WEB問題集
ある会社は外部コンサルタントを雇用しました。このコンサルタントはノートパソコンを使用して会社のVPCにアクセスする必要があります。具体的には、同じAWSリージョン内でピアリングされている2つのVPCにアクセスする必要があります。会社は、コンサルタントにこれらのVPCへのアクセスを提供したいと考えていますが、他のネットワークリソースへの不要なアクセスは与えたくありません。
この要件を満たすソリューションはどれですか。正解:C
このシナリオでは「外部コンサルタントがノートパソコンからVPCへリモート接続する」ことが要件です。そのため、インターネット経由でエンドユーザーのデバイスからAWS VPCに安全に接続できる AWS Client VPN が最適解となります。Client VPNはOpenVPNベースであり、ユーザー単位の認証・認可ルールを定義できるため「必要最小限のアクセス」を実現できます。また、VPCピアリングされた複数のVPCに対してルートを追加することで、両方のVPCにアクセスできるように構成可能です。
ある会社はAWS Organizationsを使用して少数のAWSアカウントを管理しています。しかし、この会社は近々1,000以上のアカウントを追加する予定です。 会社は、IAMロールの作成を中央のセキュリティチームだけに許可しています。アプリケーションチームは、セキュリティチームにIAMロールの作成をリクエストしています。セキュリティチームは、IAMロールのリクエストのバックログを抱えており、迅速にレビューやプロビジョニングができていません。
セキュリティチームは、アプリケーションチームが自分たちでIAMロールをプロビジョニングできるプロセスを作成する必要があります。そのプロセスは、IAMロールのスコープを制限し、権限昇格を防ぐ必要があります。 次のうち、最も運用上のオーバーヘッドが少なく、この要件を満たすソリューションはどれですか?正解:D
SCPでアカウント全体の上限を設定し、アクセス許可境界でIAMロールの上限を設定する組み合わせにより、権限昇格を防ぎつつスケーラブルに運用可能です。
このシナリオの要件は以下の通りです:
- アプリケーションチームが自分でIAMロールを作成できるようにする(中央チームのボトルネック解消)。
- ただし、IAMロールのスコープを制限し、権限昇格を防止する必要がある。
- 1,000以上のアカウントを扱うため、運用上のオーバーヘッドを最小限にする必要がある。
- SCP はOUやアカウントレベルで「アカウント内で付与できる権限の最大範囲」を制限します。
- アクセス許可境界 はIAMロールやIAMユーザーに対して「割り当て可能な権限の範囲」を制御します。 → これにより、アプリケーションチームは自由にIAMロールを作成できますが、必ず制限付きの境界内でしか権限を付与できず、権限昇格は防止されます。
開発者がワークステーションからAWSサービスへのAPI呼び出しを行おうとすると、「AccessDenied」エラーが発生しています。開発者は以前、ワークステーションに環境変数と設定ファイルを設定して、複数の役割を他のAWSアカウントで使用できるようにしていました。セキュリティエンジニアは、開発者が認証を設定するのを支援する必要があります。現在の認証情報は、ワークステーションに以前設定された他の認証情報と競合せずに評価する必要があります。この要件を満たすために、認証情報をどこに設定すべきですか?
正解:C
(AWS CLIコマンドラインオプションの変数)が最適なソリューションです。この方法では、開発者が一時的に認証情報をコマンドラインで指定でき、ワークステーションに設定済みの他の認証情報(環境変数や設定ファイル)と競合せずに評価できます。これにより、セキュリティエンジニアは開発者が「AccessDenied」エラーを解決するために必要な認証情報を安全かつ効率的にテストできるように支援できます。
ある医療会社は最近買収を完了し、既存のAWS環境を引き継ぎました。会社は監査を控えており、買収した環境のコンプライアンス体制に懸念を持っています。
会社はAmazon S3バケット内の個人の健康情報(PHI)を特定し、パブリックにアクセス可能なS3バケットを特定する必要があります。会社は監査に備えて、環境内の証拠を収集する必要があります。 最小限の運用オーバーヘッドでこれらの要件を満たすステップの組み合わせはどれですか。(3つ選択してください)(3つ選択)
正解:A, C, E
このシナリオの要件は2つです:
- Amazon S3に保存されたPHIを特定する
- パブリックにアクセス可能なS3バケットを特定し、証拠を収集する さらに「最小限の運用オーバーヘッド」で監査対応ができることが求められています。
- A. Amazon Macie → MacieはS3に保存された機密データ(PII, PHI, 機密情報)を自動的にスキャンし、マネージドデータ識別子を使って特定できます。まさに「S3内のPHIを識別する」要件に直接対応します。
- C. AWS Audit Manager → Audit Managerは、NIST、HIPAA、ISOなどの監査フレームワークに基づいたアセスメントを自動的に生成し、証拠収集を自動化できます。監査対応に必要な証拠収集を「最小限のオーバーヘッド」で実現するために必須です。
- E. AWS Security Hub → Security HubはAWS Foundational Security Best Practices標準に基づき、S3バケットのパブリックアクセス設定を含む数多くのセキュリティコントロールを評価します。ダッシュボードから失敗したコントロールを証拠として利用でき、要件②を満たします。
ある会社は、1つのAmazon EC2インスタンスで突然CPU使用率が高くなっていることを発見しました。会社は、このEC2インスタンスが侵害されているのか、あるいはオペレーティングシステムがバックグラウンドのクリーンアップ処理を実行しているのかを把握していません。
セキュリティエンジニアは、この問題を調査する前にどのステップを実行すべきでしょうか。(3つ選択してください)(3つ選択)
正解:B, C, E
調査対象のインスタンスが誤って削除されると証拠が失われます。終了保護を有効化しておくことで、インスタンスの意図しない終了を防げます。
調査対象のインスタンスが誤って削除されると証拠が失われます。終了保護を有効化しておくことで、インスタンスの意図しない終了を防げます。
メタデータにはインスタンスタイプやIAMロール、セキュリティグループなどの重要な情報が含まれます。これを保存し、さらに「隔離中」とタグ付けすることで調査中インスタンスを管理しやすくなります。