WEB問題集
監査要件として、組織内の全アカウントの管理 API 呼び出しを改ざん不能な形で 7 年間保持し、SQL ベースで分析できるようにする必要があります。最も適した構成はどれですか。
正解:A
正解の根拠
CloudTrail Lake は管理イベントを最大 10 年保持でき、SQL クエリで横断分析可能なマネージドデータレイクです。組織トレールを併用することで全メンバーアカウントを一元集約でき、改ざん防止のため不変ストレージで保管されます。
ログ分析手法の比較
| 方式 | SQL 分析 | 長期保持 |
|---|---|---|
| Trail Lake | ネイティブ | 最大 10 年 |
| S3 集約 | Athena 別途 | 可(追加設定) |
| Logs Insights | 独自構文 | 最大 10 年(高コスト) |
| Config 履歴 | Athena 必要 | 設定変更のみ |
不正解の理由
- B: S3 集約のみ方式は SQL 分析にスキーマ整備と Athena 別途設定が必要となる副作用があり、Trail Lake のネイティブ機能に劣ります。
- C: Logs Insights は独自クエリ構文の機能で SQL ではなく、長期保持コストも高い副作用がある運用方式です。
- D: Config は構成変更を記録するサービスで、API 呼出し記録機能を持たない副作用があり要件と機能目的が異なります。
運用エンジニアは EC2 上のアプリで利用する RDS パスワードを 30 日ごとに自動ローテーションし、アプリには再起動なしで反映したい要件です。最適な方法はどれですか。
正解:A
正解の根拠
Secrets Manager は RDS と統合し、自動ローテーション Lambda を提供します。アプリは GetSecretValue で常に最新値を取得でき、ローテーション中も旧パスワードを並行有効化するため、再起動不要で切替できます。
シークレット管理の比較
| 機能 | Secrets Manager | Parameter Store |
|---|---|---|
| 自動ローテーション | 標準提供 | 自前実装 |
| RDS 統合 | あり | なし |
不正解の理由
- B: IAM 認証は有効ですが既存アプリの大幅改修が必要となる副作用があり、Secrets Manager + RDS 統合による無改修運用と比べ導入工数が過大です。
- C: Parameter Store はローテーション機能を内蔵せず、自前 Lambda 実装が必要となる副作用があり代替には適しません。
- D: 手動更新は再起動なし反映の要件を満たさず、運用担当者の人的ミスや遅延が発生する副作用があり、自動ローテーション要件に反します。
セキュリティ要件として、アカウント全体の S3 バケットがパブリック公開されている場合に自動でブロック設定を強制したいと考えています。最小の運用負荷で実現する方法はどれですか。
正解:A
正解の根拠
AWS Config マネージドルールでパブリック設定を継続評価し、非準拠時は SSM Automation 修復ドキュメントで Block Public Access を自動適用できます。検出と修復をマネージドで実現できるため運用負荷が最小です。
S3 公開対策の比較
| 方式 | 検出 | 修復 |
|---|---|---|
| Config + SSM Automation | マネージド | 自動 |
| 自作 Lambda | 自前 | 自前 |
| EventBridge 単独 | イベント検知 | 追加実装 |
| BPA のみ | 強制有効 | 個別バケットの非準拠検知不可 |
不正解の理由
- B: アカウント BPA のみは個別違反検出のレポート機能が弱く、継続評価要件として副作用があります。
- C: Lambda 自作運用は標準機能の再発明で、運用負荷の副作用が大きく要件の最小化と整合しません。
- D: EventBridge+Lambda の都度ブロックは追加実装の副作用があり、Config 標準ルールの代替としては運用負荷が大きい構成です。
運用エンジニアは EC2 上で発見された OS / アプリケーションの脆弱性を継続評価し、CVE で集計したいと考えています。最小設定で実現する方法はどれですか。
正解:A
正解の根拠
Inspector v2 は EC2、コンテナイメージ、Lambda の脆弱性を継続的にスキャンし、CVE と CVSS で集計するマネージドサービスです。SSM Agent によりエージェントレスに近い形で導入できます。
セキュリティサービスの用途
| サービス | 主用途 |
|---|---|
| Inspector | 脆弱性スキャン (CVE) |
| GuardDuty | 脅威検出 (異常挙動) |
| Security Hub | 所見集約 / 標準準拠 |
| Macie | S3 機密データ検出 |
不正解の理由
- B: Macie は S3 内のデータ分類が目的で、EC2 や OS の脆弱性 CVE 検出として設計目的が異なる副作用があります。
- C: Security Hub は所見集約と標準評価が中心で、CVE スキャンの一次データ源を提供する設計目的とは異なります。
- D: GuardDuty は脅威検知(異常挙動)が主目的で、OS・アプリの CVE スキャンを行う機能を持ちません。
マルチアカウント環境で全アカウントの IAM ユーザーが MFA を有効にしているか継続的に評価し、組織レベルで集計したいと考えています。最適なアプローチはどれですか。
正解:D
正解の根拠
Config 適合パックは複数のマネージドルール(mfa-enabled-for-iam-console-access など)をテンプレート化して組織展開できます。Aggregator により全アカウント・リージョンの評価結果を 1 ビューで集約でき、継続評価に最適です。
マルチアカウント評価手法の比較
| 方式 | 展開 | 集約 |
|---|---|---|
| Config 適合パック + Aggregator | 組織配布 | あり |
| Trusted Advisor 手動 | 手動 | 手動 |
| 自作 Lambda | 自前 | 自前 |
| Security Hub S3 標準 | S3 観点のみ | 該当外 |
不正解の理由
- A: Lambda 自前スキャンは標準機能の再発明で、運用負荷とエラーハンドリングに副作用があります。
- B: Trusted Advisor 手動集計は時間と精度の課題があり、組織横断の継続評価要件と整合しません。
- C: Security Hub の S3 標準は S3 観点のみが対象で、IAM MFA 評価の設計目的とは異なります。