理を簡略化する
  • D. クラウドのIAM機能は使わず、独自の認証システムを構築する
答えを見る

正解: B

マルチクラウドのID管理では、統一IdP(Identity Provider)を中心にSAML/OIDC連携で全クラウドにSSOを提供し、クラウド横断の統一ロール(RBAC)を設計することが最適です。ローカルアカウントの個別管理(A)はIDの分散によるセキュリティリスクを生みます。全員admin(C)は最小権限の原則に完全に反します。独自認証システム(D)は車輪の再発明であり、クラウドのIAM機能を活用すべきです。

Q3. ネットワークセキュリティ

マルチクラウドのネットワーク設計で、最も避けるべきミスはどれですか?

  • A. 各クラウドで異なるサブネットサイズを使用する
  • B. 複数のクラウドで同じCIDRレンジ(IPアドレス範囲)を使用する
  • C. VPN接続にAES-256暗号化を使用する
  • D. ファイアウォールルールをコードで管理する
答えを見る

正解: B

複数クラウドで同じCIDRレンジを使用すると、クラウド間のルーティングが衝突し、VPN接続やInterconnect接続が正しく機能しなくなります。例えば、AWSとGCPの両方で10.0.0.0/16を使用すると、どちらのネットワークに転送すべきかルーターが判断できません。異なるサブネットサイズ(A)は問題ありません。AES-256暗号化(C)とファイアウォールのIaC管理(D)はむしろベストプラクティスです。

Q4. コンプライアンス

GDPR対応で「EU居住者の個人データをAWSの東京リージョンに保管している」場合、必要な対応として最も適切なのはどれですか?

  • A. データの所在地は問題にならないので、特段の対応は不要
  • B. AWSの東京リージョンもGDPR準拠なので問題ない
  • C. EUからの十分性認定がある日本への移転ではあるが、適切な保護措置とDPAの締結を確認し、データ処理の記録を維持する必要がある
  • D. EU域外へのデータ移転は一切禁止されているので即座にデータを削除する
答えを見る

正解: C

日本はEUから「十分性認定」を受けているため、EU域外へのデータ移転自体は可能です。ただし、適切な保護措置(暗号化、アクセス制御)が講じられ、DPA(Data Processing Agreement)が締結され、データ処理の記録が維持されている必要があります。対応不要(A)は誤りであり、リージョンの所在地だけで判断する(B)のも不十分です。EU域外への移転が一切禁止(D)というのも誤りで、適切な法的根拠があれば移転は可能です。

Q5. Policy as Code

マルチクラウド環境でPolicy as Codeを導入する最大のメリットはどれですか?

  • A. ポリシー文書を作成する手間が省ける
  • B. セキュリティポリシーの検証を自動化し、人的ミスによるセキュリティ設定不備を継続的に検出・防止できる
  • C. セキュリティチームが不要になる
  • D. クラウドプロバイダーのセキュリティ機能を使う必要がなくなる
答えを見る

正解: B

Policy as Codeの最大のメリットは、セキュリティポリシーをコードとして定義し、CI/CDパイプラインやランタイムで自動的に検証することで、人的ミスによるセキュリティ設定不備を継続的に検出・防止できることです。ポリシー文書の作成が不要になるわけではなく(A)、むしろコードとして明確に定義する必要があります。セキュリティチームは依然として必要で(C)、クラウドのセキュリティ機能(AWS Config、GCP SCC等)と組み合わせて使うものです(D)。

結果

合格(4問以上正解)

Step 4の内容をよく理解しています。マルチクラウドのセキュリティベースライン、ID連携、ネットワーク、コンプライアンスの統合設計力を身につけました。次のStep 5「ベンダーマネジメントを実践しよう」に進みましょう。

不合格(3問以下正解)

Step 4の内容を復習しましょう。特に以下のポイントを重点的に確認してください:

  • 共有責任モデル — 3クラウドそれぞれの責任範囲の理解
  • ID Federation — 統一IdPとRBACの設計
  • ネットワーク設計 — CIDR重複の回避、ゼロトラスト
  • コンプライアンス — GDPR対応とPolicy as Code

推定所要時間: 30分