Q51 — AWS SAP-C02 第2章
第 51/75 問 | ← 第2章
Q201. 監査中に、セキュリティチームが開発チームがIAMユーザーのシークレットアクセスキーをコード内に記述し、それをAWS CodeCommitリポジトリにコミットしていることを発見しました。セキュリティチームは、このセキュリティ脆弱性の発生を自動的に検出し、是正措置を講じたいと考えています。どのソリューションが、資格情報(credentials)を自動的に適切に保護することを保証しますか?
- A. AWS Systems Manager Run Command を使用して、開発用EC2インスタンス上で資格情報を nightly(毎日深夜)に検索するスクリプトを実行します。検出された場合、AWS Secrets Manager を使用して資格情報をローテーションします。
- B. 定期実行されるAWS Lambda関数を使用し、CodeCommitからアプリケーションコードをダウンロード・スキャンします。資格情報が検出された場合、新しい資格情報を生成し、AWS KMSに保存します。
- C. Amazon Macie を設定して、CodeCommitリポジトリ内の資格情報をスキャンします。資格情報が検出された場合、AWS Lambda関数を起動して該当の資格情報を無効化し、ユーザーに通知します。
- D. CodeCommitのトリガーを設定し、新規のコード提出時にAWS Lambda関数を呼び出して資格情報をスキャンします。資格情報が検出された場合、AWS IAMで当該資格情報を無効化し、ユーザーに通知します。 ✓
正解: D. CodeCommitのトリガーを設定し、新規のコード提出時にAWS Lambda関数を呼び出して資格情報をスキャンします。資格情報が検出された場合、AWS IAMで当該資格情報を無効化し、ユーザーに通知します。
解説
選択肢Aは、AWS Systems Manager Run Command を使用して開発インスタンス上で資格情報を毎日検索するスクリプトを実行するというものです。この手法は脆弱性の是正には役立つ可能性がありますが、資格情報を自動的に適切に保護することを保証しません。 選択肢Bは、定期実行されるAWS Lambda関数でCodeCommitからコードをダウンロード・スキャンし、資格情報が見つかった場合に新しい資格情報を生成してAWS KMSに保存するというものです。これは検出と是正を可能にしますが、新規のコード提出をリアルタイムで自動検知できるCodeCommitトリガーを活用する方法ほど効果的ではありません。 選択肢Cは、Amazon Macie を使用してCodeCommitリポジトリ内の資格情報をスキャンするというものです。これは資格情報の検出には有効ですが、AWS IAMにおける資格情報の無効化やユーザーへの通知といった自動是正処理を含んでいません。 したがって、選択肢Dが、資格情報を自動的に適切に保護することを確実にする最適なソリューションです。CodeCommitのトリガーを設定して新規のコード提出時にAWS Lambda関数を起動し、資格情報をスキャンすることで、組織は資格情報をAWS IAMで即座に無効化するとともに、関係者に問題を通知できます。