Uncategorized

111~120

 

■問題文

【SCS-111】ある企業はひとつの AWS アカウントを保有しており、Amazon EC2 インスタンスを使用してアプリケーションコードをテストしています。
同社は最近、インスタンスが侵害されたことを発見しました。
インスタンスはマルウェアで攻撃を行なっていました。
インスタンスの分析により、インスタンスが 35 日前に侵害されたことが示されました。
セキュリティエンジニアは、できるだけ早く、重大度の高い検出結果について電子メールのリストを介して、会社のセキュリティチームに侵害されたインスタンスについて自動的に通知する継続的な監視ソリューションを実装する必要があります。
これらの要件を満たすために、セキュリティエンジニアはどの手順を組み合わせて実行する必要がありますか? (3つ選んでください。)

■選択肢

  1. AWS アカウントで AWS Security Hub を有効化します。
  2. AWS アカウントで Amazon GuardDuty を有効にします。
  3. Amazon Simple Notification Service (Amazon SNS) のトピックを作成します。セキュリティチームの電子メール配信リストをトピックにサブスクライブします。
  4. Amazon Simple Queue Service (Amazon SQS) キューを作成します。セキュリティチームのメール配信リストをキューに登録します。
  5. 重大度の高い GuardDuty の結果に対して Amazon EventBridge (Amazon CloudWatch Events) ルールを作成します。トピックにメッセージを発行するルールを構成します。
  6. 重大度の高いセキュリティ ハブの検出結果に対する Amazon EventBridge (Amazon CloudWatch Events) ルールを作成します。メッセージをキューに発行するルールを構成します。

■正解の選択肢と解説

正解:2. Amazon GuardDuty を有効化、3. SNS トピックの作成とサブスクライブ、5. EventBridge ルールで SNS に通知

✅ 2. Amazon GuardDuty を有効にします。

GuardDuty は AWS アカウント内の悪意のあるアクティビティや異常な動作(例:マルウェア通信など)を検出します。この要件のような継続的なモニタリングには必須です。

✅ 3. SNS トピックを作成し、セキュリティチームのメールリストをサブスクライブ

SNS は通知配信に使用され、メールで即時通知する用途に最適です。自動通知の仕組みを作るうえで不可欠です。

✅ 5. GuardDuty の重大な結果に EventBridge ルールを作成し、SNS にメッセージを発行

EventBridge は GuardDuty のフィードをトリガーとして SNS にルーティングできます。これにより、重大なアラートを自動でメール通知に接続できます。

■不正解の選択肢の理由

❌ 1. Security Hub の有効化

Security Hub は複数サービスのセキュリティ統合ビューを提供しますが、GuardDuty の検出→通知という即時対応においては、直接関係しません。

❌ 4. SQS キューとメールリストの組み合わせ

SQS はメール通知用途には不向きです。SQS はアプリケーション連携向けのメッセージキューで、メールリストを登録しても通知できません。

❌ 6. Security Hub 検出結果 → SQS キューの EventBridge ルール

Security Hub 経由の通知は間接的かつ遅延がある可能性があります。今回のような即時通知要件にはマッチしません。また、SQS 経由ではメール通知されません。

■SCS試験で押さえておくべきポイント

  • Amazon GuardDuty は侵害検出の主要サービス。重大アラートに即応する仕組みに活用
  • SNS + EventBridge の組み合わせは通知自動化の王道パターン
  • SQS は通知ではなく非同期処理向け。メール通知用途には使用しない
  • Security Hub は統合ビューだが、単体ではアラート通知機能を担わない

次の問題もどうぞお送りください。

■問題文

【SCS-112】あるセキュリティエンジニアは、開発者がセキュリティグループに、組織のファイアウォールIPではなく、0.0.0.0/0からのSSHとRDPトラフィックを許可するルールを追加していることを発見・修正したいと思っています。
最も効率的な方法は何ですか?

■選択肢

  1. VPCに関連付けられたインターネットゲートウェイを削除します。
  2. Network ACLを使用して、0.0.0.0/0 に一致するソース IP アドレスをブロックします。
  3. ホストベースのファイアウォールを使用して、組織のファイアウォールIP以外からのアクセスを防止します。
  4. AWS Configルールを使用して0.0.0.0/0を検出し、AWS Lambda関数を呼び出して組織のファイアウォールIPでセキュリティグループを更新します。

■正解の選択肢と解説

正解:4. AWS Configルールを使用して0.0.0.0/0を検出し、AWS Lambda関数を呼び出して組織のファイアウォールIPでセキュリティグループを更新します。

AWS Config はリソース設定の変更を継続的に監視し、ポリシー違反を検出するのに最適です。このケースでは、「SSH(22番ポート)」「RDP(3389番ポート)」が0.0.0.0/0で許可されているかを検出するカスタム Config ルールを用意し、違反時に自動的に Lambda をトリガーして修正(IP制限)できます。

■不正解の選択肢の理由

❌ 1. VPCに関連付けられたインターネットゲートウェイを削除

全体のインターネット接続を遮断してしまうため、開発や運用への影響が大きく、効率的な方法とは言えません。

❌ 2. Network ACL を使用してブロック

NACL はステートレスであり、ポート番号やCIDRの細かい制御が難しく、管理が煩雑です。また、セキュリティグループほどの柔軟性がないため現実的ではありません。

❌ 3. ホストベースのファイアウォールを使用

ホストベースファイアウォールはインスタンスごとの管理が必要で、スケーラビリティや管理効率に欠けます。組織全体に適用するには運用負荷が高く、根本的な対策とは言えません。

■SCS試験で押さえておくべきポイント

  • セキュリティグループへの不適切な変更の監視には AWS Config を活用
  • Config ルール + Lambda により自動修復が可能なセキュリティ体制を構築できる
  • 0.0.0.0/0 によるSSH/RDPの公開は重大なセキュリティリスク
  • セキュリティの自動化・是正措置は SCS 試験でも頻出テーマ

次の問題もお待ちしています。

■問題文

【SCS-114】あるソフトウェアエンジニアは、Amazon EC2インスタンスのEC2 フリート上で実行される設定済みのレポートサービスを使用しています。
会社のセキュリティポリシーには、一元的にレポートサービスのアプリケーションログが収集されなければならない規定が記載されてます。
これらの要件を満たすための最も効率的な方法は何ですか?

■選択肢

  1. EC2インスタンスにログインして、EC2インスタンスからアプリケーションログを取得し、Amazon S3バケットに永続化するAWS Lambda関数を記述します。
  2. AWSアカウントのAWS CloudTrailロギングを有効にし、新しいAmazon S3バケットを作成し、CloudTrailからアプリケーションログを受信するようにAmazon CloudWatch Logsを構成します。
  3. rsyncを使用してアプリケーションログをAmazon S3バケットに同期させるEC2インスタンス上のシンプルなcronジョブを作成します。
  4. EC2インスタンスにAmazon CloudWatch Logs Agentをインストールし、アプリケーションログをCloudWatch Logsに送信するように構成します。

■正解の選択肢と解説

正解:4. EC2インスタンスにAmazon CloudWatch Logs Agentをインストールし、アプリケーションログをCloudWatch Logsに送信するように構成します。

CloudWatch Logs Agent を使えば、EC2 上のアプリケーションログをリアルタイムで一元的に CloudWatch Logs に集約できます。
この手法はスケーラブルで自動化されており、セキュリティチームが一元管理・モニタリング・アラート設定を行う上でもベストプラクティスです。

■不正解の選択肢の理由

  • 1. Lambda関数でログを取得する方法
    → Lambda で EC2 にアクセスしてログを収集するのは非効率かつセキュリティ上の問題がある。常にログインする設計は推奨されない。
  • 2. CloudTrailを有効にしてCloudWatch Logsに送信する方法
    → CloudTrail は AWS API コールの記録用であり、アプリケーションログの収集には不向き。
  • 3. rsync と cron を使った同期
    → ローカルジョブの管理が煩雑で、障害耐性や一元監視性に欠ける。EC2 フリートのような複数インスタンス環境では非効率。

■SCS試験で押さえておくべきポイント

  • EC2インスタンス上のアプリケーションログの一元収集にはCloudWatch Logs Agentが最適
  • CloudTrailはAWS APIイベントの監査用であり、アプリケーションログとは用途が異なる
  • 手動同期やスクリプト運用はスケーラビリティに欠けるため非推奨
  • ログ管理と一元監視は、SCS試験でも重要なセキュリティ運用トピック

次の問題もお送りください。

■問題文

【SCS-115】次のうち、AWS KMSのカスタマーマスターキー(CMK)を使用してAWS CloudTrailのログの暗号化を自動化する最も効率的な方法はどれですか?

■選択肢

  1. CloudTrailのログが生成されるたびに、ログデータに対してKMSの直接暗号化機能を使用する。
  2. CloudTrailログの暗号化と復号化に、S3が管理するキーを使用したデフォルトのAmazon S3サーバーサイド暗号化を使用します。
  3. CloudTrailのログを暗号化・復号化するために、KMSが管理するキーを使用したサーバーサイドの暗号化を使用するようにCloudTrailを構成する。
  4. 暗号化されたAPIエンドポイントを使用して、すべてのAWS APIコールが暗号化されたAPIコールからのTLS証明書を使用して暗号化されたCloudTrailログエントリーを生成するようにします。

■正解の選択肢と解説

正解:3. CloudTrailのログを暗号化・復号化するために、KMSが管理するキーを使用したサーバーサイドの暗号化を使用するようにCloudTrailを構成する。

CloudTrailでは、KMSキー(CMK)を用いてログファイルを自動的に暗号化・復号化するよう設定できます。これにより、セキュリティポリシーを満たしつつ運用負荷を軽減できます。

■不正解の選択肢の理由

  • 1. CloudTrailのログが生成されるたびにKMSの直接暗号化を使う
    → CloudTrailは自動的にS3と統合され、ログはバケットに保存される設計。個別にKMSで手動暗号化する必要はなく、効率的でもない。
  • 2. S3のデフォルトSSE(SSE-S3)を使う
    → KMS CMKを使うことが明示されているため、この選択肢は要件を満たさない。
  • 4. TLS証明書でAPIコールを暗号化してCloudTrailログに反映させる
    → API通信の暗号化(TLS)はCloudTrailログ自体の暗号化とは別の話であり、ログの保存暗号化とは無関係。

■SCS試験で押さえておくべきポイント

  • CloudTrailログはKMS CMKと連携可能で、サーバーサイド暗号化(SSE-KMS)を設定可能
  • 暗号化対象が「保存データ」なのか「通信」なのかを正しく区別する
  • 暗号化の構成はできるだけ**自動化されたサービス連携(例:CloudTrail + SSE-KMS)**を活用するのがベストプラクティス

次の問題があればどうぞ。

以下はご指定の形式での出力です。

■問題文

【SCS-116】次のうち、Amazon CloudFrontでSSL証明書を使用するための有効な構成はどれですか?(3つを選んでください。)

■選択肢

  1. デフォルトのAWS Certificate Manager証明書
  2. AWS KMSに保存されているカスタムSSL証明書
  3. CloudFrontのデフォルトの証明書
  4. AWS Certificate Managerに格納されているカスタムSSL証明書
  5. AWS Secrets Managerに格納されているデフォルトのSSL証明書
  6. カスタムSSL証明書がAWS IAMに格納されている

■正解の選択肢と解説

正解:3, 4, 6

  • 3. CloudFrontのデフォルトの証明書
    *.cloudfront.net に対するデフォルト証明書。独自ドメインでないCloudFrontディストリビューションで使用可能。
  • 4. AWS Certificate Managerに格納されているカスタムSSL証明書
    → CloudFrontはACMで管理された証明書を利用できる(us-east-1リージョンで発行されたものに限る点に注意)。
  • 6. カスタムSSL証明書がAWS IAMに格納されている
    → レガシー対応だが、CloudFrontでは引き続きIAM証明書が使用可能。

■不正解の選択肢の理由

  • 1. デフォルトのAWS Certificate Manager証明書
    → ACMに「デフォルト証明書」は存在しない。証明書はリクエスト・管理が必要であり、CloudFrontが自動でACM証明書を割り当てることはない。
  • 2. AWS KMSに保存されているカスタムSSL証明書
    → KMSは暗号鍵管理サービスであり、SSL証明書の格納・配布には使用されない。
  • 5. AWS Secrets Managerに格納されているデフォルトのSSL証明書
    → Secrets ManagerにSSL証明書を格納することはできるが、CloudFrontで直接利用することはできない。

■SCS試験で押さえておくべきポイント

  • CloudFrontで使用可能なSSL証明書の場所は限定される
    • ACM(us-east-1)、IAM、CloudFrontのデフォルト証明書のいずれか。
  • CloudFrontとSSL証明書の紐付けでは、ACMのリージョン制約がある
    → CloudFrontはグローバルサービスのため、ACMは「米国東部(バージニア北部)」で発行された証明書を要求。
  • KMSやSecrets Managerは証明書の保存用途では使わない
    → KMSは暗号鍵、Secrets Managerは認証情報やAPIキー向け。

他の問題も分析可能ですので、続けてご提供ください。

以下、ご指定の形式にて回答いたします。

■問題文

【SCS-117】ある企業は、オンプレミス リソースのアクセス管理に Microsoft Active Directory を使用しており、AWS アカウントへのアクセスにも同じメカニズムを使用したいと考えています。
さらに、開発チームは、個別の認証ソリューションが必要な公開アプリケーションの立ち上げを計画しています。
次のどの組み合わせがこれらの要件を満たすでしょうか? (2つ選んでください。)

■選択肢

  1. Amazon EC2 上にドメインコントローラーをセットアップして、オンプレミス ディレクトリを AWS に拡張します。
  2. オンプレミスとユーザーの VPC 間のネットワーク接続を確立します。
  3. アプリケーション認証に Amazon Cognito ユーザープールを使用します。
  4. アプリケーション認証に AD Connector を使用します。
  5. ADFS と SAML を介して AWS へのフェデレーション設定します。

■正解の選択肢と解説

正解:3, 5

  • 3. アプリケーション認証に Amazon Cognito ユーザープールを使用します。
    → 公開アプリケーションに対して個別のユーザープールを使うことで、柔軟でスケーラブルな認証管理が可能。ユーザー登録、サインイン、OAuth 2.0 対応もあり、外部IdPとの連携も容易。
  • 5. ADFS と SAML を介して AWS へのフェデレーション設定します。
    → オンプレミスADをベースとしたSSOの実現に最適。SAMLとIAMロール連携を使って、AWSマネジメントコンソールやCLIに対する一貫した認証統制が可能になる。

■不正解の選択肢の理由

  • 1. Amazon EC2 上にドメインコントローラーをセットアップして、オンプレミス ディレクトリを AWS に拡張します。
    → 技術的には可能だが、管理コストが高く、AD Connector や SAMLフェデレーションの方がより効率的。要件に対して「最も効率的」ではない。
  • 2. オンプレミスとユーザーの VPC 間のネットワーク接続を確立します。
    → フェデレーション自体には必要ない。たとえば、SAMLやCognitoはインターネット経由で機能するため、VPC接続は不要。
  • 4. アプリケーション認証に AD Connector を使用します。
    → AD ConnectorはAWS上のリソース(たとえばAmazon WorkSpacesなど)にActive Directoryを使わせるためのもの。公開アプリケーションには不向きで、Cognitoのほうが適している。

■SCS試験で押さえておくべきポイント

  • SAML連携は、オンプレミスADとAWSのSSOを統合する主要な方法。
    ADFS+SAML連携により、オンプレミスユーザーがAWSリソースにシームレスにアクセス可能。
  • Amazon Cognitoは、公開アプリやモバイルアプリのユーザー認証基盤として推奨。
    ユーザープール、ソーシャルログイン、MFA、IDフェデレーションなど、セキュアな構成が容易。
  • インフラ拡張(EC2でのドメコン運用)は、管理とコストの観点で優先度が下がる。
    よりマネージドなAD連携ソリューションが優先。

さらに問題があれば続けてどうぞ。

以下はご指定の形式での回答です。

■問題文

【SCS-118】あるセキュリティエンジニアは、既存の証跡の AWS CloudTrail ログファイルのプレフィックスを更新するよう求められています。CloudTrail コンソールで変更を保存しようとすると、セキュリティエンジニアは次のエラーメッセージを受け取りました。
「バケットポリシーに問題があります」
セキュリティエンジニアが変更を保存できるようにするにはどうすればよいですか?

■選択肢

  1. 更新されたログファイルのプレフィックスを使用して新しい証跡を作成し、元の証跡を削除します。Amazon S3 コンソールで既存のバケットポリシーを新しいログファイルのプレフィックスで更新してから、CloudTrail コンソールでログファイルのプレフィックスを更新します。
  2. セキュリティエンジニアのプリンシパルが PutBucketPolicy を実行できるように、Amazon S3 コンソールで既存のバケットポリシーを更新し、CloudTrail コンソールでログファイルのプレフィックスを更新します。
  3. Amazon S3 コンソールで既存のバケットポリシーを新しいログファイルのプレフィックスで更新してから、CloudTrail コンソールでログファイルのプレフィックスを更新します。
  4. セキュリティエンジニアのプリンシパルが GetBucketPolicy を実行できるように、Amazon S3 コンソールで既存のバケットポリシーを更新し、CloudTrail コンソールでログファイルのプレフィックスを更新します。

■正解の選択肢と解説

正解:3

  • 3. Amazon S3 コンソールで既存のバケットポリシーを新しいログファイルのプレフィックスで更新してから、CloudTrail コンソールでログファイルのプレフィックスを更新します。
    → CloudTrail はログを保存する S3 バケットに対して必要なアクセス権限(s3:PutObjectなど)を持っている必要があり、プレフィックス(プレースフォルダ)が変わると、そのパスに対する許可も新たに明示する必要があります。プレフィックスを変更した場合、それに対応するポリシーのパス条件も更新しなければなりません。

■不正解の選択肢の理由

  • 1. 更新されたログファイルのプレフィックスを使用して新しい証跡を作成し、元の証跡を削除します。…
    → 新しい証跡を作る必要はありません。既存の証跡設定を維持しつつバケットポリシーを調整するだけで目的は達成できます。
  • 2. セキュリティエンジニアのプリンシパルが PutBucketPolicy を実行できるように…
    → エラーの原因はプリンシパルの権限ではなく、CloudTrail が S3 バケットの特定パス(プレフィックス)に書き込めないことです。エンジニアが自分でポリシーを更新できるかは関係ない。
  • 4. セキュリティエンジニアのプリンシパルが GetBucketPolicy を実行できるように…
    GetBucketPolicy はポリシーの読み取り用アクションであり、バケットポリシーを更新できるようにはなりません。そもそも本件はCloudTrailの書き込み権限の問題です。

■SCS試験で押さえておくべきポイント

  • CloudTrail が S3 にログを保存するには、S3 バケットポリシーで s3:PutObject を CloudTrail に対して許可する必要がある。
  • ログファイルのプレフィックスを変更する場合、S3 バケットポリシーのリソース(arn:aws:s3:::bucket-name/prefix/*)も更新する必要がある。
  • エラーメッセージ「バケットポリシーに問題があります」は、CloudTrail のログ出力先に対する適切な書き込み許可がないことを示している。

引き続き問題があればお送りください。

以下にご要望の形式で解説します。

・問題文

【SCS-120】ある会社のセキュリティエンジニアは、AWSシングルサインオン(AWS SSO)を構成して、従業員がAWS Organizationsの組織の一部である複数のAWSアカウントにアクセスする権限を与えています。
AWS SSOが構成されている組織の管理アカウントと既存のオンプレミスActive Directoryインスタンスの間に永続的なネットワーク接続があります。
セキュリティエンジニアは、既存のオンプレミスActive Directoryインスタンスを使用して従業員の認証を有効にしたいと考えています。
これらの要件を満たす最も運用効率の高いソリューションは何ですか?

・選択肢

A. デフォルトのAWS SSOユーザーディレクトリをデプロイします。AWS SSOと既存のActive Directoryインスタンスとの間に双方向の信頼関係を確立します。

B. 組織の管理アカウントでAWSマネージドActive Directoryインスタンスをデプロイします。既存のActive Directoryインスタンスと双方向の信頼関係を確立します。

C. 組織の管理アカウントで自己管理型Active Directoryインスタンスを配備します。既存のActive Directoryインスタンスと双方向の信頼関係を確立します。

D. 組織の管理アカウントでAWSマネージドActive Directoryインスタンスをデプロイします。既存のActive Directoryインスタンスと一方通行の信頼関係を確立します。

・正解の選択肢と解説

正解:B
解説:
AWS SSO(現在は「IAM Identity Center」)でオンプレミスのActive Directoryと統合するには、AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) を使用し、それにオンプレミスのADと双方向の信頼関係を確立するのが最も効率的です。
この方法により、AWSは自動的にユーザー認証をオンプレミスADに委任でき、ユーザーはオンプレミスADのクレデンシャルでAWS環境にSSOログインできるようになります。

・不正解の選択肢の理由

A:
AWS SSOのデフォルトディレクトリはAWSが管理する独立したユーザーストアであり、Active Directoryとの信頼関係は構成できません。信頼の概念が適用されないため不適切です。

C:
自己管理型のActive Directory(EC2上に構築)は可能ではありますが、運用効率が悪くなり、管理コストが増します。本問の「運用効率の高い」という要件を満たしません。

D:
一方向の信頼関係では、オンプレミスADからの認証リクエストをAWS Managed AD側で受け入れることができません。双方向信頼が必要です。

・SCS試験で押さえておくべきポイント

  • AWS IAM Identity Center(旧AWS SSO)は複数のIDソースと統合可能。AD連携にはAWS Managed Microsoft ADとの信頼関係が必要
  • 双方向の信頼関係でオンプレミスADをAWS環境に連携し、ユーザー認証を委任可能。
  • デフォルトディレクトリは外部ID連携が不要な簡易ケース向け。
  • 自己管理型ADは柔軟だが非推奨(SCSでは「運用効率」「コスト」が頻出判断軸)。

続けて別の問題を送っていただいて構いません。

RELATED POST