Question#4(SCS-C01)
ある医療会社は最近買収を完了し、既存のAWS環境を引き継ぎました。会社は監査を控えており、買収した環境のコンプライアンス体制に懸念を持っています。
会社はAmazon S3バケット内の個人の健康情報(PHI)を特定し、パブリックにアクセス可能なS3バケットを特定する必要があります。会社は監査に備えて、環境内の証拠を収集する必要があります。 最小限の運用オーバーヘッドでこれらの要件を満たすステップの組み合わせはどれですか。(3つ選択してください)(3つ選択)
正解:A, C, E
このシナリオの要件は2つです:
- Amazon S3に保存されたPHIを特定する
- パブリックにアクセス可能なS3バケットを特定し、証拠を収集する さらに「最小限の運用オーバーヘッド」で監査対応ができることが求められています。
- A. Amazon Macie → MacieはS3に保存された機密データ(PII, PHI, 機密情報)を自動的にスキャンし、マネージドデータ識別子を使って特定できます。まさに「S3内のPHIを識別する」要件に直接対応します。
- C. AWS Audit Manager → Audit Managerは、NIST、HIPAA、ISOなどの監査フレームワークに基づいたアセスメントを自動的に生成し、証拠収集を自動化できます。監査対応に必要な証拠収集を「最小限のオーバーヘッド」で実現するために必須です。
- E. AWS Security Hub → Security HubはAWS Foundational Security Best Practices標準に基づき、S3バケットのパブリックアクセス設定を含む数多くのセキュリティコントロールを評価します。ダッシュボードから失敗したコントロールを証拠として利用でき、要件②を満たします。
コメント