SOA-C03#4(networking)

API Gateway 配下の REST API に対し、SQL インジェクションや既知の悪意ある IP からのアクセスをブロックしたい要件があります。マネージドルールで素早く保護したい場合、最適な選択はどれですか。

A. API Gateway の Resource Policy で IP リストを段階的に管理し、SQLi 等の L7 攻撃まで含めて統合的に防御する運用方式です
B. Shield Standard のみで DDoS 防御を担い、SQLi 等のアプリ層攻撃も合わせて防ぐ標準構成として運用する仕組み
C. Network Firewall を VPC 境界に配置し、API Gateway へのアプリ層攻撃を遮断する仕組み
D. AWS WAFをAPI Gatewayへアタッチし、AWS Managed Rules(Core/SQL/Reputation)を適用します。

正解と解説ディスカッション 0

正解：D

正解の根拠

AWS WAF は API Gateway / CloudFront / ALB / AppSync に直接アタッチでき、AWS Managed Rules（Core ルール、SQLi、Bad Inputs、IP Reputation）でアプリ層攻撃を即座に防御できます。マネージドのため運用負荷が低く適切です。

保護対策の比較

方式	L7 防御
WAF + Managed Rules	あり
Resource Policy	IP/VPC 制御のみ
Network Firewall	L3/L4/一部 L7
Shield Standard	L3/L4 DDoS

不正解の理由

A: Resource Policy は IP やアカウントによる粗粒度の許可制御が目的の機能で、SQLi 等のアプリ層シグネチャ防御は提供しません。
B: Shield Standard は L3/L4 の DDoS 自動防御が目的の機能で、SQLi 等の L7 攻撃マネージドルールは含まれません。
C: Network Firewall は VPC 内通信向けの機能で API Gateway へ直接アタッチできず、用途も適合しません。

参考：AWS Managed Rules

SOA-C03#4(networking)

正解の根拠

保護対策の比較

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

保護対策の比較

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル