正解:B
Amazon Inspectorは、AWSの自動化された脆弱性管理サービスです。Amazon EC2インスタンス、コンテナイメージ(ECR内)、Lambda関数を継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワーク露出を検出します。共通脆弱性識別子(CVE)に基づいた評価、ネットワーク到達可能性分析、ベストプラクティスとの比較による設定検証を行います。
他の選択肢について:
A. AWS Trusted Advisor:コスト、パフォーマンス、セキュリティなどのベストプラクティス推奨サービスですが、EC2の詳細な脆弱性スキャンは行いません。
C. AWS Config:リソース設定の記録・評価サービスで、脆弱性評価ツールではありません。
D. Amazon GuardDuty:脅威検出サービスで、脆弱性評価ではなく異常な動作を検出します。
正解:C
IAMロール(EC2インスタンスプロファイル)を引き受ける方法が、EC2インスタンスにAWSリソースへのアクセスを付与するセキュリティベストプラクティスです。主なメリット:
- 一時的な認証情報:自動的に更新されるため、キーの露出リスクがない
- ハードコーディング不要:アクセスキーをコードや設定ファイルに埋め込む必要がない
- 最小権限の原則:必要なAWSアクションのみに権限を限定
- AWSが自動管理:キーローテーションが不要
他の選択肢について:
A. ハードコーディング:コードが漏洩するとキーも漏洩し、重大なセキュリティリスクです。
B. テキストファイルに保存:インスタンス侵害時にキーが盗まれるリスクがあります。
D. バケットを誰でもアクセス可能に:重大なセキュリティ違反です。
正解:C
DynamoDBテーブルへのアクセス管理は顧客の責任です。フルマネージドサービスであるDynamoDBでも、顧客は以下を管理する必要があります:
- IAMポリシー:誰がテーブルにアクセスできるかを制御
- アプリケーションレベルのアクセス制御
- データ分類と暗号化キー管理(KMSカスタマー管理キー使用時)
他の選択肢について(これらはAWSの責任):
A. 物理セキュリティ:AWSがデータセンターの物理セキュリティを管理します。
B. パッチ適用:フルマネージドサービスのためAWSが自動管理します。
D. 保存データの暗号化:DynamoDBはデフォルトで暗号化されており、AWS所有キーでの暗号化はAWSが処理します(ただし、カスタマー管理キーの設定は顧客責任)。
正解:C
EC2インスタンスをホストする物理インフラストラクチャへのパッチ適用は、AWSの責任です。責任共有モデルにおいて、AWSは「クラウドのセキュリティ(Security OF the Cloud)」を担当し、これには以下が含まれます:
- 物理的なデータセンターインフラ:サーバー、ストレージ、ネットワーク機器
- ハイパーバイザー:EC2の基盤となる仮想化レイヤー
- 物理ハードウェアのパッチとメンテナンス
他の選択肢について(これらは顧客の責任):
A. ゲストOSの更新:EC2ではゲストOSは顧客が管理します。
B. データベース層の高可用性:EC2上でDBを自己管理する場合、高可用性設計は顧客責任です。
D. セキュリティグループの設定:仮想ファイアウォールの設定は顧客責任です。
正解:B
S3 Versioning(バージョニング)は、同じS3バケット内でオブジェクトの複数のバージョンを保持する機能です。バージョニングを有効にすると:
- 誤って削除しても:オブジェクトは完全に削除されず、削除マーカーが追加されるだけで、以前のバージョンは取得可能
- 誤って上書きしても:以前のバージョンは保持され、いつでも以前の状態に復元可能
- MFA Deleteと組み合わせることで、さらなる保護が可能
他の選択肢について:
A. S3 Lifecycleルール:オブジェクトのストレージクラス移行や削除を自動化する機能で、誤削除防止機能ではありません。
C. S3バケットポリシー:アクセス制御ポリシーで、削除・上書き後の復旧はできません。
D. S3サーバーサイド暗号化:データの暗号化機能で、誤削除・上書きからの保護ではありません。
正解:C
IAM Credential Report(認証情報レポート)は、AWSアカウント内のすべてのIAMユーザーとそれらの認証情報のステータス(パスワード、アクセスキー、MFAデバイス、サインイン証明書など)を一覧化するCSVレポートです。以下の情報が含まれます:
- パスワードの最終使用日・最終変更日・ローテーション状況
- アクセスキーの有効性・最終使用日・最終ローテーション日
- MFAデバイスの設定状況
これにより、コンプライアンス監査に必要な認証情報ローテーション情報を取得できます。
他の選択肢について:
A. IAM Access Analyzer:外部エンティティと共有されているリソースを検出するサービスです。
B. AWS Artifact:AWSのコンプライアンスレポートへのアクセスサービスです。
D. AWS Audit Manager:コンプライアンス監査を自動化するサービスで、IAM認証情報ローテーションの詳細レポートには特化していません。
(2つ選択)
正解:A, B
顧客の責任となるタスク:
A. AWSが提供するセキュリティグループファイアウォールの設定:仮想ファイアウォールのルール設定は顧客の責任です(AWSは機能を提供するが設定は顧客が行う)。
B. AWSクラウド内の企業資産の分類:データ分類、資産管理、データの機密性レベルの決定は顧客の責任です。
他の選択肢について:
C. S3のAZ選択:S3はリージョナルサービスで、AWSが自動的に複数AZにデータを保存するため、顧客はAZを選択できません。
D. DynamoDBのパッチ:フルマネージドサービスのため、AWSの責任です。
E. LambdaのEC2選択:Lambdaはサーバーレスサービスで、AWSが基盤インフラを管理するため、顧客はEC2を選択しません。
正解:B
アクセスキーは、AWS CLI、AWS API、SDKを通じてAWSリソースにプログラム的にアクセスするための認証情報です。アクセスキーは以下の2つの部分から構成されます:
- アクセスキーID:ユーザー名のような役割(例:AKIAIOSFODNN7EXAMPLE)
- シークレットアクセスキー:パスワードのような役割(作成時のみ表示される秘密の文字列)
IAMユーザーに最大2つのアクセスキーを関連付けることができ、ローテーション時に古いキーから新しいキーへの切り替えが可能です。
他の選択肢について:
A. Amazon Inspector:脆弱性管理サービスで、認証情報ではありません。
C. SSHパブリックキー:EC2インスタンスへのSSH接続用で、AWS CLI/API用ではありません。
D. KMSキー:暗号化鍵管理用で、AWS CLI/API認証用ではありません。
正解:A
AWS WAF(Web Application Firewall)は、Webアプリケーションを一般的なWeb攻撃から保護するファイアウォールサービスです。主な保護対象:
- SQLインジェクション攻撃:悪意のあるSQLコード注入の検出・ブロック
- クロスサイトスクリプティング(XSS)
- IPアドレスベースのブロック
- 地理的制限
- レートベースのルール(DDoS対策)
CloudFront、ALB、API Gateway、AppSyncと統合できます。
他の選択肢について:
B. AWS Shield:DDoS攻撃からの保護サービスで、SQLインジェクション対策ではありません。
C. ネットワークACL:サブネットレベルのステートレスファイアウォールで、アプリケーション層の攻撃は検出できません。
D. セキュリティグループ:インスタンスレベルのステートフルファイアウォールで、SQLインジェクションは検出できません。
正解:C
AWS IAM Access Analyzerは、リソースベースのポリシーを分析して、AWSアカウント外のエンティティ(外部AWSアカウント、匿名ユーザー、特定のAWSサービスなど)と共有されているリソースを特定するサービスです。サポート対象リソース:
- S3バケット
- IAMロール
- KMSキー
- Lambda関数
- SQSキュー
- Secrets Managerシークレット
これにより、意図しないアクセス許可を検出し、セキュリティリスクを軽減できます。
他の選択肢について:
A. AWS Service Catalog:承認済みITサービスのカタログ管理サービスです。
B. AWS Systems Manager:AWSリソースの運用管理サービスです。
D. AWS Organizations:複数AWSアカウントの一元管理サービスです。