以下の形式で出力いたします。
■問題文(文字列を編集せずに出力)
【SCS-101】あるセキュリティエンジニアが最近、AWSアカウントのすべてのIAMアクセスキーをローテーションしました。セキュリティエンジニアは、AWS Configを構成し、次のAWS Config管理ルールを有効にしました。
mfa-enabled-for-iam-console-access, iam-user-mfa-enabled, access-key-rotated, iam-user-unused-credentials-check
セキュリティエンジニアは、IAM GenerateCredentialReport API オペレーションが呼び出された後、すべてのリソースが非準拠と表示されることに気づきました。
非準拠状態の理由は何でしょうか?
■選択肢(文字列を編集せずに出力)
- IAM 認証情報レポートが、過去 4 時間以内に生成されました。
- セキュリティエンジニアには、GenerateCredentialReport 権限がありません。
- セキュリティエンジニアには、GetCredentialReport 権限がありません。
- AWS Config ルールの MaximumExecutionFrequency 値が 24 時間です。
■正解の選択肢と解説
正解:1. IAM 認証情報レポートが、過去 4 時間以内に生成されました。
AWS Config のルールのうち、access-key-rotated や iam-user-mfa-enabled などのいくつかは、IAMの認証情報レポート(credential report)を参照して準拠かどうかを評価します。
このレポートは GenerateCredentialReport で手動生成または自動で作成されますが、4時間以内に再生成された場合はキャッシュされた古いレポートが返される仕様です。
そのため、セキュリティエンジニアが手動で GenerateCredentialReport を呼び出したタイミングが直近4時間以内であった場合、AWS Config ルールが最新の情報を評価できず、すべてのリソースが NON_COMPLIANT(非準拠)と表示されることがあります。
■不正解の選択肢の理由
2. セキュリティエンジニアには、GenerateCredentialReport 権限がありません。
→ この場合、レポート自体が生成されないため評価が「失敗」となり、非準拠ではなく「評価不能」になります。
3. セキュリティエンジニアには、GetCredentialReport 権限がありません。
→ これも評価対象のレポートを取得できないため、「非準拠」ではなく「エラー」となります。
4. AWS Config ルールの MaximumExecutionFrequency 値が 24 時間です。
→ 実行頻度に関する設定であり、「すべてが非準拠」になる直接的な原因にはなりません。
■SCS試験で押さえておくべきポイント
access-key-rotatedやiam-user-mfa-enabledなどのAWS Configルールは IAM credential report に依存している。- credential report は4時間キャッシュされ、新鮮な情報をすぐ取得できない点に注意。
- 手動で
GenerateCredentialReportを繰り返すとキャッシュが影響し、Configが古い情報で評価する可能性がある。 - AWS Configで「非準拠」と表示されたら、credential report の生成時間と内容を確認すること。
次の問題もどうぞ。
以下の形式で解説します。
■問題文(文字列を編集せずに出力)
【SCS-102】あまりにも多くの不正なAWS API要求が識別された場合、どのアプローチが自動的にセキュリティ警告を生成しますか?
■選択肢(文字列を編集せずに出力)
- APIコールエラーコードを探すAmazon CloudWatchメトリックフィルタを作成し、そのメトリックの率に基づいたアラームを実装します。
- イベントデータをAmazon KinesisにストリーミングするためにAWS CloudTrailを構成します。ストリームにAWS Lambda関数を構成し、閾値を超えたときにアラームを出すようにします。
- CloudTrailのログファイルに対してAmazon Athena SQLクエリを実行します。Amazon QuickSightを使用して、運用ダッシュボードを作成します。
- Amazon Personal Health Dashboardを使用して、アカウントのAWSサービスの使用を監視し、サービスエラー率が増加した場合にアラートを発生させます。
■正解の選択肢と解説
正解:1. APIコールエラーコードを探すAmazon CloudWatchメトリックフィルタを作成し、そのメトリックの率に基づいたアラームを実装します。
CloudTrail のログを Amazon CloudWatch Logs に送信し、そこに対して「特定のエラーコード」(例: AccessDenied, UnauthorizedOperation, Throttling)をフィルタするメトリクスフィルタを作成できます。その上で CloudWatch アラームを定義すれば、不正なAPI要求が一定回数発生したときに自動で通知(アラーム)を発生させられます。
■不正解の選択肢の理由
2. Kinesis + Lambda を使用して CloudTrail を解析する方法
→ 技術的には可能ですが、設定が複雑でリアルタイム性・効率性ではCloudWatch Logsへの直接連携+アラームの方が優れています。試験の観点では「より効率的で標準的な方法」が優先されます。
3. Athena + QuickSight で可視化する方法
→ これはダッシュボード作成・後続分析には有効ですが、自動的なアラート(警告)発生には向いていません。リアルタイム性もありません。
4. Personal Health Dashboard を使う方法
→ これはAWSサービス側の障害やメンテナンス通知を対象としており、APIリクエストエラーの監視には使えません。
■SCS試験で押さえておくべきポイント
- CloudTrail + CloudWatch Logs + Metric Filter + Alarm の組み合わせは、不審なアクティビティのリアルタイム検出に非常に重要。
- CloudWatch Logs でフィルタ対象として設定できる例:
$.errorCode = "AccessDenied"$.eventName = "ConsoleLogin" && $.responseElements.MFAUsed = "No"
- 監視対象にすることで、GuardDutyとは別に独自のセキュリティモニタリングが構築可能。
- SCS試験では「監査ログの活用」「通知の自動化」「最小権限・リアルタイム性」がよく問われる。
次の問題もどうぞ。
以下の形式で解説します。
■問題文(文字列を編集せずに出力)
【SCS-103】ある会社は、Amazon EC2 の Docker で実行されている何百ものアプリケーションのフォレンジックロギングソリューションを必要としています。
このソリューションは、ログに対してリアルタイム分析を実行し、メッセージの再生をサポートし、ログを永続化する必要があります。
これらの要件を満たすには、どの AWS サービスを使用する必要がありますか? (2つ選んでください。)
■選択肢(文字列を編集せずに出力)
- Amazon Athena
- Amazon Kinesis
- Amazon SQS
- Amazon OpenSearch Service
- Amazon EMR
■正解の選択肢と解説
正解:2. Amazon Kinesis / 4. Amazon OpenSearch Service
- Amazon Kinesis
→ Kinesis は、リアルタイムストリーミングデータの処理が可能です。ログを即時に収集・解析する用途に適し、「メッセージの再生(再処理)」機能もサポートしています(Shards に保持されたデータを再取得できる)。 - Amazon OpenSearch Service
→ OpenSearch は、ログのインデックス化・全文検索・分析に適しています。Kinesis Firehose と連携して、リアルタイムログの可視化・ダッシュボード化にも対応可能です。Elasticsearchの後継であり、永続化も可能。
■不正解の選択肢の理由
- 1. Amazon Athena
→ S3 上のデータに対してクエリを実行するためのサービス。バッチ処理向けであり、リアルタイム性や再生機能がない。 - 3. Amazon SQS
→ 一時的なメッセージキューには適しているが、ログ分析には不向き。分析機能・検索機能・長期保持は標準では提供されていない。 - 5. Amazon EMR
→ 大規模なデータ処理向けの Hadoop/Spark クラスタサービス。セットアップやコストが大きく、リアルタイム用途や可視化・検索機能には向かない。
■SCS試験で押さえておくべきポイント
- リアルタイムログ分析には Kinesis、検索・可視化には OpenSearch を用いる組み合わせがベストプラクティス。
- Kinesis Data Streams + Firehose + OpenSearch という構成は、セキュリティログやアプリログの監視に頻出。
- 「再生」「永続化」などのキーワードに対して、バッファ機能・保存機能・分析機能が揃っているかで選定すること。
- SQSはバッファにはなるが、検索・分析が目的なら不適。
次の問題もどうぞ。
■問題文
【SCS-106】ある情報技術部門は、コスト削減のためにClassic Load Balancer(CLB)の使用を中止し、Application Load Balancer(ALB)に切り替えました。
切り替え後、古いデバイスを使用している一部のユーザーがウェブサイトに接続できなくなりました。
この問題の原因は何でしょうか?
■選択肢
- ALBは、古いウェブブラウザをサポートしていません。
- Perfect Forward Secrecyの設定が正しく構成されていません。
- 中間証明書をALB内にインストールする必要があります。
- ALBの暗号スイートが接続をブロックしています。
■正解の選択肢と解説
正解:4. ALBの暗号スイートが接続をブロックしています。
- ALBは、セキュリティポリシー(TLSポリシー)により使用可能な暗号スイートを制御します。
- デフォルトのセキュリティポリシーでは、TLS 1.2以降や強力な暗号スイートのみを許可しており、古いTLSバージョンやレガシー暗号スイートはサポートされません。
- 古い端末やブラウザはこれらに対応していないことがあり、接続が失敗する原因となります。
■不正解の選択肢の理由
- 1. ALBは、古いウェブブラウザをサポートしていません。
→ ALB自体がブラウザに依存しているわけではなく、サポートの可否はTLS/SSLとの互換性に依存します。 - 2. Perfect Forward Secrecyの設定が正しく構成されていません。
→ PFSが有効でないこと自体が接続不能の原因にはなりません。 - 3. 中間証明書をALB内にインストールする必要があります。
→ ACMやIAMで証明書をアップロードする際、Amazon側で中間証明書も含めて自動処理されます。これが原因で接続できなくなるケースは少ないです。
■SCS試験で押さえておくべきポイント
- ALBのセキュリティポリシー(例:ELBSecurityPolicy-TLS-1-2-Extなど)により、許容される暗号スイートやTLSバージョンが決まる。
- 互換性を求める場合は、より緩いポリシー(例:ELBSecurityPolicy-2016-08など)に変更することで、古いデバイス対応が可能。
- セキュリティと互換性のバランスをとる設計判断が必要な場面でよく問われるテーマ。
次の問題もあればどうぞ。
■問題文
【SCS-107】ある企業は、AWS アカウントで Amazon Macie、AWS Firewall Manager、Amazon Inspector、および AWS Shield Advanced を使用しています。
会社は、アカウントに対して DDoS 攻撃が発生した場合にアラートを受け取りたいと考えています。
この要件を満たすソリューションはどれですか?
■選択肢
- Macie を使用して、アクティブな DDoS イベントを検出します。Macie の調査結果に応答する Amazon CloudWatch アラームを作成します。
- Amazon Inspector を使用してリソースを確認し、DDoS 攻撃に対して脆弱なリソースに対して Amazon CloudWatch アラームを呼び出します。
- アクティブな DDoS イベントの Firewall Manager メトリクスを監視する Amazon CloudWatch アラームを作成します。
- アクティブな DDoS イベントの Shield Advanced メトリクスをモニタリングする Amazon CloudWatch アラームを作成します。
■正解の選択肢と解説
正解:4. アクティブな DDoS イベントの Shield Advanced メトリクスをモニタリングする Amazon CloudWatch アラームを作成します。
- AWS Shield Advanced は、DDoS(分散型サービス拒否)攻撃の検出と軽減を専門にしたサービスで、リアルタイムで攻撃を検出し、CloudWatch メトリクスとして情報を提供します。
- Shield Advanced は DDoSDetected や AttackVectors、AttackVolume などのメトリクスを CloudWatch に出力できるため、アラーム設定に最適です。
■不正解の選択肢の理由
- 1. Macie を使用して、アクティブな DDoS イベントを検出します。
→ Macieは機密データ検出(PIIなど)に特化しており、ネットワーク攻撃の監視には使用できません。 - 2. Amazon Inspector を使用してリソースを確認し…
→ Inspector は 脆弱性スキャンとセキュリティ評価に用いられるもので、リアルタイム攻撃の検出機能は持っていません。 - 3. Firewall Manager メトリクスを監視…
→ Firewall Manager は WAFやセキュリティポリシーの一元管理に使用しますが、直接DDoSのリアルタイムメトリクスは提供しません。
■SCS試験で押さえておくべきポイント
- AWS Shield Advanced はDDoS対策の中心サービスであり、自動検出・緩和・通知が可能。
- CloudWatch アラームは、Shield Advanced のメトリクス(例:DDoSDetected)と組み合わせることで、迅速なインシデント対応が実現可能。
- CloudWatch Logs/Alarms + Shield Advanced の組み合わせは、セキュリティモニタリングの代表的構成として頻出。
次の問題があればどうぞ。
■問題文
【SCS-108】ある会社が、アプリケーションロードバランサー(ALB)の背後にあるEC2インスタンス上でWebアプリケーションをホストしています。
アプリケーションはDDoS攻撃のターゲットになりました。
アプリケーションのログでは、少数のクライアントのIPアドレスからリクエストが来ていたことが判明しましたが、このIPアドレスは定期的に変更されています。
会社は、最小限の継続的な労力で悪意のあるトラフィックをブロックする必要があります。
どのソリューションが、この要件を満たすことができますか?
■選択肢
- AWS WAFのレートベースルールを作成し、ALBにアタッチします。
- ALBに接続されているセキュリティグループを更新し、攻撃しているクライアントのIPアドレスをブロックします。
- ALBが属するサブネットのネットワークACLを更新して、攻撃しているクライアントのIPアドレスをブロックします。
- AWS WAFのレートベースルールを作成し、EC2インスタンスのセキュリティグループにアタッチします。
■正解の選択肢と解説
正解:1. AWS WAFのレートベースルールを作成し、ALBにアタッチします。
- AWS WAF(Web Application Firewall)は、特定の条件に基づいてリクエストをブロックまたは許可できます。
- レートベースルールは、短時間に大量のリクエストを送るIPアドレスを自動的に検出してブロックできるため、変化するIPアドレスにも対応可能。
- また、ALBに直接アタッチ可能なため、WAFルールの適用は容易で、継続的な手動対応が不要になります。
■不正解の選択肢の理由
- 2. セキュリティグループでIPブロック
→ セキュリティグループはステートフルなファイアウォールで、個別IPアドレスのブロックは可能ですが、動的に変化するIPに対応できない上、手動対応が必要です。 - 3. ネットワークACLでIPブロック
→ NACLも同様にIPベースでのブロックは可能ですが、こちらも静的ルールであり、変更されるIPには不向き。保守が煩雑です。 - 4. AWS WAFをEC2のセキュリティグループにアタッチ
→ WAFはALBやCloudFront、API Gatewayなどにアタッチ可能ですが、EC2のセキュリティグループに直接アタッチはできません。
■SCS試験で押さえておくべきポイント
- AWS WAFのレートベースルールは、短期間に大量リクエストを送るIPに対し自動で対応可能な防御手段。
- セキュリティグループやNACLでは動的なIP変化への対応は困難であり、WAFを活用するのが実践的。
- WAFはALB、CloudFront、API Gatewayにアタッチ可能であり、EC2やセキュリティグループとは直接関係しない点に注意。
次の問題も準備ができたらお送りください。
■問題文
【SCS-109】ある会社のAmazon S3バケットは、AWS KMS CMKを使用して暗号化されています。
この会社のIAMユーザーは、AWS Management Consoleを使用してS3バケットからオブジェクトをダウンロードすることはできませんが、他のユーザーはS3バケットからオブジェクトをダウンロードすることができます。
セキュリティエンジニアはこの問題を解決する為に、必要に応じて変更する必要が有るものはどれでしょうか? (3つを選んでください)。
■選択肢
- CMKのポリシー
- VPCエンドポイントポリシー
- S3バケットポリシー
- S3のACL
- IAMポリシー
■正解の選択肢と解説
正解:1. CMKのポリシー、3. S3バケットポリシー、5. IAMポリシー
✅ 1. CMKのポリシー
KMSで暗号化されたS3オブジェクトを復号するには、ユーザーに**kms:Decrypt**の権限が必要です。
CMKのキーポリシーに該当ユーザーのアクセス許可が含まれていないと復号できず、S3からのダウンロードに失敗します。
✅ 3. S3バケットポリシー
S3バケットポリシーが特定のユーザーまたはロールに対してアクセスを拒否している可能性があります。
バケットポリシーでそのIAMユーザーに対するアクセスを明示的に許可する必要があります。
✅ 5. IAMポリシー
IAMユーザーにS3アクセスの適切な許可(例: s3:GetObject)が付与されていない場合、ダウンロードはできません。
また、KMSキーへのkms:DecryptがIAMポリシーでも許可されていなければなりません(CMKポリシーと併用されるため)。
■不正解の選択肢の理由
❌ 2. VPCエンドポイントポリシー
VPCエンドポイントポリシーはVPC内からのアクセスを制御しますが、IAMユーザーがどこからアクセスしているかが前提条件にないため、この問題の原因とは断定できません。
❌ 4. S3のACL
ACLはオブジェクトやバケットに対する個別のアクセス許可を設定しますが、現在はバケットポリシーやIAMポリシーの利用が推奨されており、ほとんどのケースで無効化されています。
このケースでは主要なアクセス制御には関係しません。
■SCS試験で押さえておくべきポイント
- KMSを使ったS3暗号化では、
kms:DecryptがIAMとCMKポリシーの両方で必要。 - S3アクセスは三重の制御構造(IAMポリシー、バケットポリシー、CMKポリシー)で行われる。どれか1つでも不足するとアクセス不能。
- ACLよりもIAM・バケットポリシー・KMSポリシーを優先して確認する。
次の問題もどうぞお送りください。
