Q74 — AWS DOP-C02 第2章
第 74/100 問 | ← 第2章
ある企業がAWS上でデジタルワークロードを実行しています。各アプリケーションチームは独自のAWSアカウントでアプリケーションをホストしており、これらのアカウントはAWS Organizations内で1つの組織にまとめられています。 企業は、組織全体でセキュリティ基準を実施したいと考えています。セキュリティ設定ミスによる非準拠を防ぐため、AWS CloudFormationの使用を必須としています。サポートチームは、AWS Management Consoleを使用してアプリケーション関連の問題を調査・解決し、本番環境のリソースを修正できます。 DevOpsエンジニアは、非準拠を引き起こすAWSサービス設定ミスをほぼリアルタイムで検出し、発見後15分以内に自動修復するソリューションを実装する必要があります。また、正確なタイムスタンプ付きのダッシュボードで非準拠リソースとイベントを追跡する必要があります。 これらの要件を最小限の開発工数で満たすソリューションはどれですか?
- A. CloudFormationドリフト検出を使用して非準拠リソースを識別します。CloudFormationのドリフト検出イベントをトリガーとしてAWS Lambda関数を呼び出して是正処理を行います。Lambda関数のログをAmazon CloudWatch Logsロググループに送信するよう設定します。Amazon CloudWatchダッシュボードを設定し、ロググループをデータソースとして使用します。
- B. AWSアカウントでAWS CloudTrailを有効化します。Amazon Athenaを使用してCloudTrailログを分析し、非準拠リソースを特定します。AWS Step Functionsを使用してAthenaのクエリ結果を追跡し、ドリフト検出を実行してAWS Lambda関数を呼び出して是正処理を行います。追跡用に、AthenaをデータソースとするAmazon QuickSightダッシュボードを設定します。
- C. すべてのAWSアカウントでAWS Configのコンフィギュレーションレコーダーを有効化し、非準拠リソースを特定します。すべてのAWSアカウントで`--no-enable-default-standards`オプションを使用してAWS Security Hubを有効化します。AWS Config Management Rulesおよびカスタムルールを設定します。AWS Configコンプライアンスパッケージを使用して自動是正を設定します。追跡用に、指定されたSecurity Hub管理者アカウントでSecurity Hubダッシュボードを設定します。 ✓
- D. AWSアカウントでAWS CloudTrailを有効化します。Amazon CloudWatch Logsを使用してCloudTrailログを分析し、非準拠リソースを特定します。CloudWatch Logsフィルターを使用してドリフト検出を実行します。Amazon EventBridgeを使用してLambda関数を呼び出して是正処理を行います。フィルター済みのCloudWatch LogsをAmazon OpenSearch Serviceにストリーミングします。OpenSearch Service上で追跡用ダッシュボードを設定します。
正解: C. すべてのAWSアカウントでAWS Configのコンフィギュレーションレコーダーを有効化し、非準拠リソースを特定します。すべてのAWSアカウントで`--no-enable-default-standards`オプションを使用してAWS Security Hubを有効化します。AWS Config Management Rulesおよびカスタムルールを設定します。AWS Configコンプライアンスパッケージを使用して自動是正を設定します。追跡用に、指定されたSecurity Hub管理者アカウントでSecurity Hubダッシュボードを設定します。
解説
AWS Configは、リソース構成を継続的に監視・記録し、AWS Security Hubと統合することで、マルチアカウントのコンプライアンス状態を一元的に集約できます。コンフィギュレーションレコーダーを有効化後、AWS Configは定義されたルールに基づいてリソースのポリシー適合性を評価し、逸脱を検出した際に自動是正をトリガーします。AWS Security Hubは、すべてのアカウントのセキュリティ発見事項とタイムスタンプを一元的に表示するダッシュボードを提供します。選択肢Cは、AWS ConfigとSecurity Hubのネイティブ統合を活用し、リアルタイム検出・自動是正・一元追跡という要件を満たし、追加開発を必要としません。他の選択肢はログ分析や定期検出に依存しており、近リアルタイム性を保証できません。