Q56 — AWS SAP-C02 第3章

第 56/75 問 | ← 第3章

Q281. ある企業は、AWS Organizations を使用して数百の AWS アカウントを管理しています。ソリューションアーキテクトは、Open Web Application Security Project(OWASP)トップ 10 の Web アプリケーション脆弱性に対するベースライン保護を提供するソリューションの設計を進めています。このソリューションアーキテクトは、組織内で展開される既存および新規のすべての Amazon CloudFront ディストリビューションに対して AWS WAF を使用しています。 このベースライン保護を提供するために、ソリューションアーキテクトが実施すべき手順の組み合わせはどれですか?(3つ選択してください)

正解: A. すべてのアカウントで AWS Config を有効化する, C. 組織に対してすべての機能を有効化する, D. AWS Firewall Manager を使用して、すべてのアカウント内のすべての CloudFront ディストリビューションに AWS WAF ルールを展開する

解説

A. すべてのアカウントで AWS Config を有効化する: AWS Config をすべてのアカウントで有効化すると、リソースの設定や変更を評価し、組織ポリシーへの準拠状況を確認できます。 C. 組織に対してすべての機能を有効化する: 組織レベルですべての機能を有効化することで、AWS 環境全体で利用可能なすべてのセキュリティ対策が確実に適用されるようになります。 D. AWS Firewall Manager を使用して、すべてのアカウント内のすべての CloudFront ディストリビューションに AWS WAF ルールを展開する: AWS Firewall Manager を使用すれば、組織内で展開されるすべての CloudFront ディストリビューションに対して AWS WAF ルールを一元管理できます。これにより、多数のアカウントにおけるルール管理が簡素化され、セキュリティポリシーの一貫した適用が保証されます。 B、E、F は不適切です: B. すべてのアカウントで Amazon GuardDuty を有効化する: Amazon GuardDuty は、AWS 環境全体における悪意のある活動や不正な動作を検出するのに役立ちますが、OWASP トップ 10 の Web アプリケーション脆弱性に対する直接的な保護を提供するものではありません。 E. AWS Shield Advanced を使用して、すべてのアカウント内のすべての CloudFront ディストリビューションに AWS WAF ルールを展開する: AWS Shield Advanced は CloudFront ディストリビューション向けの高度な DDoS 防御機能を提供しますが、OWASP トップ 10 の Web アプリケーション脆弱性に対する保護とは直接関係ありません。 F. AWS Security Hub を使用して、すべてのアカウント内のすべての CloudFront ディストリビューションに AWS WAF ルールを展開する: AWS Security Hub は、AWS 環境全体におけるセキュリティポリシーの遵守状況を監視・強制するのに役立ちますが、OWASP トップ 10 の脆弱性に対する具体的な保護手段としての機能は備えていません。