Q93 — AWS DOP-C02 第1章

第 93/100 問 | ← 第1章

ある会社がAWS組織内の組織単位(OU)に属するAWSアカウントでアプリケーションを実行しており、これらのアプリケーションはAmazon EC2インスタンスおよびAmazon S3を使用しています。この会社は、AWSアカウントおよび将来新規作成されるAWSアカウントにおける、潜在的な侵害を受けたEC2インスタンス、疑わしいネットワーク活動、異常なAPI活動を検出したいと考えています。これらのイベントのいずれかが検出された場合、会社は既存のAmazon Simple Notification Service(Amazon SNS)トピックを使用して、セキュリティサポートチームに通知を送信し、調査および是正措置を実施したいと考えています。 AWSのベストプラクティスに基づき、これらの要件を満たすソリューションはどれでしょうか?

正解: A. 組織の管理アカウントで、AWSアカウントをAmazon GuardDutyの管理者アカウントとして設定します。GuardDuty管理者アカウント内で、会社の既存のAWSアカウントをメンバーとしてGuardDutyに追加します。GuardDuty管理者アカウント内で、GuardDutyイベントにマッチするイベントパターンを持つAmazon EventBridgeルールを作成し、マッチしたイベントをSNSトピックに転送します。

解説

本問は、マルチアカウント環境における脅威検知と通知送信という要件を、AWSサービスを用いて集中管理する方法を問うものです。重要な点は、既存および将来のアカウントを自動的にカバーし、GuardDutyによる脅威検知を活用し、EventBridgeでイベントをSNSへルーティングすることです。AWSドキュメントによれば、GuardDutyはAWS Organizationsとの統合をサポートしており、管理アカウントでGuardDutyを有効化すると、メンバーアカウントが自動的に監視対象になります。選択肢Aは、GuardDuty管理者アカウントの設定、メンバーの追加、GuardDutyイベントをマッチさせるEventBridgeルールの作成およびSNSへの転送という、この自動統合メカニズムを正確に記述しています。選択肢Bは招待フローとスタックセットを用いるため手動操作が多く、選択肢CおよびDはSecurity Hub、CloudTrail、VPCフローログなど、本問の脅威タイプに直接対応しない複雑な構成を含みます。AWSのベストプラクティスに従えば、選択肢AがGuardDutyとOrganizationsの自動統合を活用し、簡潔かつ効率的に要件を満たします。