Question#34(SAP-C02)

ある会社は、Amazon API Gateway API と、その API メソッドのロジックを含む AWS Lambda 関数を使って、主要な API を AWS 上でホストしています。

会社は、これらの API に対するセキュリティを強化し、以下を実現したいと考えています。

これらの要件を満たすにはどうすべきですか？

A. AWS WAF を使って両方の API を保護する。Amazon Inspector を使ってレガシー API を分析する。Amazon GuardDuty を使って API への悪意あるアクセス試行をモニタリングする。
B. AWS WAF を使って API Gateway API を保護する。Amazon Inspector を使って両方の API を分析する。Amazon GuardDuty を使って API への悪意あるアクセス試行をブロックする。
C. AWS WAF を使って API Gateway API を保護する。Amazon Inspector を使ってレガシー API を分析する。Amazon GuardDuty を使って API への悪意あるアクセス試行をモニタリングする。
D. AWS WAF を使って API Gateway API を保護する。Amazon Inspector を使ってレガシー API を保護する。Amazon GuardDuty を使って API への悪意あるアクセス試行をブロックする。

正解：C

AWS WAF
- WAF は API Gateway との統合が可能で、レート制限や署名検知で DoS/DDoS 緩和や OWASP Top 10 攻撃（SQLi、XSS など）のブロックを実現します。
- しかし、EC2 上のレガシー API には直接組み込みできないため、API Gateway 経由にしない限り WAF で保護できません。
Amazon Inspector
- Inspector は EC2 インスタンスやコンテナに対する脆弱性評価を行います。
- よって、単一 EC2 上の レガシー API に対して有効です。
- API Gateway + Lambda には適用できません（Lambda は Inspector のスコープ外）。
Amazon GuardDuty
- GuardDuty は 継続的な脅威検出サービスであり、ログを解析して悪意のある API 呼び出しや侵入兆候を モニタリングします。
- ただし トラフィックをブロックする機能は持ちません。それは WAF やセキュリティグループ/ACL の役割です。
- したがって GuardDuty は「監視」目的で使うのが正しい。

コメント