SCSC03-DET#3
あるセキュリティ担当者が、単一の AWS アカウントで複数のリージョンにわたり Amazon GuardDuty を運用しています。GuardDuty の detector(検出機能)リソースの性質として、最も適切なものはどれですか。
解説
【正解: A】の理由
Amazon GuardDuty の detector は、特定の AWS リージョンにおける GuardDuty サービスそのものを表すリソースで、リージョンごと・アカウントごとに 1 つだけ存在します。detector を作成(有効化)するとそのリージョンで脅威検出が開始され、無効化・削除するとそのリージョンの検出が停止します。GuardDuty はリージョナルサービスであるため、複数リージョンを保護するにはリージョンごとに detector を有効化する必要があり、あるリージョンの detector は他リージョンのアクティビティを分析しません。detector には detectorId という一意の識別子が割り当てられ、保護プランの構成やフィルター作成などの各種 API 呼び出しはこの detectorId を単位として行います。したがって「リージョン単位で 1 つ」という性質と、有効化・無効化の単位である点を正しく理解することが運用設計上きわめて重要です。
【他選択肢が違う理由】
- B: detector はグローバルではなくリージョナルなリソースであり、1 つ作成しても他リージョンの検出は自動的に有効になりません。各リージョンで個別に有効化する必要があります。
- C: GuardDuty は VPC フローログや CloudTrail を利用者が事前に有効化しなくても、独立した複製ストリームから直接取り込むため、この前提条件は誤りです。
- D: detector は IAM ロールではなく検出機能を表すリソースで、ログアクセスはサービスにリンクされたロールが自動的に扱うため、手動アタッチは不要です。

コメント