MENU

会員登録（無料）

Question#39(SCS-C01)

この問題のディスカッション

Question#39(SCS-C01)

ある企業は、アプリケーションを実行しており、そのアプリケーションはログを Amazon CloudWatch Logs のロググループに送信しています。ログの中には、アプリケーションユーザーの メールアドレスが含まれています。

この会社の開発者は CloudWatch Logs でログを閲覧する必要があります。セキュリティエンジニアは、開発者がロググループにアクセスしてもユーザーのメールアドレスを見られないようにする必要があります。 この要件を満たすソリューションはどれでしょうか？

A. Amazon Macie を使用してロググループをスキャンする。

正規表現を使ってメールアドレスのパターンを識別するカスタムデータ識別子を Macie に設定する。

Macie で自動データ検出を有効化する。
B. AWS KMS キーを作成する。

ロググループがそのキーを使用してログを暗号化するように設定する。

CloudWatch Logs を利用する IAM ロールに対するアクセスをキーのポリシーで拒否する。
C. ロググループにサブスクリプションフィルタを作成する。

サブスクリプションでログを AWS Lambda に送信するよう設定する。

Lambda 関数でログを解析し、メールアドレスの値をマスクするようにプログラムする。
D. ロググループのデータ保護ポリシーを構成する。

データタイプとして AWS 管理データ識別子 EmailAddress を指定する。

ロググループに対してデータ保護を有効化する。

正解と解説ディスカッション 0

正解：D

CloudWatch Logs には Data Protection Policy（データ保護ポリシー） があり、PII（個人情報）や機密データをマスキングする機能があります。

AWS 管理データ識別子の EmailAddress を指定すれば、自動的にログ内のメールアドレスがマスクされ、開発者は閲覧できません。これは要件を最小の労力で満たすネイティブ機能です。

コメント

コメント

コメントするコメントをキャンセル