Q25 — AWS ANS-C01 第1章
第 25/100 問 | ← 第1章
ネットワークエンジニアは、アプリケーションロードバランサー(ALB)上の暗号化データを保護するために、追加のセキュリティ対策を提供する必要があります。その対策として「一意のランダムセッションキー」を使用します。 この要件を満たすために、ネットワークエンジニアは何を行うべきですか?
- A. ALBのセキュリティポリシーをTLS 1.2プロトコルのみをサポートするポリシーに変更する
- B. AWS Key Management Service(AWS KMS)を使用してセッションキーを暗号化する
- C. ALBに関連付けられたAWS WAF Web ACLを作成し、フォワード・シークレシー(FS)を適用するセキュリティルールを作成する
- D. ALBのセキュリティポリシーをフォワード・シークレシー(FS)をサポートするポリシーに変更する ✓
正解: D. ALBのセキュリティポリシーをフォワード・シークレシー(FS)をサポートするポリシーに変更する
解説
Application Load Balancer(ALB)上の暗号化データを保護する際、一意のランダムセッションキーを使用することはセキュリティ強化の有効な手法です。これを実現するには、ALBのセキュリティポリシーがフォワード・シークレシー(FS)をサポートしている必要があります。FSは、長期鍵が漏洩した場合でも過去のセッションが安全に保たれるよう、各セッションで一意の鍵を使用する暗号化プロトコルです。選択肢AはALBのセキュリティポリシーをTLS 1.2のみをサポートするように変更するものですが、TLS 1.2自体はFSを保証しません。選択肢BはAWS KMSを用いてセッションキーを暗号化するものですが、これは鍵管理の強化には寄与しますが、ALBにおけるFSの実装とは直接関係ありません。選択肢CはAWS WAF Web ACLをALBに関連付け、FSを適用するルールを作成するものですが、WAFはWebアプリケーションに対する一般的な攻撃からの保護を目的としており、ALBの暗号化ポリシーを制御する機能はありません。選択肢DはALBのセキュリティポリシーをFSをサポートするように変更するものであり、問題文で求められている「一意のランダムセッションキーによる暗号化データの保護」という要件を直接満たします。したがって、正解はDです。