Q63 — AWS SAP-C02 第1章
第 63/75 問 | ← 第1章
Q138. ある企業が、Amazon ElastiCache for Redis クラスターをキャッシュ層として使用するアプリケーションを実行しています。最近実施されたセキュリティ監査では、同社が ElastiCache に対して「保存時における暗号化(encryption at rest)」を設定していることが明らかになりました。しかし、「転送時における暗号化(encryption in transit)」は設定されておらず、さらにユーザーが認証なしでキャッシュにアクセスできていることも判明しました。ソリューションアーキテクトは、ユーザー認証を必須とし、エンドツーエンドの暗号化を実現するための変更を行う必要があります。これらの要件を満たすソリューションはどれですか?
- A. AUTH トークンを作成します。このトークンを AWS Systems Manager Parameter Store に暗号化パラメーターとして格納します。AUTH トークンと転送時における暗号化を有効にした新しいクラスターを作成します。アプリケーションを更新して、必要に応じて Parameter Store から AUTH トークンを取得し、認証に使用するようにします。
- B. AUTH トークンを作成します。このトークンを AWS Secrets Manager に格納します。既存のクラスターを更新して AUTH トークンを使用するよう設定し、転送時における暗号化を有効にします。アプリケーションを更新して、必要に応じて Secrets Manager から AUTH トークンを取得し、認証に使用するようにします。 ✓
- C. SSL 証明書を作成します。この証明書を AWS Secrets Manager に格納します。新しいクラスターを作成し、転送時における暗号化を設定します。アプリケーションを更新して、必要に応じて Secrets Manager から SSL 証明書を取得し、認証に使用するようにします。
- D. SSL 証明書を作成します。この証明書を AWS Systems Manager Parameter Store に暗号化済みの高度なパラメーターとして格納します。既存のクラスターを更新して転送時における暗号化を設定します。アプリケーションを更新して、必要に応じて Parameter Store から SSL 証明書を取得し、認証に使用するようにします。
正解: B. AUTH トークンを作成します。このトークンを AWS Secrets Manager に格納します。既存のクラスターを更新して AUTH トークンを使用するよう設定し、転送時における暗号化を有効にします。アプリケーションを更新して、必要に応じて Secrets Manager から AUTH トークンを取得し、認証に使用するようにします。
解説
要件を満たすソリューションは、選択肢 B です。具体的には: ・AUTH トークンを作成し、AWS Secrets Manager などの安全な AWS サービスに安全に格納します。 ・既存の ElastiCache クラスターを更新して AUTH トークンによる認証を有効化し、同時に転送時における暗号化(encryption in transit)を有効にします。 ・アプリケーションコードを更新して、必要に応じて Secrets Manager から AUTH トークンを取得し、認証に使用するようにします。 このソリューションは、監査で指摘された2つのセキュリティ課題——ユーザー認証の欠如と転送時における暗号化の未設定——の両方に対処します。Secrets Manager を用いることで AUTH トークンを安全に管理でき、転送時における暗号化の有効化により、データのエンドツーエンドの保護が実現されます。また、アプリケーションが Secrets Manager から動的にトークンを取得する設計により、機密情報のハードコーディングや不適切な公開を防ぐことができます。