Question#59(SCS-C01)

ある会社は AWS 上でアプリケーションを稼働しています。悪意のあるユーザーが最近のプロモーションイベントを悪用し、多数の偽アカウントを作成しました。

アプリケーションは現在、Amazon API Gateway API の前に Amazon CloudFront を使用しています。AWS Lambda 関数がさまざまな API エンドポイントを提供しています。

セキュリティエンジニアは、今後のプロモーションイベントで同様の悪用が発生しないようにするソリューションを設計する必要があります。どの手順の組み合わせがこれらの要件を満たしますか。（2つ選択）

（2つ選択）

A. AWS WAF の Web ACL を作成する。AWSManagedRulesACFPRuleSet ルールグループを Web ACL に追加する。Web ACL を CloudFront ディストリビューションに関連付ける。
B. AWS WAF の Web ACL を作成する。レート制限ルールを Web ACL に追加する。RateBasedStatement エントリに /store/registration を指す SearchString 値を含める。
C. /store/registration を登録ページパスとして指定する。/store/newaccount をアカウント作成パスとして指定する。
D. CloudFront ディストリビューションをホストしているアカウントで AWS Shield Advanced を有効化する。/store/newaccount に対して Shield Response Team (SRT) を使用する DNS 固有のカスタム緩和策を構成する。
E. CloudFront ディストリビューションをホストしているアカウントで Amazon GuardDuty を有効化する。/store/registration および /store/newaccount に応答する Lambda 関数で Lambda Protection を有効化する。

正解：A, B

今回の要件は「偽アカウントの大量作成を防ぐ」ことです。つまり、アプリケーションレベルの 悪用防止 (bot 対策 + レート制限) が必要です。

AWSManagedRulesACFPRuleSet (AWS WAF Bot Control ルールセット)
- これは AWS が提供するマネージドルールの一つで、悪意のあるボット、スクレイピング、不正トラフィック をブロックするのに適しています。CloudFront に関連付けることで、偽アカウント作成を行う自動化ツールを阻止できます。
レート制限ルールを追加 (RateBasedStatement)
- /store/registration に対するアクセス頻度を制限することで、短時間に大量のアカウント作成を防止できます。1 IP あたりのリクエスト数を閾値で制御するのが効果的です。

この組み合わせで「ボット対策」+「リクエストレート制御」が実現でき、要件を満たします。

コメント