Q56 — AWS SAA-C03 第2章

第 56/65 問 | ← 第2章

Q121. グローバル企業が、us-east-1 リージョンおよび ap-southeast-2 リージョンで、ロイヤリティクラブユーザー向けの REST API を Amazon API Gateway を使用して設計しています。ソリューションアーキテクトは、複数のアカウントにまたがるこれらの API Gateway 管理型 REST API を、SQL インジェクションおよびクロスサイトスクリプティング(XSS)攻撃から保護するソリューションを設計する必要があります。これらの要件を満たすうち、管理作業量が最も少ないソリューションはどれですか?

正解: B. 両リージョンで AWS Firewall Manager を設定し、AWS WAF のルールを一元的に設定します。

解説

AWS WAF は、SQL インジェクションや XSS などのウェブアプリケーション層の攻撃から保護するために設計されたマネージドサービスであり、API Gateway と直接統合可能です。API Gateway の各ステージにリージョンごとの Web ACL を関連付けることで、対象の API を効果的に保護できます。AWS Firewall Manager は、複数アカウント・複数リージョンにわたる AWS WAF の集中管理を可能にしますが、本問では「管理作業量が最も少ない」ソリューションが求められており、単一アカウント内での基本的な設定のみが必要な場合、Firewall Manager の導入は過剰です(追加のセットアップと権限設定が必要)。一方、AWS Shield Standard は DDoS 防御に特化しており、SQL インジェクションや XSS などのアプリケーション層攻撃には対応していません。Shield Advanced はカスタムルールを含む高度な保護を提供できますが、本問の選択肢では Shield のみと記載されており、WAF 機能を含まないため不適切です。したがって、要件(アプリケーション層攻撃からの保護+最小限の管理負荷)を満たす最適解は、各リージョンで個別に AWS WAF を設定し、API Gateway のステージに関連付けるオプション A です。