WEB問題集
セキュリティエンジニアは、Amazon GuardDuty を組織で初めて有効化しました。最初のスキャンで CryptoCurrency:EC2/BitcoinTool.B!DNS という検出結果が単一の本番 EC2 インスタンスから出力されています。エンジニアはこの検出結果に対して、フォレンジック証拠を保全しつつ、最小限の運用負荷で初期対応を実施したいと考えています。
どの対応が最も適切でしょうか。
正解:C
正解の根拠
CryptoCurrency 系の検出は、インスタンスがビットコインプール等と通信していることを示すマルウェア感染の強い兆候です。AWS のインシデント対応ベストプラクティスでは、揮発メモリと非揮発メモリを保全しつつ、インスタンスは稼働させたまま隔離 SG へ切り替え、EBS スナップショットを取得します。
不正解の理由
- A: 即時停止により揮発メモリが破棄されてしまい、フォレンジック証拠の重要部分を失う行為です。
- B: 抑制ルールは誤検知への対応手段であり、真の脅威に対して使用するのは不適切な運用判断です。
- D: Config は構成変更履歴の記録を主目的としており、マルウェア感染対応の主要手段にはなりません。
ある企業は AWS Organizations に 50 アカウントを持ち、組織全体に Amazon GuardDuty を展開しています。セキュリティチームは複数のアカウントから出る誤検知を一元的に管理したいと考えています。具体的には、社内 VPN の固定 IP からの SSH アクセスが UnauthorizedAccess:EC2/SSHBruteForce として誤検知される事象を、組織全体で抑制したいという要件があります。
どのアプローチが最も運用負荷が低いでしょうか。
正解:A
正解の根拠
GuardDuty の Trusted IP List は委任管理者アカウントで設定すれば組織全体のメンバーアカウントに適用されます。当該リストの IP は GuardDuty が信頼するものとして扱われ、UnauthorizedAccess 系を含む多くの検出が抑制されます。組織レベルでの管理が可能で、運用負荷が最小です。
不正解の理由
- B: 各アカウントを個別に運用する方式は、大規模な組織環境では持続性に欠ける運用です。
- C: Security Hub のインサイトは可視化用の集約ビューであり、検出結果の抑制機能ではありません。
- D: Lambda の自動アーカイブは追加実装が必要で、ネイティブな信頼 IP 機能を捨てる選択です。
企業は数百個の S3 バケットに機密データを保管しています。セキュリティチームはオブジェクトに含まれる個人情報やクレジットカード番号の検出を継続的に行いたいと考えています。データ量は日々増加し、新規バケットも頻繁に作成されます。
最小の運用負荷で要件を満たす方法はどれでしょうか。
正解:D
正解の根拠
Amazon Macie の自動機密データディスカバリは、組織のすべての S3 バケットを継続的にサンプリングし、PII やクレジットカード番号などの機密データを管理対象アカウント横断で発見します。新規バケットも自動でスコープに含まれるため、運用負荷は最小です。
不正解の理由
- B: 自前のスキャナを実装する方式は、運用負荷とコストが大きく、また再発明にあたる選択です。
- C: Inspector V2 は脆弱性管理サービスであり、S3 オブジェクト内のデータ分類は対象外の機能です。
- A: GuardDuty Malware Protection はマルウェア検出機能で、PII 検出を行う用途のサービスではありません。
ある組織は AWS Security Hub を有効化しており、CIS AWS Foundations Benchmark v1.4.0 と PCI DSS v3.2.1 のセキュリティ標準を有効にしています。セキュリティエンジニアは、特定の Critical な検出結果が新規発生したときに、自動的に修復用の Lambda 関数を起動したいと考えています。
どの構成が最も適切でしょうか。
正解:D
正解の根拠
Security Hub は新規および更新された検出結果を Security Hub Findings - Imported イベントとして EventBridge に発行します。イベントパターンに Severity.Label が CRITICAL のフィルタを設定すれば、自動的に Lambda を起動できます。これは AWS が公式に推奨する自動修復パターン (SHARR の基盤) です。
不正解の理由
- A: カスタムアクションは管理者が手動で発火するもので、新規検出時に自動起動する用途ではありません。
- C: インサイトは集約ビューであり、検出結果が新規に出現した際のトリガとしては機能しません。
- B: 全標準を Config Rules で再実装するのは大規模な車輪の再発明であり、運用負荷も高くなります。
セキュリティエンジニアは、Amazon Detective を使用して GuardDuty が検出した UnauthorizedAccess:IAMUser/MaliciousIPCaller を調査しています。エンジニアは、この IAM ユーザーが過去 30 日間にどのような API 呼び出しをし、どの IP から認証されたかを把握したいと考えています。
Detective のどの機能が最も役立つでしょうか。
(2つ選択)
正解:A, C
正解の根拠
Amazon Detective のエンティティプロファイル (IAM ユーザー、ロール、IP、EC2 など) では、選択した主体について過去最大 1 年分の認証傾向、API 呼び出し量、ピアグループ比較、関連リソースが時系列のグラフで表示されます。本シナリオの調査要件に直接合致します。
不正解の理由
- B: Detective には部門単位のコホート比較分析という機能カテゴリは提供されていません。
- D: Detective には SQL やグラフクエリ言語によるアドホック検索の機能は提供されていません。