Question#5(SCS-C01)

ある会社は、1つのAmazon EC2インスタンスで突然CPU使用率が高くなっていることを発見しました。会社は、このEC2インスタンスが侵害されているのか、あるいはオペレーティングシステムがバックグラウンドのクリーンアップ処理を実行しているのかを把握していません。

セキュリティエンジニアは、この問題を調査する前にどのステップを実行すべきでしょうか。（3つ選択してください）

（3つ選択）

A. 終了保護が無効になっている場合は、EC2インスタンスの終了保護を無効化する。
B. 終了保護が有効になっていない場合は、EC2インスタンスの終了保護を有効化する。
C. EC2インスタンスにアタッチされているAmazon Elastic Block Store（Amazon EBS）データボリュームのスナップショットを取得する。
D. EC2インスタンスにアタッチされているAmazon Elastic Block Store（Amazon EBS）データボリュームのすべてのスナップショットを削除する。
E. EC2インスタンスのメタデータをキャプチャし、その後EC2インスタンスに「隔離中」とタグ付けする。

正解と解説ディスカッション 0

正解：B, C, E

調査対象のインスタンスが誤って削除されると証拠が失われます。終了保護を有効化しておくことで、インスタンスの意図しない終了を防げます。

メタデータにはインスタンスタイプやIAMロール、セキュリティグループなどの重要な情報が含まれます。これを保存し、さらに「隔離中」とタグ付けすることで調査中インスタンスを管理しやすくなります。

コメント