ありがとうございます。以下、問題1〜7について、指定フォーマットに従い解説をまとめました。
■ 問題1
【問題文】
異なるサブネットにある 2 つの Amazon EC2 インスタンスは、互いに接続できるはずなのに、接続することができません。同じサブネットにある他のホストが正常に通信できること、およびセキュリティグループがこのトラフィックを許可する有効な ALLOW ルールを設定していることが確認されています。
トラブルシューティングの最適な方法を選択してください。
【選択肢】
A. インバウンドとアウトバウンドのセキュリティグループをチェックし、DENY ルールを探します。
B. AWS X-Ray を使用して、エンドツーエンドのアプリケーションフローをトレースします
C. VPC フローログにある拒否されたパケットの理由のコードを確認します。
D. インバウンドとアウトバウンドのネットワーク ACL ルールをチェックし、DENY ルールを探します。
【正解の選択肢と解説】
正解:D
ネットワークACLはステートレスで、許可(ALLOW)と拒否(DENY)のルールを設定できます。トラフィックがACLで拒否されていれば、セキュリティグループで許可されていても通信は失敗します。
【不正解の選択肢の理由】
- A: セキュリティグループはステートフルでDENYルールは存在しません。
- B: X-Rayはアプリケーションレベルの可視化ツールで、VPCレベルのトラブルシューティングには不適切です。
- C: VPCフローログは有効ですが、拒否された理由コードの詳細な識別には向きません。
【SCS試験で押さえておくべきポイント】
- セキュリティグループはALLOWのみ・ステートフル
- ネットワークACLはALLOW/DENY両方・ステートレス
この形式で問題2以降も順次展開していきます。続きをご希望される場合、「続きお願いします」とお伝えください。
ありがとうございます。以下、問題2 の内容を指定フォーマットで整理しました。
■ 問題2
【問題文】
今月初め、セキュリティエンジニアが AWS アカウントのすべての IAM アクセスキーをローテーションしました。AWS Config を設定した後、セキュリティエンジニアは次の AWS Config マネージドルールを有効にしました。
mfa-enabled-for-iam-console-access, iam-user-mfa-enabled, access-keys-rotated, iam-user-unused-credentials-check
IAM GenerateCredentialReport API 呼び出しを使用した後、セキュリティエンジニアは、すべてのリソースが 準拠していない として表示されていることを確認します。
準拠していない 原因を選択してください。
【選択肢】
A. セキュリティエンジニアは、GetCredentialReport 権限を持っていません。
B. AWS Config ルールの MaximumExecutionFrequency の値が 24 時間になっています。
C. セキュリティエンジニアは、GenerateCredentialReport 権限を持っていません。
D. IAM 認証情報レポートは、過去 4 時間以内に生成されました。
【正解の選択肢と解説】
正解:D. IAM 認証情報レポートは、過去 4 時間以内に生成されました。
AWS Config マネージドルールが使用する IAM 認証情報レポートは、4時間以内に再生成された場合はキャッシュが返されるという仕様があります。このため、設定を更新しても最新情報が反映されないまま「非準拠」と表示される可能性があります。
【不正解の選択肢の理由】
- A:
GetCredentialReportの権限がないとレポートの取得自体ができませんが、すでにGenerateCredentialReportを呼び出しているので誤りです。 - B:
MaximumExecutionFrequencyは実行頻度の設定であり、準拠/非準拠の判断結果には直接影響しません。 - C:
GenerateCredentialReportを使用していることが前提なので、すでにその権限は保有しており、誤りです。
【SCS試験で押さえておくべきポイント】
- IAM 認証情報レポートは最大4時間キャッシュされるため、直後の変更が評価に反映されないことがある。
- AWS Config + IAMレポート系ルールは、「最新のレポート」が前提。古いキャッシュに注意。
GenerateCredentialReportとGetCredentialReportは明確に分けて考える。- AWS Config ルールは即時ではなく、ルールごとの頻度とトリガーに基づいて評価される。
次の問題(問題3)をご希望の場合は「問題3お願いします」とお知らせください。
以下に、問題3 の内容を指定フォーマットで整理しました。
■ 問題3
【問題文】
ある会社が Amazon EC2 インスタンスでホストされているアプリケーションを持っており、そのアプリケーションが AWS Systems Manager Parameter Store に保存されている安全な文字列にアクセスすることを望んでいます。アプリケーションがセキュアな文字列の key-value にアクセスしようとすると、失敗します。
この失敗の原因の要因を選択してください。(2つ選択)
【選択肢】
A. Parameter Store には、AWS Key Management Service (AWS KMS) を使用してパラメータを復号化する権限がありません。
B. EC2 インスタンスのロールには、シークレットを暗号化するために使用される AWS Key Management Service (AWS KMS) キーの復号化権限がありません。
C. EC2 インスタンスのロールには、Parameter Store のパラメータを読み取るための読み取り権限がありません。
D. EC2 インスタンスのロールには、シークレットに関連付けられた AWS Key Management Service (AWS KMS) キーの暗号化権限がありません。
E. EC2 インスタンスには、タグが関連付けられていません。
【正解の選択肢と解説】
正解:B, C
- B. パラメータが KMS で暗号化されている場合、EC2 の IAM ロールにはその KMS キーの 復号化権限 (
kms:Decrypt) が必要です。これがないと復号処理に失敗します。 - C. Parameter Store から値を取得するには、EC2 インスタンスのロールに
ssm:GetParameterなどの読み取り権限が必要です。
【不正解の選択肢の理由】
- A: Parameter Store 自体に KMS 復号権限は不要です。復号は 呼び出し元の IAM エンティティ(ここではEC2ロール) が行うため。
- D: 必要なのは暗号化ではなく復号化の権限です。暗号化権限(
kms:Encrypt)はこのケースでは無関係。 - E: タグは IAM ポリシーと組み合わせて条件付きアクセスに使えますが、必須ではありません。
【SCS試験で押さえておくべきポイント】
- Parameter Store(SecureString)+ KMS の組み合わせでは、アクセス元 IAM エンティティに
ssm:GetParameter+kms:Decryptが必要。 - KMS による暗号化は、復号側の権限設計が重要。
- SSM Parameter Store のアクセス権限と KMS ポリシーの両面を確認すること。
- EC2 の IAM ロール設定ミスが最も頻度高い原因の一つ。
次の問題(問題4)も必要であれば「問題4お願いします」とお知らせください。
以下に、問題4 の内容を指定フォーマットで整理しました。
■ 問題4
【問題文】
現在、あるウェブサイトが Amazon EC2 上で稼働しており、サイト内のコンテンツのほとんどが静的なコンテンツです。最近、このサイトは DDoS 攻撃を受け、セキュリティエンジニアは、将来的にこのリスクを軽減するためにエッジセキュリティを再設計することを命じられました。
エンジニアがこれを達成できる方法を選択してください。(3つ選択)
【選択肢】
A. Amazon Inspector の評価テンプレートを使用して、インバウンドトラフィックを検査します。
B. AWS WAF のセキュリティルールを使用して、インバウンドトラフィックを検査します。
C. セキュリティグループの設定を変更して、攻撃トラフィックの送信元をブロックします。
D. AWS X-Ray を使用して、EC2 インスタンスに向かうトラフィックを検査します。
E. 静的コンテンツを Amazon S3 に移動し、Amazon CloudFront ディストリビューションを前面に配置します。
F. Amazon Route 53 を使用してトラフィックを分散させます。
【正解の選択肢と解説】
正解:B, E, F
- B. AWS WAF:IP制限やSQLインジェクションなど、WebアプリケーションレベルのDDoS対策が可能です。
- E. Amazon S3 + CloudFront:CloudFront を使用することで、静的コンテンツをエッジでキャッシュし、DDoS耐性とレスポンスの高速化を実現できます。
- F. Route 53:トラフィックフロー機能やヘルスチェック付きのルーティングによって、負荷分散や可用性の向上が可能です。
【不正解の選択肢の理由】
- A: Amazon Inspector はインスタンスの脆弱性やCVEのスキャンを行うツールであり、ネットワークトラフィックの検査やDDoS対策には不適切です。
- C: セキュリティグループは明示的にトラフィックをブロックできません(DENYなし)。許可された通信のみを許容する設計です。
- D: AWS X-Ray はアプリケーションのパフォーマンスとトレーシング用であり、セキュリティ対策ツールではありません。
【SCS試験で押さえておくべきポイント】
- DDoS対策の基本構成は以下を含む:
- CloudFront(CDN)で分散とキャッシュ
- WAF でL7攻撃防御
- Route 53 によるレジリエンス強化
- セキュリティグループではDENYできない(ALLOWのみ)
- Amazon Inspector / X-Ray は診断・分析用途であり、ネットワーク防御には直接使えない
次の問題(問題5)をご希望の場合は「問題5お願いします」とお知らせください。
以下に、指定されたフォーマットで整理した内容をお届けします。
■問題文(編集せずそのまま)
あるアプリケーションで、Amazon DynamoDB を含む AWS リソースに直接アクセスする際に、エンドユーザーの権限を管理するために Amazon Cognito を使用しています。新機能のリクエストは以下の通りです。
調査が保留中または永久停止されていることをお客様にマークするメカニズムを提供します。お客様は、保留されてもログインを可能にしますが、変更はできないようにします。
優先事項は、複雑さを軽減し、将来のセキュリティ問題の可能性を回避することです。
これらの要件と優先事項を満たす最適な方法を選択してください。
■選択肢(編集せずそのまま)
A. 保留中のお客様を 2 番目の Cognito グループに移動し、グループに適切な IAM アクセスポリシーを定義します。
B. 保留中のお客様を 2 番目の Cognito ユーザープールに追加し、両方のユーザープールを確認するようにアプリケーションのログインフローを更新します。
C. Amazon Cognito Sync を使用して、「suspension_status」パラメーターをプッシュし、IAM ポリシーを通常のユーザーと保留中のユーザーに分割します。
D. 新しいデータベースフィールド「suspended_status」を作成し、リクエストを処理するときにそのフィールドを検証するようにアプリケーションロジックを変更します。
■問題文の要件の概要
- Cognito を利用してユーザーの状態(保留中・通常)に応じたアクセス制御を行いたい
- ログインは許可しつつ、操作(変更)は制限したい
- 複雑さの軽減とセキュリティ問題のリスクを抑える方法が求められている
■正解の選択肢と解説
正解:A. 保留中のお客様を 2 番目の Cognito グループに移動し、グループに適切な IAM アクセスポリシーを定義します。
Cognito ユーザープールには「グループ」を設定でき、グループごとに IAM ロールを割り当てることが可能です。これにより、通常ユーザーと制限ユーザー(保留中)を同じユーザープール内で明確に分離し、それぞれに適した権限(例:読み取りのみ/読み書き)を簡単に付与できます。
■不正解の選択肢の理由
- B:2 番目のユーザープールに追加しログインフローを分岐
- ユーザープールを分けると管理が煩雑化し、アプリ側の認証・認可ロジックが複雑になり、セキュリティリスクが増加するため不適切。
- C:Cognito Sync を使ってステータスをプッシュ
- Cognito Sync は古いサービスであり、現在は推奨されておらず、IAM ポリシーの動的変更には不向き。また IAM でパラメーターに基づいた動的な権限制御はできない。
- D:アプリケーションロジックでフィールドを確認
- 状態管理と認可処理をアプリ側に持たせるのは開発負担が増し、セキュリティの統一管理が困難になるため、複雑さの軽減という要件に反する。
■SCS試験で押さえておくべきポイント
- Amazon Cognito ユーザープールの「グループ」機能を使えば、ユーザーの分類とそれに応じた IAM ロールの割当が可能
- IAM ロールとポリシーの分離設計により、ユーザーごとにアクセス制御を行うベストプラクティスを理解する
- Cognito Sync は非推奨技術であり、選択肢に出ても採用しないこと
- アプリケーションロジックに依存しすぎず、AWS の認証・認可機構を活用することでセキュリティ設計の一貫性と保守性を保つ
次の問題もあれば、同じ形式で解説いたします。
以下に、問題6 の内容を指定フォーマットで整理しました。
■問題文(編集せずそのまま)
あるセキュリティエンジニアが、新しい AWS アカウントを設定しています。このエンジニアは、AWS のベストプラクティスと Center for Internet Security (CIS) AWS Foundations Benchmark に基づく自動コンプライアンスチェックを使用して、会社の AWS アカウントを継続的に監視するよう依頼されています。
AWS サービスを使用してこれを達成する最適な方法を選択してください。
■選択肢(編集せずそのまま)
A. AWS Config を有効にし、すべてのリージョンのすべてのリソースとグローバルリソースを記録するように設定します。次に、AWS Security Hub を有効にし、CIS AWS Foundations Benchmark 標準が有効になっていることを確認します。
B. Amazon Inspector を有効にし、CIS AWS Foundations Benchmark をすべてのリージョンでスキャンするように設定します。次に、すべてのリージョンで AWS Shield を有効にして、アカウントを DDoS 攻撃から保護します。
C. AWS Config を有効にし、すべてのリージョンとグローバルリソースのすべてのリソースを記録するように設定します。次に、Amazon Inspector を有効にし、AWS Config ルールを使用して CIS AWS Foundations Benchmark を適用するように設定します。
D. Amazon Inspector を有効にし、CIS AWS Foundations Benchmark のためにすべてのリージョンをスキャンするように設定します。次に、AWS Security Hub を有効にして、Amazon Inspector の結果を取り込むように設定します。
■問題文の要件の概要
- CIS AWS Foundations Benchmark に準拠した自動コンプライアンスチェックを継続的に行いたい
- AWSのベストプラクティスに則り、新規アカウントのセキュリティ監視を実装する必要がある
■正解の選択肢と解説
正解:A
AWS Config + AWS Security Hubの組み合わせが、CIS AWS Foundations Benchmark に準拠したセキュリティチェックに対応する公式かつ推奨構成です。
- AWS Config はリソースの構成変更を記録し、コンプライアンス状態を追跡します。
- AWS Security Hub は AWS Config ルールを活用し、CIS Benchmark 標準(レベル1・2)に基づいた自動評価を行います。
この組み合わせにより、すべてのリージョン・グローバルリソースの追跡とCISチェックの自動化が可能になり、継続的な監査・可視化が実現します。
■不正解の選択肢の理由
- B:Inspector と Shield の組み合わせ
- Inspector は脆弱性スキャンサービスであり、CIS Benchmark のチェック機能は持っていません。
- Shield は DDoS 保護サービスであり、今回のような構成監査には無関係です。
- C:Inspector + AWS Config
- AWS Config の使用は正しいが、CIS Benchmark 評価を自動で行う機能は Inspector にはありません。
- CIS Benchmark を適用するには Security Hub が必要です。
- D:Inspector + Security Hub
- Inspector のスキャン結果を Security Hub に取り込むことは可能ですが、それは脆弱性情報であり、CIS Benchmark 評価には使われません。
■SCS試験で押さえておくべきポイント
- CIS AWS Foundations Benchmark を実装するには Security Hub + AWS Config の構成が必須
- AWS Config は対象リソースの履歴管理・ルール評価、Security Hub は集約・可視化と標準評価
- Amazon Inspector は脆弱性スキャン専門(CVE対応)であり、構成ベースのコンプライアンスチェックには不向き
- AWS Shield は DDoS対策のため、試験で混同しないように注意すること
次の問題もございましたら、同じ形式で整理いたします。お気軽にどうぞ。
以下に、問題7 の内容を指定のフォーマットで整理しました。
■問題文(編集せずそのまま)
企業のデータサイエンティストは、Amazon SageMaker を使用して人工知能と機械学習 (AI/ML) のトレーニングモデルを作成したいと考えています。トレーニングモデルは、Amazon S3 バケット内の大規模なデータセットを使用します。データセットには機密情報が含まれています。
データサイエンティストはモデルのトレーニングに平均 30 日必要です。S3 バケットは適切に保護されています。同社のデータ保持ポリシーでは、45 日より古いデータはすべて S3 バケットから削除する必要があると規定されています。
このデータ保持ポリシーを適用する最適な方法を選択してください。
■選択肢(編集せずそのまま)
A. S3 オブジェクトの最終変更日を確認し、45 日より古いオブジェクトを削除する AWS Lambda 関数を作成します。PutObject オペレーションごとに Lambda 関数を呼び出す S3 イベント通知を作成します。
B. S3 バケットで S3 Intelligent-Tiering を構成して、オブジェクトを別のストレージクラスに自動的に移行します。
C. S3 オブジェクトの最終変更日を確認し、45 日より古いオブジェクトを削除する AWS Lambda 関数を作成します。Amazon EventBridge ルールを作成し、毎月 Lambda 関数を呼び出します。
D. 45 日後にオブジェクトを削除するように、S3 バケットに S3 ライフサイクルルールを設定します。
■問題文の要件の概要
- S3 バケットに保存された機密データに対し、45日超過での自動削除というデータ保持ポリシーを遵守する必要がある
- 手動ではなく最適かつ自動的に削除する仕組みが求められている
■正解の選択肢と解説
正解:D. 45 日後にオブジェクトを削除するように、S3 バケットに S3 ライフサイクルルールを設定します。
S3 ライフサイクルルールは、指定された日数経過後にオブジェクトを自動で削除するよう設定できる機能です。
ポリシー適用やコンプライアンス遵守のために推奨される方法で、Lambda や手動運用を不要にします。
45日という明確なルールに対して、S3のネイティブ機能で確実・自動的に処理できます。
■不正解の選択肢の理由
- A:Lambda(PutObject トリガー)
PutObjectイベント発火で即時処理するには不適で、45日超過確認のような状態管理が難しく、非効率的。- 実行タイミングの制御も難しく、無駄なLambda呼び出しが増える。
- B:S3 Intelligent-Tiering
- これはコスト最適化のためのストレージクラス移行であり、データ削除や保持ポリシー遵守の目的には適していない。
- C:EventBridge + Lambda
- 定期的なチェック処理によって削除は可能だが、Lambda関数やEventBridgeの管理が必要で運用が煩雑。
- S3のネイティブ機能であるライフサイクルルールで対応可能なケースでは非推奨。
■SCS試験で押さえておくべきポイント
- Amazon S3 ライフサイクルルールは、保存期間による自動削除/移行が可能で、データ保持ポリシーに対する最も効率的な方法
- S3 Intelligent-Tiering はコスト管理用途(アクセス頻度による自動移行)であり、削除目的では使用しない
- Lambda + EventBridge の構成は汎用的だが、S3ライフサイクルで代替できる場合は使わないのがベストプラクティス
- 自動化・最小運用負荷・セキュリティ統制の観点から、マネージド機能を優先する判断が重要
続けての問題も、同様に整理してお答えしますのでお気軽にどうぞ。
