CLF-C02#354(Security)
企業が特定のポートへの無制限アクセスを許可している設定ミスのセキュリティグループを監視したいと考えています。この要件を満たすAWSサービスはどれですか?
正解:A
正解の根拠
AWS Trusted Advisor のセキュリティカテゴリには「Security Groups - Specific Ports Unrestricted」というチェックがあり、特定ポートを 0.0.0.0/0 など無制限に開けているセキュリティグループを検出して警告します。設定ミスを継続的に監視できるため、本要件に最適です。
セキュリティ監視ツール比較
| サービス | 主目的 |
|---|---|
| Trusted Advisor | ベストプラクティス/設定ミスチェック |
| CloudWatch | メトリクス/ログ監視 |
| GuardDuty | 脅威検出 |
| Health Dashboard | AWS サービス障害/メンテ通知 |
不正解の理由
- B: CloudWatch は数値メトリクスやログの監視で、SG 設定の評価は行いません。
- C: GuardDuty は不審な API 動作や通信を検出しますが、設定ミスのチェッカーではありません。
- D: Health Dashboard は AWS 側の障害やメンテ通知用で、設定検査機能はありません。
コメント