Q5 — AWS DOP-C02 第3章
第 5/100 問 | ← 第3章
ある会社のアプリケーション開発チームは、LinuxベースのAmazon EC2インスタンスをバステーションホストとして使用しています。バステーションホストへのSSHアクセスは、セキュリティグループで指定された特定のIPアドレスに制限されています。セキュリティグループのルールが変更され、任意のIPアドレスからのSSHアクセスを許可するようになった場合、同社のセキュリティチームは通知を受けることを望んでいます。
- A. イベントソースをaws.cloudtrail、イベント名をAuthorizeSecurityGroupIngressとするAmazon EventBridgeルールを作成します。Amazon Simple Notification Service(Amazon SNS)トピックをターゲットとして定義します。
- B. Amazon GuardDutyを有効化し、AWS Security Hubでセキュリティグループの結果を確認します。GuardDutyイベントの出力がNON_COMPLIANTとなるパターンに一致するよう、カスタムパターンでAmazon EventBridgeルールを設定します。Amazon Simple Notification Service(Amazon SNS)トピックをターゲットとして定義します。
- C. restricted-sshマネージドルールを用いたAWS Configルールを作成し、セキュリティグループが無制限のインバウンドSSHトラフィックを禁止しているかをチェックします。自動修復アクションを設定し、その結果をAmazon Simple Notification Service(Amazon SNS)トピックへ送信するよう構成します。 ✓
- D. Amazon Inspectorを有効化します。バステーションホストに関連付けられたセキュリティグループをチェックするために、CVE-1.1ルールパッケージを含めます。Amazon InspectorがAmazon Simple Notification Service(Amazon SNS)トピックへメッセージを発行するよう構成します。
正解: C. restricted-sshマネージドルールを用いたAWS Configルールを作成し、セキュリティグループが無制限のインバウンドSSHトラフィックを禁止しているかをチェックします。自動修復アクションを設定し、その結果をAmazon Simple Notification Service(Amazon SNS)トピックへ送信するよう構成します。
解説
AWSサービスにおいて、AWS Configはリソースがルールに準拠しているかを評価するためのサービスであり、提供されるrestricted-sshマネージドルールは、セキュリティグループに無制限のSSHトラフィックを許可するインバウンドルールが存在するかどうかを検出するために専用に設計されています。セキュリティグループルールが任意のIPアドレスからのSSHを許可するように変更されると、AWS Configルールはそのリソースの状態をNON_COMPLIANTと評価します。自動修復アクションを構成することで、この状態変化をSNSトピックへ送信し、セキュリティチームへリアルタイムで通知できます。選択肢AはCloudTrailイベントに基づくものであり、具体的な変更内容をフィルタリングする追加作業が必要です。選択肢Bは脅威検出に依拠しており、構成監視ではありません。選択肢Dは脆弱性に焦点を当てており、ルール変更の監視ではありません。正解のCは、AWS Configのコンプライアンスチェック機構を直接活用しており、本問の要件に合致します。