SCS-C02#2(governance)

セキュリティエンジニアはAWS Control Towerを使用して新しいランディングゾーンを構築しました。組織内のすべてのアカウントで、CloudTrailのログファイル検証が無効化されないように制御したいと考えています。最も適切な方法はどれですか。

A. AWS Control Towerの強く推奨される予防的コントロールDisallow changes to encryption configuration for AWS CloudTrailをコアOUに適用します。
B. AWS Configルールcloudtrail-log-file-validation-enabledを管理アカウントで作成し、コンフォーマンスパックとして全リージョンに展開します。
C. AWS Control Towerの必須の予防的コントロールDisallow changes to logging configuration for AWS CloudTrailをすべての登録済みOUに適用します。
D. Security HubのCISベンチマーク2.2を有効化し、Security Hubの自動修復アクションでCloudTrail設定を毎時上書きします。

正解と解説ディスカッション 0

正解：C

正解の根拠

Control Towerの必須コントロールDisallow changes to logging configuration for AWS CloudTrailは、すべての登録済みOUに自動適用され、ログファイル検証を含むCloudTrail設定の変更を予防的にブロックします。これがControl Towerの設計上正しい統制方法です。

Control Towerコントロール種別

種別	動作
予防的	SCPでアクション拒否
発見的	Configルールで違反検出
プロアクティブ	CFNフックで作成前阻止

不正解の理由

A: 暗号化設定のコントロールであり、ログファイル検証保護の目的とは異なります。
B: Configルールは発見的検出のみで、変更自体を予防的に阻止することができません。
D: 自動修復の運用負荷が高く、アクション競合のリスクもあり推奨されません。

参考：Mandatory controls

SCS-C02#2(governance)

正解の根拠

Control Towerコントロール種別

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

Control Towerコントロール種別

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル