【SCS-C02】WEB問題集:インフラセキュリティ編

WEB問題集

SCS-C02#1(infrastructure)

ある企業は、複数の VPC を集約してアウトバウンドのインターネット通信を一元的に検査したいと考えています。セキュリティエンジニアは、サードパーティのファイアウォールアプライアンスを 1 か所に配置し、各 VPC からの通信を透過的に転送して詳細なパケット検査を行う構成を採用する必要があります。最小の運用負荷でこの要件を満たす方法はどれですか。

A.
各 VPC のサブネットに NACL を作成し、許可ルールを段階的に集約管理して検査します。
B.
各 VPC に Client VPN を配置し、すべてのアウトバウンドを強制的にオンプレミスへ集約して検査します。
C.
検査用 VPC に GWLB を置き Transit Gateway で集約します。
D.
各 VPC に NAT Gateway を配置し CloudWatch Logs にログを集約送信して可視化検査します。

正解と解説ディスカッション 0

正解：C

正解の根拠

Gateway Load Balancer は GENEVE プロトコルでトラフィックを透過的にサードパーティアプライアンスへ転送できます。検査用 VPC に集約し、Transit Gateway で各 VPC を接続することで、東西および南北のトラフィック検査を一元化できます。

不正解の理由

A: NACL はステートレスな 5 タプルフィルタであり、ペイロード検査やアプライアンス連携には対応しません。
B: Client VPN はクライアント接続用で、複数 VPC のトラフィック集約検査には適しません。
D: NAT Gateway はアドレス変換用で、ペイロードのパケット検査機能を持たないため要件を満たしません。

参考：AWS PrivateLink and GWLB

SCS-C02#2(infrastructure)

セキュリティエンジニアは、パブリックサブネット上の Web サーバーに対し、ステートフルなインバウンド制御を実装したいと考えています。HTTPS は許可しつつ、悪意あるソース IP からの再接続を継続的に拒否する必要があります。最も適切な仕組みはどれですか。

A.
SG で HTTPS を許可し対象 IP は NACL で拒否します。
B.
VPC のルートテーブルから対象 IP のレンジを除外して該当通信を完全遮断します。
C.
セキュリティグループに Deny ルールを追加して悪意ある IP を継続的に拒否します。
D.
VPC Flow Logs を有効化することで対象 IP からの通信が自動拒否される設計です。

正解と解説ディスカッション 0

正解：A

正解の根拠

セキュリティグループはステートフルで Allow ルールのみを持ちます。Deny を表現するにはステートレスな NACL を併用し、サブネット境界でブロックします。NACL は番号順評価のため、低番号で Deny を配置すれば確実に遮断できます。

不正解の理由

B: ルートテーブルは宛先プレフィックスへの経路を決めるもので、送信元 IP のフィルタには使えません。
C: セキュリティグループは Deny ルールに対応せず、Allow リストのみで動作する仕様です。
D: Flow Logs は記録専用であり、通信のフィルタリングや遮断機能は提供しません。

参考：VPC NACL

SCS-C02#3(infrastructure)

ある企業は AWS Network Firewall を導入し、ステートフルなドメインフィルタリングを実装しようとしています。許可ドメインのリストに一致しない HTTPS 通信を確実にブロックしたい場合、どのルール設定が最も適切ですか。

A.
ステートレスルールグループに 5 タプルの Deny ルールを記述します。
B.
ステートフルルールでドメインリスト型を選び既定 Deny を構成します。
C.
VPC のメインルートテーブルから 0.0.0.0/0 のルートを削除します。
D.
セキュリティグループのアウトバウンドに FQDN ベースの Deny を追加します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Network Firewall のステートフルルールグループはドメインリスト型をサポートし、TLS の SNI と HTTP の Host ヘッダーを検査して FQDN 単位の許可・拒否を実現できます。許可リストに加え既定アクションを Deny にすると確実です。

不正解の理由

A: 5 タプルでは IP とポートしか扱えず、TLS の SNI を見たドメイン制御は実現できません。
C: 経路削除はすべての外部通信を遮断してしまい、許可ドメインの通信も継続できなくなります。
D: セキュリティグループはホスト名やドメインベースのフィルタには対応しない仕様です。

参考：Network Firewall domain rules

SCS-C02#4(infrastructure)

セキュリティエンジニアは、AWS WAF を CloudFront ディストリビューションに関連付けています。新規アカウント作成エンドポイントで悪意あるボットによる大量登録が発生しており、CAPTCHA や端末フィンガープリンティングを含む包括的な保護を素早く適用したいと考えています。どの管理ルールグループが最適ですか。

A.
AWSManagedRulesCommonRuleSet (CRS) を Web ACL に関連付けます。
B.
AWSManagedRulesACFPRuleSet を関連付け CAPTCHA を有効化します。
C.
AWSManagedRulesAmazonIpReputationList を関連付けます。
D.
AWSManagedRulesKnownBadInputsRuleSet を Web ACL に関連付けます。

正解と解説ディスカッション 0

正解：B

正解の根拠

ACFP (Account Creation Fraud Prevention) ルールグループは、新規登録エンドポイント向けに設計され、CAPTCHA、端末フィンガープリント、リスクスコア、レートベース防御を組み合わせた偽アカウント作成対策を提供します。

不正解の理由

A: Core ルールセットは OWASP の一般的な脆弱性に対応しますが、新規登録不正対策には不十分です。
C: IP レピュテーションリストは既知の悪性 IP に限定され、ボットの新規登録を防ぐには弱いです。
D: KnownBadInputs はパス操作などの既知パターン検知用で、登録不正の総合対策にはなりません。

参考：ACFP rule group

SCS-C02#5(infrastructure)

ある企業のアプリケーションがレート制限を超えるトラフィックを受けています。セキュリティエンジニアは AWS WAF のレートベースルールを使い、特定の IP アドレスからの過剰リクエストを 5 分間にわたりブロックしたいと考えています。設定すべき内容として最も適切なものはどれですか。

A.
Shield Standard を有効化することで自動的にレート制限が適用されます。
B.
CloudFront のキャッシュ TTL を 300 秒に設定して上限を抑制します。
C.
NACL に対象 IP を都度追加するスクリプトを毎分実行します。
D.
レートベースルールで集約キーに送信元 IP を指定し閾値超過を遮断します。

正解と解説ディスカッション 0

正解：D

正解の根拠

WAF のレートベースルールは、5 分間のスライディングウィンドウで集約キー (送信元 IP、ヘッダー、フォワードされた IP など) ごとのリクエスト数をカウントし、しきい値超過の発生元をしきい値以下に戻るまでブロックします。

不正解の理由

A: Shield Standard は L3/L4 の DDoS 緩和を提供しますが、L7 のレート制限機能は持ちません。
B: キャッシュ TTL の調整はオリジン負荷軽減策で、特定 IP の過剰リクエストを遮断する仕組みではありません。
C: NACL の手動追加は反応が遅く、運用負荷が大きいうえ動的な攻撃には対応できません。

参考：WAF rate-based rules