SCS-C02#5(governance)
セキュリティエンジニアは、AWS Organizations配下の全アカウントに対してPCI DSSコンプライアンスを継続的にモニタリングする必要があります。すべてのアカウントで一貫した管理項目を評価し、結果を委任管理者で集約する最も効率的な方法はどれですか。
正解:D
正解の根拠
AWS Configの組織コンフォーマンスパックは、Organizations配下の全アカウントに同じパックを一括展開でき、PCI-DSS Operational Best Practicesなどのサンプルテンプレートをそのまま使えるため最も効率的です。
サンプルパック例
| パック | 用途 |
|---|---|
| PCI-DSS | カード情報処理 |
| HIPAA Security | 医療情報 |
| NIST CSF | サイバー保護 |
| FedRAMP Moderate | 政府機関 |
不正解の理由
- A: カスタムスクリプトで運用負荷が高く、コンフォーマンスパックの再実装になります。
- B: Audit Managerは目的に近いですが、個別有効化と手動集約は運用効率が劣ります。
- C: Security Hubも有効ですが、Config組織パックがPCI評価項目を統一展開する点で優位です。
コメント