Q56 — AWS SAA-C03 第4章
第 56/105 問 | ← 第4章
Q251. 金融会社がAWS上でWebアプリケーションをホストしています。このアプリケーションでは、Amazon API Gatewayのリージョン型APIエンドポイントを使用して、ユーザーが現在の株価を取得できるようにしています。同社のセキュリティチームは、APIリクエスト数の増加を確認しました。セキュリティチームは、HTTPフロード攻撃によってアプリケーションがオフラインになる可能性を懸念しています。ソリューションアーキテクトは、このような攻撃からアプリケーションを保護するソリューションを設計する必要があります。これらの要件を満たし、かつ運用オーバーヘッドが最も少ないソリューションはどれですか?
- A. API Gatewayのリージョン型APIエンドポイントの前にAmazon CloudFrontディストリビューションを作成し、最大TTLを24時間に設定する
- B. レートベースルールを含むリージョン型のAWS WAF Web ACLを作成し、そのWeb ACLをAPI Gatewayのステージに関連付ける ✓
- C. Amazon CloudWatchメトリクスを活用してCountメトリクスを監視し、事前に定義したレートに達した際にセキュリティチームにアラートを送信する
- D. API Gatewayのリージョン型APIエンドポイントの前にLambda@Edgeを備えたAmazon CloudFrontディストリビューションを作成し、事前に定義されたレートを超えるIPアドレスからのリクエストをブロックするAWS Lambda関数を作成する
正解: B. レートベースルールを含むリージョン型のAWS WAF Web ACLを作成し、そのWeb ACLをAPI Gatewayのステージに関連付ける
解説
AWS WAF(Web Application Firewall)は、Webアプリケーションに対する一般的な攻撃(例:SQLインジェクション、クロスサイトスクリプティング、HTTPフロード攻撃など)を防ぐためのマネージドサービスです。特に「レートベースルール(rate-based rule)」は、指定された時間枠内で特定のIPアドレスから送信されるリクエスト数がしきい値を超えた場合に自動的にブロックする機能を提供し、HTTPフロード攻撃への対策として最適です。API Gatewayと直接統合可能であり、追加のインフラ構成やカスタムコード(例:Lambda@Edge)を必要としないため、運用オーバーヘッドが最小限です。一方、CloudFrontはキャッシュとCDN機能が主目的であり、単独ではDDoS/フロード攻撃の防御には不十分です(WAFとの組み合わせが必要)。CloudWatchによる監視+アラートは検知・通知のみで、自動防御機能はなく、即時対応できません。Lambda@Edgeによるカスタム制御は柔軟性が高い反面、開発・テスト・保守のオーバーヘッドが大きく、本要件における「最小運用オーバーヘッド」という観点では不適切です。