MENU

会員登録（無料）

SOA-C03#4(security)

この問題のディスカッション

SOA-C03#4(security)

運用エンジニアは EC2 上で発見された OS / アプリケーションの脆弱性を継続評価し、CVE で集計したいと考えています。最小設定で実現する方法はどれですか。

A. Inspector v2 を有効化し EC2 / ECR / Lambda の脆弱性スキャンを開始します。
B. Macie で機密データの脆弱性を検出し、CVE 集計レポートを独自スクリプトで生成して S3 に長期保管する運用を採用します。
C. Security Hub のみで CIS ベンチマークを実行し、CVE 抽出は所見の検出名から正規表現で抽出する独自手順で運用します。
D. GuardDuty を有効化して脆弱性検出を行います。

正解と解説ディスカッション 0

正解：A

正解の根拠

Inspector v2 は EC2、コンテナイメージ、Lambda の脆弱性を継続的にスキャンし、CVE と CVSS で集計するマネージドサービスです。SSM Agent によりエージェントレスに近い形で導入できます。

セキュリティサービスの用途

サービス	主用途
Inspector	脆弱性スキャン (CVE)
GuardDuty	脅威検出 (異常挙動)
Security Hub	所見集約 / 標準準拠
Macie	S3 機密データ検出

不正解の理由

B: Macie は S3 内のデータ分類が目的で、EC2 や OS の脆弱性 CVE 検出として設計目的が異なる副作用があります。
C: Security Hub は所見集約と標準評価が中心で、CVE スキャンの一次データ源を提供する設計目的とは異なります。
D: GuardDuty は脅威検知（異常挙動）が主目的で、OS・アプリの CVE スキャンを行う機能を持ちません。

参考：Amazon Inspector

コメント

コメント

コメントするコメントをキャンセル