【SCS-C02】WEB問題集:セキュリティログと監視編

WEB問題集

SCS-C02#1(security-logging)

ある企業は AWS Organizations に 30 のメンバーアカウントを保有しています。セキュリティチームは、すべてのアカウントの API アクティビティを単一の S3 バケットに集約し、新規アカウント追加時にも自動で記録対象に含めたいと考えています。さらに、ログファイルが改ざんされていないことを後から検証できる必要があります。最も運用負荷の少ない方法はどれですか。

A. メンバーアカウントごとに個別の証跡を作成し、ログファイル検証を有効化したうえで中央 S3 バケットへ配信させます。
B. 管理アカウントから組織の証跡を作成し、ログファイル検証を有効化して中央バケットへ配信します。
C. CloudTrail Lake のデータストアを各アカウントで作成し、SQL クエリで横断的に分析します。
D. EventBridge ルールで API イベントをキャプチャし、Firehose 経由で中央 S3 バケットへ保管します。

正解と解説ディスカッション 0

正解：B

正解の根拠

組織の証跡 (organization trail) は管理アカウントまたは委任管理者から一度作成するだけで、既存および新規のメンバーアカウントすべてを自動的にカバーします。ログファイル検証を有効化すると、digest ファイルにより S3 配信後の改ざんを検出できます。

機能	効果
組織の証跡	新規アカウントを自動包含
ログファイル検証	改ざん検知

不正解の理由

A: アカウント追加のたびに証跡を手作業で作成する必要があり、運用負荷が高くなります。
C: CloudTrail Lake はクエリ用途であり、改ざん検証や中央配信の要件を直接満たしません。
D: EventBridge は管理イベントの配信遅延が大きく、ログファイル検証は提供されません。

参考：Creating a trail for an organization

SCS-C02#2(security-logging)

ある金融企業は、S3 バケット内の機密オブジェクトに対する GetObject および PutObject の呼び出しをすべて監査する必要があります。現在は管理イベントのみ記録する CloudTrail 証跡が存在します。コンプライアンス要件として、誰がいつどのオブジェクトにアクセスしたかを完全に追跡できる必要があります。どのように構成すべきですか。

A. S3 サーバーアクセスログを有効化し、対象バケットへのすべてのリクエストを別バケットへ記録するよう構成します。
B. S3 イベント通知を構成し、GetObject と PutObject 発生時に SNS にメッセージを送信させます。
C. 既存の CloudTrail 証跡にデータイベントを追加し、対象バケットの読み書きを記録します。
D. AWS Config のリソース設定変更記録を S3 バケットで有効化し、変更履歴を保存します。

正解と解説ディスカッション 0

正解：C

正解の根拠

CloudTrail のデータイベントを既存の証跡に追加することで、S3 オブジェクトレベルの API 呼び出し (GetObject, PutObject など) を呼び出し元アイデンティティ付きで記録できます。これがオブジェクトレベル監査の標準的な仕組みです。

不正解の理由

A: サーバーアクセスログはベストエフォート配信であり、コンプライアンス監査には CloudTrail データイベントが適します。
B: イベント通知は通知用途であり、誰がアクセスしたかの完全な監査証跡にはなりません。
D: AWS Config はリソース構成の変更を記録するもので、オブジェクトアクセス自体は対象外です。

参考：Logging data events

SCS-C02#3(security-logging)

セキュリティエンジニアは、複数年分の CloudTrail イベントに対して SQL でアドホックな調査クエリを実行し、特定の IAM プリンシパルによる過去の異常な API 呼び出しを調査する必要があります。インフラの構築と維持を最小化したいと考えています。どのソリューションが最適ですか。

A. CloudTrail Lake のイベントデータストアを作成し、最大保持期間を設定して SQL でクエリします。
B. S3 にエクスポートしたログを Glue クローラーで Athena テーブル化し、定期的にクエリを実行します。
C. CloudTrail ログを Redshift クラスターにロードし、SQL クライアントから複雑な分析クエリを発行します。
D. OpenSearch Service クラスターに CloudTrail ログをストリームし、Kibana で検索を行います。

正解と解説ディスカッション 0

正解：A

正解の根拠

CloudTrail Lake はマネージドのイベントデータストアであり、ETL 不要で SQL クエリを直接実行できます。最大 10 年の保持期間を設定可能で、インフラ管理が不要なため運用負荷を最小化できます。

不正解の理由

B: Glue クローラーやテーブル定義の維持が必要となり、CloudTrail Lake より運用負荷が増加します。
C: Redshift クラスターの構築と運用が必要となり、調査用途では過剰でコスト高になります。
D: OpenSearch クラスターの管理オーバーヘッドが大きく、長期保持ではコストもかさみます。

参考：AWS CloudTrail Lake

SCS-C02#4(security-logging)

ある企業は CloudTrail を有効化していますが、ConsoleLogin の異常な失敗や RunInstances の急増といった通常と異なるパターンを早期に検知したいと考えています。機械学習モデルを自前で構築せずに実装する方法を求めています。最も適切なアプローチはどれですか。

A. GuardDuty を有効化して、すべての CloudTrail 管理イベントに対する独自の異常検知ルールを実装し運用します。
B. CloudTrail 証跡で Insights イベントを有効化し、書き込み API の異常な呼び出しを自動検知します。
C. CloudWatch Logs Insights クエリを 5 分ごとに実行し、しきい値を超えた場合にアラームを発行します。
D. Amazon Lookout for Metrics に CloudTrail メトリクスを学習させ、異常検出時に通知を行います。

正解と解説ディスカッション 0

正解：B

正解の根拠

CloudTrail Insights は API 呼び出しのベースラインを継続的に学習し、書き込み API の異常な急増や ConsoleLogin の失敗異常などをマネージドで自動検出します。追加実装は不要です。

不正解の理由

A: GuardDuty は脅威検出が目的で、API 呼び出し回数の異常急増の自動検知は Insights の役割です。
C: 固定しきい値ベースの検知となり、ベースライン学習による異常検出にはなりません。
D: Lookout for Metrics は CloudTrail との直接統合がなく、データパイプライン構築が必要です。

参考：CloudTrail Insights events

SCS-C02#5(security-logging)

あるセキュリティエンジニアは、本番 VPC のネットワークトラフィックを記録し、後で接続元 IP・接続先ポート・許可拒否状況を Athena で分析できるようにする必要があります。さらにコストを最小限に抑え、長期保管も求められています。どの構成が最も適切ですか。

A. VPC フローログを CloudWatch Logs に配信し、サブスクリプションフィルターで Lambda へ転送して S3 に保存させます。
B. VPC ミラーリングセッションを作成し、全トラフィックを EC2 のキャプチャ用インスタンスへ送信して保管します。
C. VPC フローログを S3 に直接配信し、Athena でクエリしながらライフサイクルで Glacier に移行します。
D. VPC フローログを Kinesis Data Firehose に送信し、変換してから OpenSearch へ保存します。

正解と解説ディスカッション 0

正解：C

正解の根拠

VPC フローログを S3 に直接配信する方式は CloudWatch Logs より低コストで、Athena でクエリ可能な Parquet 形式にも対応します。S3 ライフサイクルで Glacier に移行することで長期保管コストも最小化できます。

不正解の理由

A: CloudWatch Logs と Lambda の処理コストが余分にかかり、長期保管としても割高になります。
B: VPC ミラーリングはペイロード解析向けで、フローログ要件とは目的が異なります。
D: OpenSearch は検索用途では強力ですが、フローログの長期低コスト保管には向きません。

参考：Publishing flow logs to Amazon S3