WEB問題集
運用チームは VPC 内の EC2 から S3 と DynamoDB へのアクセスがインターネット経由で課金されないよう改善したいと考えています。EC2 はパブリック IP を持ちません。最小コストで実現する方法はどれですか。
正解:A
正解の根拠
S3 と DynamoDB はゲートウェイ型 VPC エンドポイントに対応しており、追加課金なしで VPC からプライベートにアクセスできます。ルートテーブルにエンドポイントへのプレフィックスリストを登録するだけで構成でき、最小コストです。
VPC エンドポイントの比較
| 種類 | 対応サービス | 料金 |
|---|---|---|
| Gateway | S3, DynamoDB | 無料 |
| Interface (PrivateLink) | 大半の AWS サービス | 時間 + データ料金 |
| NAT Gateway | 任意の宛先 | 時間 + データ料金 |
不正解の理由
- C: インターフェース型は時間料金とデータ料金が発生し、ゲートウェイ型より高コストです。
- D: NAT ゲートウェイ経由は送出データに高額な課金が発生します。
- B: Transit Gateway 経由は転送料金がさらに増えます。
オンプレデータセンターと AWS の間で 10 Gbps の安定した低遅延接続が必要です。トラフィックは機密性の高い業務データで、インターネット経由は許可されません。最適な接続方法はどれですか。
正解:D
正解の根拠
Direct Connect は専用線でインターネットを経由せず、安定した帯域と低遅延を提供します。2 つの DX ロケーションで冗長化することで AWS Direct Connect Resilience 推奨に沿った可用性が得られ、機密データに適します。
接続方式の比較
| 方式 | 帯域 | 遅延 |
|---|---|---|
| Direct Connect | 1/10/100 Gbps | 低・安定 |
| Site-to-Site VPN | 最大 1.25 Gbps/トンネル | 変動 |
不正解の理由
- A: Client VPN は個人端末用途の機能で、サイト間専用線接続や 10 Gbps 帯域要件に対して設計目的が異なる構成です。
- B: Site-to-Site VPN はインターネット経由で帯域・遅延が変動する副作用があり、機密データの専用線要件と安定 10 Gbps 要件を満たせません。
- C: Transit Gateway は VPC/オンプレ経路集約用途の機能で、物理層の Direct Connect 接続自体は別途必要となる構成です。
運用チームは VPC 内の通信について、送信元・宛先・許可/拒否の状態を分析し、特定 IP との通信実績を調査したいと考えています。最小コストで実現する方法はどれですか。
正解:A
正解の根拠
VPC Flow Logs は ENI 単位で送信元/宛先/ポート/プロトコル/許可拒否を記録できます。S3 出力は CloudWatch Logs より低コストで、Athena によりサーバレスでアドホック分析が可能です。
VPC 通信分析の比較
| 方式 | コスト | 分析容易性 |
|---|---|---|
| Flow Logs (S3) + Athena | 低 | SQL で容易 |
| Flow Logs (CW Logs) | 中〜高 | Insights |
| tcpdump | 運用負荷高 | 困難 |
| Network Firewall | サービス料金大 | 可能 |
不正解の理由
- B: tcpdump 方式は EC2 単位で運用負荷が大きい副作用があり、集中分析や横断調査には向かない方式です。
- C: Network Firewall はファイアウォール用途のサービスで、ログ取得目的の利用は割高な副作用がある構成です。
- D: CloudTrail は API 監査用のサービスで、VPC 通信フロー記録機能は提供していない設計目的です。
API Gateway 配下の REST API に対し、SQL インジェクションや既知の悪意ある IP からのアクセスをブロックしたい要件があります。マネージドルールで素早く保護したい場合、最適な選択はどれですか。
正解:D
正解の根拠
AWS WAF は API Gateway / CloudFront / ALB / AppSync に直接アタッチでき、AWS Managed Rules(Core ルール、SQLi、Bad Inputs、IP Reputation)でアプリ層攻撃を即座に防御できます。マネージドのため運用負荷が低く適切です。
保護対策の比較
| 方式 | L7 防御 |
|---|---|
| WAF + Managed Rules | あり |
| Resource Policy | IP/VPC 制御のみ |
| Network Firewall | L3/L4/一部 L7 |
| Shield Standard | L3/L4 DDoS |
不正解の理由
- A: Resource Policy は IP やアカウントによる粗粒度の許可制御が目的の機能で、SQLi 等のアプリ層シグネチャ防御は提供しません。
- B: Shield Standard は L3/L4 の DDoS 自動防御が目的の機能で、SQLi 等の L7 攻撃マネージドルールは含まれません。
- C: Network Firewall は VPC 内通信向けの機能で API Gateway へ直接アタッチできず、用途も適合しません。
グローバルユーザー向けの静的サイトを S3 上にホストしています。エッジで配信高速化と HTTPS 化、特定国からのアクセス制限を最小コストで提供したい場合、最適な構成はどれですか。
正解:A
正解の根拠
CloudFront はエッジキャッシュで配信を高速化し、ACM 証明書(us-east-1)で HTTPS を提供します。OAC により S3 をパブリックにせず安全に統合でき、Geo Restriction で国別アクセス制限が標準機能で実現します。
静的配信構成の比較
| 方式 | 適合性 |
|---|---|
| CloudFront + S3 OAC | 最適 |
| Global Accelerator | S3 非対応 |
| ALB + S3 | 非効率 |
| Route 53 LBR + S3 | HTTPS/キャッシュ不足 |
不正解の理由
- B: Route 53 のレイテンシルーティングは DNS 機能のみで、エッジキャッシュ・HTTPS 終端・地理制限が一体化しない副作用があります。
- C: Global Accelerator は L4 プロキシで S3 静的ホスティングを直接オリジンに利用できない設計上の制限があります。
- D: ALB を S3 オリジンに置く構成は標準サポートではなく、CDN として最適配信を提供する設計目的と異なります。