Q94 — AWS DOP-C02 第1章

第 94/100 問 | ← 第1章

セキュリティ監査の結果、ある会社が一部のセキュリティグループが0.0.0.0/0からのSSHトラフィックを許可していることを発見しました。セキュリティチームは、この問題をできるだけ迅速に検出し是正するソリューションを実装したいと考えています。この会社は、AWS Organizationsを用いて、全社のセキュリティサービスを管理するセキュリティサービスアカウントを運用しています。

正解: A. すべてのAWSアカウントでAWS Configを有効化します。周期的なトリガーを使用してVPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)AWS Configマネージドルールをアクティブ化します。不適合リソースを是正するAWS Lambda関数を作成します。

解説

セキュリティグループが0.0.0.0/0からのSSHトラフィックを許可することは高リスクであり、検出と自動是正の両方を組み合わせたソリューションが必要です。AWS Organizationsで管理されるマルチアカウント環境では、AWS Configがクロスアカウントコンプライアンス管理をサポートし、マネージドルールVPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)は22番ポートの外部開放を検出できます。選択肢Aは、周期的トリガーとLambdaによる自動是正を組み合わせており、AWS Well-Architectedフレームワークが推奨する「継続的モニタリング+自動是正」のパターンに合致します。選択肢Bはすべてのセキュリティグループルールを削除するため業務に支障をきたし、選択肢CのカスタムルールはAWSマネージドルールの標準化された保守性に劣り、選択肢DはSSM Automationによる1時間ごとのポーリングは遅延が大きく、「できるだけ迅速に」という要件を満たしません。