AWS SCS-C02 第1章 練習問題(100問)

AWS SCS-C02(セキュリティ 専門知識)第1章の本番形式の練習問題です。

  1. Q1. ある会社が、Amazon Elastic Block Store (Amazon EBS) バックアップの Amazon EC2 インスタンスの秘密鍵を誤って削除してしまいました。セキュリティエンジニアは、このインスタンスへのアクセスを復元する必要があります。 この要件を満たすための手順の組み合わせはどれですか?(2つ選択)

    • A. インスタンスを停止します。ルートボリュームをデタッチします。新しいキーペアを生成します。
    • B. インスタンスを実行したままにします。ルートボリュームをデタッチします。新しいキーペアを生成します。
    • C. ボリュームを元のインスタンスからデタッチした後、別のインスタンスにデータボリュームとしてアタッチします。authorized_keysファイルを新しい公開鍵で変更します。ボリュームを元のインスタンスに戻します。インスタンスを起動します。
    • D. ボリュームを元のインスタンスからデタッチした後、別のインスタンスにデータボリュームとしてアタッチします。authorized_keysファイルを新しい秘密鍵で変更します。ボリュームを元のインスタンスに戻します。インスタンスを起動します。
    • E. ボリュームを元のインスタンスからデタッチした後、別のインスタンスにデータボリュームとしてアタッチします。authorized_keysファイルを新しい公開鍵で変更します。実行中の元のインスタンスにボリュームを戻します。

    この問題を見る →

  2. Q2. セキュリティエンジニアが、MyLambdaFunctionという名前のAWS Lambda関数のトラブルシューティングを行っています。この関数は、DOC-EXAMPLE-BUCKETという名前のAmazon S3バケット内のオブジェクトを読み取ろうとする際にエラーに遭遇しています。S3バケットには以下のバケットポリシーがあります: このLambda関数がバケット内のオブジェクトを読み取れるようにするために、セキュリティエンジニアがポリシーに対して行うべき変更はどれですか?

    • A. Condition要素を削除します。Principal要素を以下のように変更します: 
    • B. Action要素を以下のように変更します:
    • C. Resource要素を「arn:aws:s3:::DOC-EXAMPLE-BUCKET/*」に変更します。 
    • D. Resource要素を「arn:aws:lambda::function:MyLambdaFunction」に変更します。Principal要素を以下のように変更します:

    この問題を見る →

  3. Q3. ある会社は、パブリックアクセスやクロスアカウントアクセスをリソースに許可するIAMポリシーを特定・防止する能力を向上させる必要があります。この会社はAWS Organizationsを導入済みであり、組織内のアカウントに対する過剰に広範なアクセスを精査するために、AWS Identity and Access Management Access Analyzerの使用を開始しています。 セキュリティエンジニアは、組織内で新たに作成された過剰に許容的なポリシーに対して自動応答を実装しなければなりません。この自動化は、外部アクセスを是正し、会社のセキュリティチームに通知する必要があります。 これらの要件を満たすために、セキュリティエンジニアが実施すべき手順の組み合わせはどれですか?(3つ選択)

    • A. AWS Step Functionsステートマシンを作成し、検出結果のリソースタイプをチェックして、IAMロールの信頼ポリシーに明示的なDenyステートメントを追加します。ステートマシンを構成して、Amazon Simple Notification Service (Amazon SNS) トピックに通知を発行します。 
    • B. AWS Batchジョブを作成し、すべてのリソースタイプの検出結果をAWS Lambda関数に転送します。Lambda関数を構成して、IAMロールの信頼ポリシーに明示的なDenyステートメントを追加します。AWS Batchジョブを構成して、Amazon Simple Notification Service (Amazon SNS) トピックに通知を発行します。 
    • C. Amazon EventBridgeで、アクティブなIAM Access Analyzerの検出結果に一致するイベントルールを作成し、解決のためにAWS Step Functionsを呼び出します。 
    • D. Amazon CloudWatchで、アクティブなIAM Access Analyzerの検出結果に一致するメトリクスフィルターを作成し、解決のためにAWS Batchを呼び出します。 
    • E. Amazon Simple Queue Service (Amazon SQS) キューを作成します。キューを構成して、外部プリンシパルが特定のIAMロールへのアクセスを許可され、ブロックされたことをセキュリティチームに通知します。 
    • F. 外部またはクロスアカウントアクセスに関する通知用のAmazon Simple Notification Service (Amazon SNS) トピックを作成します。セキュリティチームのメールアドレスをトピックにサブスクライブします。

    この問題を見る →

  4. Q4. セキュリティエンジニアは、example.comという名前の新しいWebサイトの設定を行っています。セキュリティエンジニアは、ユーザーがHTTPS経由でのみexample.comに接続することを要求することで、このWebサイトとの通信を保護したいと考えています。 SSL/TLS証明書を格納するための有効なオプションは次のうちどれですか?

    • A. AWS Key Management Service (AWS KMS) に格納されたカスタムSSL証明書
    • B. Amazon CloudFrontに格納されたデフォルトSSL証明書
    • C. AWS Certificate Manager (ACM) に格納されたカスタムSSL証明書
    • D. Amazon S3に格納されたデフォルトSSL証明書

    この問題を見る →

  5. Q5. ある会社は、AWSアカウント向けにAWS Organizationsで組織を構成しています。すべてのAWSリージョンでAWS CloudTrailが有効化されています。セキュリティエンジニアは、CloudTrailが無効化されるのを防ぐソリューションを実装する必要があります。 この要件を満たすソリューションはどれですか?

    • A. 組織の管理アカウントから、CloudTrailログファイルの整合性検証を有効化します。
    • B. CloudTrailログに対してAWS KMSキー(SSE-KMS)によるサーバー側暗号化を有効化します。KMSキーを作成し、ログの復号を防止するポリシーをキーにアタッチします。
    • C. StopLoggingアクションおよびDeleteTrailアクションに対する明示的なDenyルールを含むSCPを作成し、ルートOUにアタッチします。
    • D. 会社のすべてのユーザー向けにIAMポリシーを作成し、DescribeTrailsアクションおよびGetTrailStatusアクションを実行できないようにします。

    この問題を見る →

  6. Q6. ある会社はAWS Organizationsを使用しており、多数のAWSアカウントにAmazon Elastic Kubernetes Service (Amazon EKS) クラスターを展開しています。セキュリティエンジニアは、Amazon EKSをAWS CloudTrailと統合しました。CloudTrailのトレールは、各アカウントのAmazon S3バケットに保存され、API呼び出しの監視に使用されています。セキュリティエンジニアは、CloudTrailログにKubernetesのPod作成イベントが表示されていないことに気づきました。 セキュリティエンジニアは、Amazon CloudWatchからKubernetesイベントを表示するために何を行うべきですか?

    • A. EKSクラスターをプライベートS3 VPCエンドポイントを使用するように設定します。ログ記録用にS3バケットを設定します。 
    • B. 各クラスターについてKubernetes APIサーバーコンポーネントログを有効化します。 
    • C. ログ記録に使用されるS3バケットでクロスオリジンリソース共有(CORS)を有効化します。 
    • D. CloudWatchを設定します。CloudWatchコンソールでイベントを表示します。

    この問題を見る →

  7. Q7. ある会社は、AWS CloudFormationテンプレートからリソースを展開する際にセキュリティのベストプラクティスに従う必要があります。CloudFormationテンプレートは、機密性の高いデータベース資格情報の設定を可能にする必要があります。 この会社はすでにAWS Key Management Service (AWS KMS) およびAWS Secrets Managerを使用しています。 この要件を満たすソリューションはどれですか?

    • A. CloudFormationテンプレート内で動的参照を使用して、Secrets Manager内のデータベース資格情報を参照します。
    • B. CloudFormationテンプレート内でパラメーターを使用してデータベース資格情報を参照します。AWS KMSを使用してCloudFormationテンプレートを暗号化します。 
    • C. CloudFormationテンプレート内でSecureStringパラメーターを使用して、Secrets Manager内のデータベース資格情報を参照します。 
    • D. CloudFormationテンプレート内でSecureStringパラメーターを使用して、AWS KMS内の暗号化された値を参照します。

    この問題を見る →

  8. Q8. Amazon EC2 Auto Scalingグループは、Amazon Linux EC2インスタンスを起動し、Amazon CloudWatchエージェントをインストールしてログをAmazon CloudWatch Logsに送信します。EC2インスタンスは、IAMポリシーがアタッチされたIAMロールとともに起動します。このポリシーは、CloudWatchへのカスタムメトリクスの送信アクセスを提供します。EC2インスタンスは、VPC内のプライベートサブネットで実行されます。VPCは、NATゲートウェイを介してプライベートサブネットにインターネットアクセスを提供します。 セキュリティエンジニアは、Auto Scalingグループによって起動されたEC2インスタンスのログがCloudWatch Logsに送信されていないことに気づきました。セキュリティエンジニアは、CloudWatch LogsエージェントがEC2インスタンス上で正常に実行・構成されていることを確認しました。さらに、AWSサービスへのネットワーク通信が正常に機能していることも確認しました。 セキュリティエンジニアは、ログがCloudWatch Logsに送信されるようにするために何を行うことができますか?

    • A. 使用中のIAMロールのIAMポリシーを構成し、ログを送信するための必要なcloudwatch: APIアクションへのアクセスを許可します。 
    • B. Amazon EC2 Auto Scalingのサービスリンクロールを調整し、CloudWatch Logsへの書き込み権限を付与します。 
    • C. 使用中のIAMロールのIAMポリシーを構成し、ログを送信するための必要なAWS logs: APIアクションへのアクセスを許可します。 
    • D. CloudWatch Logsへのルートを提供するため、インターフェイスVPCエンドポイントを追加します。

    この問題を見る →

  9. Q9. ある企業が、開発チーム向けのマルチアカウント構造を設計しています。同社はAWS OrganizationsおよびAWS IAM Identity Center(AWS Single Sign-On)を使用しています。同社は、開発チームが特定のAWSリージョンのみを使用できるようにし、各AWSアカウントが特定のAWSサービスのみにアクセスできるようにするソリューションを実装する必要があります。 これらの要件を満たすソリューションのうち、運用オーバーヘッドが最も少ないものはどれですか?

    • A. IAM Identity Centerを使用して、Condition、Resource、およびNotAction要素を含むIAMポリシー文でサービス関連ロールをセットアップし、必要なリージョンおよびサービスへのアクセスのみを許可します。
    • B. 開発者が使用することを許可されていないリージョンでAWS Security Token Service(AWS STS)を無効化します。
    • C. 必要なリージョンおよびサービスへのアクセスのみを許可するため、Condition、Resource、およびNotAction要素を含むサービス制御ポリシー(SCP)を作成します。
    • D. 各AWSアカウントに対して、IAM Identity Center用にカスタマイズされたIDベースのポリシーを作成します。必要なリージョンおよびサービスへのアクセスのみを許可するために、Condition、Resource、およびNotAction要素を含むステートメントを使用します。

    この問題を見る →

  10. Q10. ある企業が、オンプレミスデータセンターからAWSへのレガシーシステムの移行を実施しています。アプリケーションサーバーはAWS上で実行されますが、コンプライアンス上の理由によりデータベースはオンプレミスデータセンターに残す必要があります。また、データベースはネットワーク遅延に敏感です。さらに、オンプレミスデータセンターとAWS間で転送されるデータにはIPsec暗号化が必要です。 これらの要件を満たすAWSソリューションの組み合わせはどれですか?(2つ選択)

    • A. AWS Site-to-Site VPN
    • B. AWS Direct Connect
    • C. AWS VPN CloudHub
    • D. VPCピアリング
    • E. NATゲートウェイ

    この問題を見る →

  11. Q11. ある企業のデータサイエンティストは、Amazon SageMakerを用いて人工知能および機械学習(AI/ML)トレーニングモデルを作成したいと考えています。トレーニングモデルは、Amazon S3バケット内の大規模なデータセットを使用します。これらのデータセットには機密情報が含まれています。平均して、データサイエンティストはモデルのトレーニングに30日かかります。S3バケットは適切に保護されています。同社のデータ保持ポリシーでは、45日以上経過したすべてのデータをS3バケットから削除する必要があります。 このデータ保持ポリシーを強制するために、セキュリティエンジニアが実施すべきアクションはどれですか?

    • A. S3バケットにS3ライフサイクルルールを設定して、45日後にオブジェクトを削除します。
    • B. S3オブジェクトの最終更新日を確認し、45日以上経過したオブジェクトを削除するAWS Lambda関数を作成します。各PutObject操作に対してLambda関数を起動するS3イベント通知を作成します。
    • C. S3オブジェクトの最終更新日を確認し、45日以上経過したオブジェクトを削除するAWS Lambda関数を作成します。Amazon EventBridgeルールを作成して、毎月Lambda関数を起動します。
    • D. S3バケットにS3 Intelligent-Tieringを設定して、オブジェクトを別のストレージクラスに自動的に移行します。

    この問題を見る →

  12. Q12. ある企業が、Amazon S3バケットからオブジェクトを取得するアプリケーションを所有しています。このアプリケーションはAmazon EC2インスタンス上で実行されます。 S3バケット内のすべてのオブジェクトは、AWS Key Management Service(AWS KMS)のカスタマーマネージドキーで暗号化されています。VPC内のリソースはインターネットにアクセスできず、ゲートウェイVPCエンドポイントを使用してAmazon S3にアクセスしています。 同社は、アプリケーションがS3バケットからオブジェクトを取得できないことを発見しました。 この問題の原因となる可能性がある要因はどれですか?(3つ選択)

    • A. EC2インスタンスにアタッチされたIAMインスタンスプロファイルが、S3バケットに対するs3:ListBucketアクションを許可していません。
    • B. EC2インスタンスにアタッチされたIAMインスタンスプロファイルが、S3バケットに対するs3:ListPartsアクションを許可していません。
    • C. S3バケット内のオブジェクトを暗号化するKMSキーのポリシーが、EC2インスタンスプロファイルに対してkms:ListKeysアクションを許可していません。
    • D. S3バケット内のオブジェクトを暗号化するKMSキーのポリシーが、EC2インスタンスプロファイルに対してkms:Decryptアクションを許可していません。
    • E. S3バケットポリシーが、ゲートウェイVPCエンドポイントからのアクセスを許可していません。
    • F. EC2インスタンスにアタッチされたセキュリティグループに、S3マネージドプレフィックスリストからのポート443へのインバウンドルールがありません。

    この問題を見る →

  13. Q13. ある企業は、オンプレミスデバイスから生成されるログのログ分析ソリューションを構築したいと考えています。ログはデバイスからオンプレミスサーバーに収集されます。同社は、AWSサービスを用いてほぼリアルタイムのログ分析を実行したいと考えています。また、これらのログを365日間保存し、後続のパターンマッチングおよび部分文字列検索機能を提供したいと考えています。 これらの要件を満たすソリューションのうち、開発オーバーヘッドが最も少ないものはどれですか?

    • A. オンプレミスサーバーにAmazon Kinesis Agentをインストールし、ログをAmazon DynamoDBに送信します。DynamoDB Streams上でAWS Lambdaトリガーを設定して、ほぼリアルタイムのログ分析を実行します。定期的にDynamoDBデータをAmazon S3にエクスポートします。パターンマッチングおよび部分文字列検索のためにAmazon Athenaクエリを実行します。S3ライフサイクルポリシーを設定して、ログデータを365日後に削除します。
    • B. オンプレミスサーバーにAmazon Managed Streaming for Apache Kafka(Amazon MSK)をインストールします。ストリーミングデータを収集・リアルタイム分析するMSKクラスターを作成します。ログをパターンマッチングおよび部分文字列検索のために永続的に保存するため、データ保持期間を365日に設定します。
    • C. オンプレミスサーバーにAmazon Kinesis Agentをインストールし、ログをAmazon Kinesis Data Firehoseに送信します。リアルタイム処理の宛先としてAmazon Managed Service for Apache Flink(旧称Amazon Kinesis Data Analytics)を設定します。パターンマッチングおよび部分文字列検索のためにログをAmazon OpenSearch Serviceに保存します。OpenSearch Service Index State Management(ISM)ポリシーを設定して、365日後にデータを削除します。
    • D. Amazon API GatewayおよびAWS Lambdaを用いて、オンプレミスサーバーからログをAmazon DynamoDBに書き込みます。DynamoDB Streams上でLambdaトリガーを設定して、ほぼリアルタイムのログ分析を実行します。パターンマッチングおよび部分文字列検索のためにDynamoDBデータに対するAmazon Athenaフェデレーテッドクエリを実行します。TTLを設定して、365日後にデータを削除します。

    この問題を見る →

  14. Q14. ある企業が、Amazon Elastic Container Service(Amazon ECS)を用いてAWS上でコンテナベースのアプリケーションを実行しています。同社は、コンテナイメージに重大な脆弱性が含まれていないことを保証する必要があります。また、特定のIAMロールおよび特定のAWSアカウントのみがコンテナイメージにアクセスできるようにする必要があります。 これらの要件を満たすソリューションのうち、管理オーバーヘッドが最も少ないものはどれですか?

    • A. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内でスキャンオンプッシュを有効化したAmazon Elastic Container Registry(Amazon ECR)リポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。IDベースのポリシーを用いて、どのIAMプリンシパルがイメージにアクセスできるかを制限します。
    • B. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内のAmazon EC2インスタンスでホストされるプライベートコンテナレジストリに公開します。Amazon ECSを実行するEC2インスタンスにホストベースのコンテナスキャンツールを展開します。HTTPS経由の基本認証を用いて、コンテナイメージへのアクセスを制限します。
    • C. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内でスキャンオンプッシュを有効化したAmazon Elastic Container Registry(Amazon ECR)リポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。リポジトリポリシーおよびIDベースのポリシーを用いて、どのIAMプリンシパルおよびアカウントがイメージにアクセスできるかを制限します。
    • D. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内のAWS CodeArtifactリポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。リポジトリポリシーおよびIDベースのポリシーを用いて、どのIAMプリンシパルおよびアカウントがイメージにアクセスできるかを制限します。

    この問題を見る →

  15. Q15. ある企業は、外部ユーザーとアプリケーション間のトラフィックを完全に暗号化する必要があります。同社は、Application Load Balancer(ALB)の背面でAuto Scalingグループ内に実行されるAmazon EC2インスタンスのフリート上でアプリケーションをホストしています。

    • A. AWS Secrets Managerで新しいAmazon発行証明書を作成します。Secrets Managerから証明書をエクスポートします。ALBおよびEC2インスタンスに証明書をインポートします。
    • B. AWS Certificate Manager(ACM)で新しいAmazon発行証明書を作成します。証明書をALBに関連付けます。ACMから証明書をエクスポートします。EC2インスタンスに証明書をインストールします。
    • C. AWS Identity and Access Management(IAM)に新しいサードパーティ証明書をインポートします。IAMから証明書をエクスポートします。ALBおよびEC2インスタンスに証明書を関連付けます。
    • D. AWS Certificate Manager(ACM)に新しいサードパーティ証明書をインポートします。証明書をALBに関連付けます。EC2インスタンスに証明書をインストールします。

    この問題を見る →

  16. Q16. ある企業は、Amazon Elastic Kubernetes Service(Amazon EKS)クラスターへの未認証アクセスを検出する必要があります。同社は、既存のEKSデプロイメントの追加設定を一切行わずにこれを実現するソリューションを求めています。

    • A. セキュリティベンダーのAmazon EKSアドオンをインストールします。
    • B. AWS Security Hubを有効化します。Kubernetesの検出結果を監視します。
    • C. Amazon CloudWatch Container InsightsメトリクスをAmazon EKS用に監視します。
    • D. Amazon GuardDutyを有効化します。EKS監査ログモニタリング機能を使用します。

    この問題を見る →

  17. Q17. ある企業がAWSアカウントで課金の異常を発見しました。セキュリティコンサルタントがこの異常を調査したところ、30日前に退職した従業員がまだアカウントへのアクセス権を持っていることが判明しました。同社は過去にアカウント活動を監視していませんでした。 セキュリティコンサルタントは、この従業員によって展開または再構成されたリソースをできるだけ迅速に特定する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS Cost Explorerでチャートデータをフィルタリングし、過去30日間の結果を表示します。結果をデータテーブルにエクスポートし、リソースごとにグループ化します。
    • B. AWS Cost Anomaly Detectionを使用してコストモニターを作成します。検出履歴にアクセスし、期間を「過去30日間」に設定します。検索エリアでサービスカテゴリを選択します。
    • C. AWS CloudTrailでイベント履歴をフィルタリングし、過去30日間の結果を表示します。Amazon Athenaテーブルを作成してそのデータを格納します。テーブルをイベントソースでパーティション分割します。
    • D. AWS Audit Managerを使用して過去30日間の評価を作成します。使用状況に基づくフレームワークを評価に適用します。評価をリソース単位で実施するように設定します。

    この問題を見る →

  18. Q18. ある企業は、機密顧客データを保存するAmazon EC2インスタンス上でアプリケーションを実行しています。同社は顧客データへのアクセスを制限する必要があります。セキュリティエンジニアは、アプリケーションをホストするEC2インスタンスへの安全なアクセスを要求します。会社の方針によると、ユーザーは入力ポートを開けず、バスティオンホストを維持せず、EC2インスタンスのSSHキーを管理してはなりません。セキュリティエンジニアは、すべてのセッション活動ログを監視・保存・アクセスしたいと考えています。ログは暗号化される必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS Control Towerを使用してEC2インスタンスに接続します。セッション用にAmazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。
    • B. AWS Security Hubを使用してEC2インスタンスに接続します。セッション用にAmazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。
    • C. AWS Systems Manager Session Managerを使用してEC2インスタンスに接続します。セッション記録用にAmazon CloudWatchモニタリングを設定し、目的のCloudWatch Logsロググループに対して「セッションログの保存」オプションを選択します。
    • D. AWS Systems Manager Session Managerを使用してEC2インスタンスに接続します。Amazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。

    この問題を見る →

  19. Q19. ある企業は、セキュリティ監視戦略の一環として、すべてのAWSリージョンでAmazon GuardDutyを有効化しています。同社はVPC内に、FTPサーバーとして機能するAmazon EC2インスタンスをホストしています。多数の場所から多数のクライアントがFTPサーバーにアクセスしています。 GuardDutyは、1時間あたりの接続数が非常に多いため、この活動をブルートフォース攻撃として検出しています。 同社はこの検出結果を誤検知としてフラグ付けしましたが、GuardDutyは引き続きこの問題を報告しています。セキュリティエンジニアは、潜在的な異常な動作に対する可視性を損なうことなく、シグナル対ノイズ比を向上させる必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. FTPサーバーがデプロイされているリージョンで、GuardDutyのFTPルールを無効化します。
    • B. FTPサーバーを信頼済みIPリストに追加し、そのリストをGuardDutyに展開して通知の受信を停止します。
    • C. GuardDutyで抑制ルールを作成し、指定された条件に一致する新しい検出結果を自動的にアーカイブすることで検出結果をフィルタリングします。
    • D. 新しい検出が報告されるたびに検出結果を削除する適切な権限を持つAWS Lambda関数を作成します。

    この問題を見る →

  20. Q20. セキュリティエンジニアがAmazon EC2 Image Builderを使用してEC2インスタンスのイメージを作成しようとしています。セキュリティエンジニアは、パイプラインがログをAmazon S3バケットに送信するよう設定しました。パイプラインを実行すると、以下のエラーでビルドが失敗します。「AccessDenied: Access Denied status code: 403」。 セキュリティエンジニアは、最小権限アクセスのベストプラクティスに準拠したソリューションを実装してこのエラーを解決する必要があります。 これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)

    • A. セキュリティエンジニアが使用しているIAMロールに、以下のポリシーがアタッチされていることを確認します:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds、およびAmazonSSMManagedInstanceCore。
    • B. EC2インスタンスのインスタンスプロファイルに、以下のポリシーがアタッチされていることを確認します:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds、およびAmazonSSMManagedInstanceCore。
    • C. EC2インスタンスのインスタンスプロファイルに、AWSImageBuilderFullAccessポリシーがアタッチされていることを確認します。
    • D. セキュリティエンジニアのIAMロールがS3バケットに対してs3:PutObject権限を持っていることを確認します。
    • E. EC2インスタンスのインスタンスプロファイルがS3バケットに対してs3:PutObject権限を持っていることを確認します。

    この問題を見る →

  21. Q21. ある企業は、AWS Lambda関数を使用する新しいサーバーレスアプリケーションを開発しています。同社はAWS CloudFormationを使用してLambda関数をデプロイしています。開発者は、デプロイ済みのLambda関数のデバッグを試みており、Amazon CloudWatch Logsにその出力をログ出力していないためデバッグできません。 この問題を解決するために、セキュリティエンジニアが実行すべき手順の組み合わせはどれですか?(2つ選択)

    • A. CloudFormationテンプレートで定義され、Lambda関数に渡されるロールを確認します。そのロールが、サービスプリンシパルlambda.amazonaws.comによるsts:AssumeRoleアクションを許可する信頼ポリシーを持っていることを確認します。
    • B. CloudFormationテンプレートでLambda関数に設定された実行ロールを確認します。実行ロールがCloudWatch Logsへの書き込みに必要な権限を持っていることを確認します。
    • C. CloudFormationテンプレート内のLambda関数の構成を確認します。Lambda関数のAWS X-Rayトレーシング構成がActiveモードまたはPassThroughモードに設定されていることを確認します。
    • D. CloudFormationテンプレートでLambda関数に設定されたリソースポリシーを確認します。リソースポリシーがCloudWatch Logsへの書き込みに必要な権限を持っていることを確認します。
    • E. 開発者がLambda関数のデバッグに使用するロールを確認します。そのロールが、サービスプリンシパルlambda.amazonaws.comによるsts:AssumeRoleアクションを許可する信頼ポリシーを持っていることを確認します。

    この問題を見る →

  22. Q22. ある企業は、Kubernetesベースのアプリケーションを実行するためにAmazon Elastic Kubernetes Service(Amazon EKS)クラスターを使用しています。同社はAmazon GuardDutyを使用してアプリケーションを保護しています。GuardDutyでEKS Protectionが有効化されています。しかし、対応するGuardDuty機能はKubernetesベースのアプリケーションを監視していません。 GuardDutyがKubernetesベースのアプリケーションを監視するようにするソリューションはどれですか?

    • A. EKSクラスターをホストするVPCに対してVPCフローログを有効化します。
    • B. EKSクラスターにCloudWatchEventsFullAccess AWSマネージドポリシーを割り当てます。
    • C. GuardDutyサービスロールにAmazonGuardDutyFullAccess AWSマネージドポリシーがアタッチされていることを確認します。
    • D. Amazon EKSでコントロールプレーンログを有効化します。ログがAmazon CloudWatchに取り込まれていることを確認します。

    この問題を見る →

  23. Q23. ある企業はAWS Organizationsを使用しており、複数のAWSアカウントに本番ワークロードを展開しています。セキュリティエンジニアは、すべての本番ワークロードを含むアカウント全体で不審な動作を能動的に監視するソリューションを設計する必要があります。 このソリューションは、本番アカウント全体でのインシデントの自動修復を実行する必要があります。また、重大なセキュリティ検出が検知された際に、Amazon Simple Notification Service(Amazon SNS)トピックに通知を発行する必要があります。さらに、すべてのセキュリティインシデントログを専用アカウントに送信する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. 各本番アカウントでAmazon GuardDutyを有効化します。専用ログアカウントで、各本番アカウントからのすべてのGuardDutyログを集約します。GuardDutyが直接AWS Lambda関数を呼び出すように設定してインシデントを修復します。Lambda関数がSNSトピックにも通知を発行するように設定します。
    • B. 各本番アカウントでAWS Security Hubを有効化します。専用ログアカウントで、各本番アカウントからのすべてのSecurity Hub検出結果を収集します。AWS ConfigおよびAWS Systems Managerを使用してインシデントを修復します。Systems ManagerがSNSトピックにも通知を発行するように設定します。
    • C. 各本番アカウントでAmazon GuardDutyを有効化します。専用ログアカウントで、各本番アカウントからのすべてのGuardDutyログを集約します。Amazon EventBridgeを使用してGuardDutyの検出結果からカスタムAWS Lambda関数を呼び出してインシデントを修復します。Lambda関数がSNSトピックにも通知を発行するように設定します。
    • D. 各本番アカウントでAWS Security Hubを有効化します。専用ログアカウントで、各本番アカウントからのすべてのSecurity Hub検出結果を収集します。Amazon EventBridgeを使用してSecurity Hubの検出結果からカスタムAWS Lambda関数を呼び出してインシデントを修復します。Lambda関数がSNSトピックにも通知を発行するように設定します。

    この問題を見る →

  24. Q24. ある企業は、データサイエンティストがAmazon SageMakerを使用して読み取り、処理し、Amazon S3バケットに出力する仕組みを開発しています。データサイエンティストは、各プロジェクトごとに専用のS3プレフィックスへのアクセス権を持ちます。同社は、専用S3プレフィックスを使用したバケットポリシーを実装し、S3オブジェクトへのアクセスを制限します。プロジェクトの期間は最大60日です。 同社のセキュリティチームは、プロジェクト終了後はデータがS3バケットに残ってはならないと規定しています。 これらの要件を最もコスト効率よく満たすソリューションはどれですか?

    • A. S3バケット内の60日以上アクセスされていないオブジェクトを識別・削除するAWS Lambda関数を作成します。毎日実行されるAmazon EventBridgeのスケジュールルールを作成し、Lambda関数を呼び出します。
    • B. 新しいS3バケットを作成します。新しいS3バケットでS3 Intelligent-Tieringを有効化します。オブジェクトを新しいS3バケットにコピーします。
    • C. 各プロジェクトの各S3バケットプレフィックスに対してS3ライフサイクル構成を作成します。S3ライフサイクル構成を60日後にオブジェクトを期限切れにするよう設定します。
    • D. 60日以上アクセスされていないオブジェクトを削除するAWS Lambda関数を作成します。S3 Intelligent-Tieringの自動アーカイブイベントに対するS3イベント通知を作成し、Lambda関数を呼び出します。

    この問題を見る →

  25. Q25. ある企業のセキュリティエンジニアは、Amazon GuardDuty、AWS Identity and Access Management Access Analyzer、またはAmazon Macieが高重大度のセキュリティ検出を生成した際に、メールアラートを受信したいと考えています。この企業は、すべてのアカウントを管理するためにAWS Control Towerを使用しています。また、すべてのAWSサービス統合を有効化した状態でAWS Security Hubも使用しています。 これらの要件を満たすソリューションのうち、最も少ない運用オーバーヘッドで実現できるものはどれですか?

    • A. GuardDuty、IAM Access Analyzer、Macieそれぞれに対して個別のAWS Lambda関数を設定し、各サービスのパブリックAPIを呼び出して高重大度の検出を取得します。Amazon Simple Notification Service (Amazon SNS) を使用してメールアラートを送信します。Amazon EventBridgeルールを作成し、スケジュールに基づいてこれらの関数を呼び出します。
    • B. 高重大度のSecurity Hub検出イベントに一致するパターンを持つAmazon EventBridgeルールを作成します。このルールを構成して、検出をターゲットのAmazon Simple Notification Service (Amazon SNS) トピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。
    • C. 高重大度のAWS Control Towerイベントに一致するパターンを持つAmazon EventBridgeルールを作成します。このルールを構成して、検出をターゲットのAmazon Simple Notification Service (Amazon SNS) トピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。
    • D. Amazon EC2上でアプリケーションをホストし、GuardDuty、IAM Access Analyzer、MacieのAPIを呼び出します。アプリケーション内でAmazon Simple Notification Service (Amazon SNS) APIを使用して高重大度の検出を取得し、SNSトピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。

    この問題を見る →

  26. Q26. あるエンジニアがAWSアクセスキーとシークレットアクセスキーを誤ってアップロードしました。エンジニアはこのミスをマネージャーに報告し、マネージャーは直ちにそのアクセスキーを無効化しました。 企業は、漏洩したアクセスキーによる影響を評価する必要があります。セキュリティエンジニアは、可能な限り最小限の管理オーバーヘッドで実現可能なソリューションを推奨しなければなりません。 これらの要件を満たすソリューションはどれですか?

    • A. AWS Trusted AdvisorのAWS Identity and Access Management (IAM) 使用レポートを分析し、アクセスキーが最後に使用された時刻を確認します。
    • B. Amazon CloudWatch Logsを分析し、アクセスキーを検索してアクティビティを確認します。
    • C. VPCフローログを分析し、アクセスキーを検索してアクティビティを確認します。
    • D. AWS Identity and Access Management (IAM) の資格情報レポートを分析し、アクセスキーが最後に使用された時刻を確認します。

    この問題を見る →

  27. Q27. ある企業は、AWS OrganizationsでSCP(Service Control Policies)を適用した組織を持っています。組織のルートSCPは以下の通りです: この企業の開発者は、Amazon Simple Email Service (Amazon SES) へのアクセスを許可するses:*アクションを許可するIAMポリシーが付与されたグループのメンバーです。当該アカウントは、Amazon SESを許可するSCPが適用されたOU(Organizational Unit)の子アカウントです。しかし、開発者はAWSマネジメントコンソール経由でAmazon SESにアクセスしようとすると「権限がありません」というエラーを受け取っています。 開発者がAmazon SESにアクセスできるようにするために、セキュリティエンジニアが実施しなければならない変更はどれですか?

    • A. 各グループメンバーがAmazon SESにアクセスできるよう、リソースポリシーを追加します。
    • B. 「Principal」: {「AWS」: 「arn:aws:iam::account-number:group/Dev」} を許可するリソースポリシーを追加します。
    • C. Amazon SESへのアクセスを制限するAWS Control Towerコントロール(ガードレール)を削除します。
    • D. ルートSCPからAmazon SESを削除します。

    この問題を見る →

  28. Q28. セキュリティエンジニアは、Amazon EC2上で実行されるJavaアプリケーションを開発しています。このアプリケーションはAmazon RDSインスタンスと通信し、ユーザー名とパスワードで認証を行います。 資格情報(クレデンシャル)を保護し、資格情報のローテーション時にダウンタイムを最小限に抑えるために、エンジニアが実施できる手順の組み合わせはどれですか?(2つ選択)

    • A. データベース管理者が資格情報を暗号化し、暗号化されたテキストをAmazon S3に保存します。EC2インスタンスに関連付けられたインスタンスロールに、そのオブジェクトを読み取り、暗号化されたテキストを復号する権限を付与します。
    • B. AWS Systems Manager Parameter Storeで資格情報を更新する定期ジョブを設定し、アプリケーションの再起動が必要であることをエンジニアに通知します。
    • C. AWS Secrets Managerで資格情報の自動ローテーションを設定します。
    • D. 資格情報をAWS Systems Manager Parameter Storeの暗号化済み文字列パラメータとして保存します。EC2インスタンスに関連付けられたインスタンスロールに、そのパラメータおよび暗号化に使用されるAWS KMSキーへのアクセス権限を付与します。
    • E. Javaアプリケーションを構成して接続失敗をキャッチし、パスワードがローテーションされた際にAWS Secrets Managerを呼び出して更新された資格情報を取得するようにします。EC2インスタンスに関連付けられたインスタンスロールに、Secrets Managerへのアクセス権限を付与します。

    この問題を見る →

  29. Q29. ある企業は、AWS Key Management Service (AWS KMS) のAWS所有のキーをアプリケーションで使用し、AWSアカウント内のファイルを暗号化しています。同社のセキュリティチームは、潜在的なキー侵害が発生した際に、新規ファイルに対して新しいキー素材に切り替える能力を確保したいと考えています。セキュリティエンジニアは、セキュリティチームがいつでもキーを変更できるようにするソリューションを実装しなければなりません。 これらの要件を満たすソリューションはどれですか?

    • A. 新しいカスタマーマネージドキーを作成します。キーにキー回転スケジュールを追加します。セキュリティチームがキー変更を要求するたびに、このキー回転スケジュールを実行します。
    • B. 新しいAWSマネージドキーを作成します。キーにキー回転スケジュールを追加します。セキュリティチームがキー変更を要求するたびに、このキー回転スケジュールを実行します。
    • C. キー別名(Alias)を作成します。セキュリティチームがキー変更を要求するたびに、新しいカスタマーマネージドキーを作成します。この別名を新しいキーに関連付けます。
    • D. キー別名(Alias)を作成します。セキュリティチームがキー変更を要求するたびに、新しいAWSマネージドキーを作成します。この別名を新しいキーに関連付けます。

    この問題を見る →

  30. Q30. セキュリティエンジニアは、静的ウェブサイトをホストするAmazon S3バケット向けにAmazon CloudFrontディストリビューションを設定する必要があります。セキュリティエンジニアは、指定されたIPアドレスからのみウェブサイトへのアクセスを許可しなければなりません。また、ユーザーがS3のURLを直接使用してウェブサイトにアクセスすることを防ぐ必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. S3バケットポリシーを生成します。プリンシパルとしてcloudfront.amazonaws.comを指定します。aws:SourceIp条件キーを使用して、指定されたIPアドレスからのリクエストのみを許可します。
    • B. CloudFrontオリジンアクセスコントロール(OAC)を作成します。S3バケットポリシーを設定して、OACのみがアクセスできるようにします。AWS WAF Web ACLを作成し、IPセットルールを追加します。このWeb ACLをCloudFrontディストリビューションに関連付けます。
    • C. セキュリティグループを実装して、指定されたIPアドレスからのアクセスのみを許可し、CloudFrontディストリビューションを用いてS3バケットへのアクセスを制限します。
    • D. S3バケットアクセスポイントを作成して、CloudFrontディストリビューションからのみアクセスを許可します。AWS WAF Web ACLを作成し、IPセットルールを追加します。このWeb ACLをCloudFrontディストリビューションに関連付けます。

    この問題を見る →

  31. Q31. ある企業は、Amazon EC2インスタンス上でパブリックウェブサイトをホストしています。HTTPSトラフィックはウェブサイトにアクセスできる必要があります。企業は、ウェブサーバーの管理にSSHを使用しています。 ウェブサイトはサブネット10.0.1.0/24上にあり、管理用サブネットは192.168.100.0/24です。セキュリティエンジニアは、EC2インスタンス向けのセキュリティグループを作成しなければなりません。 これらの要件を最も安全な方法で満たすために、セキュリティエンジニアが実施すべき手順の組み合わせはどれですか?(2つ選択)

    • A. ソース0.0.0.0/0からのポート22を許可します。
    • B. ソース0.0.0.0/0からのポート443を許可します。
    • C. ソース192.168.100.0/24からのポート22を許可します。
    • D. ソース10.0.1.0/24からのポート22を許可します。
    • E. ソース10.0.1.0/24からのポート443を許可します。

    この問題を見る →

  32. Q32. ある企業は、数ペタバイトのデータを保有しています。企業は、規制要件を満たすために、このデータを7年間保存しなければなりません。同社のコンプライアンスチームは、セキュリティ担当者に対し、誰もこのデータを変更または削除できない戦略を開発するよう依頼しています。 この要件を最も費用対効果の高い方法で満たすソリューションはどれですか?

    • A. Amazon S3バケットを作成します。S3 Object Lockをコンプライアンスモードで設定し、データをバケットにアップロードします。すべての規制要件を満たすリソースベースのバケットポリシーを作成します。
    • B. Amazon S3バケットを作成します。S3 Object Lockをガバナンスモードで設定し、データをバケットにアップロードします。すべての規制要件を満たすユーザーベースのIAMポリシーを作成します。
    • C. Amazon S3 Glacierでボルトを作成します。S3 GlacierのVault Lockポリシーを作成し、すべての規制要件を満たすように設定します。データをボルトにアップロードします。
    • D. Amazon S3バケットを作成します。データをバケットにアップロードします。ライフサイクルルールを使用して、データをS3 Glacierのボルトに移行します。Vault Lockポリシーを作成し、すべての規制要件を満たすように設定します。

    この問題を見る →

  33. Q33. ハイブリッドクラウド環境で運用している企業は、厳格なコンプライアンス要件を満たす必要があります。この企業は、オンプレミスのワークロードから得られる証拠とAWSリソースから得られる証拠を両方含むレポートを作成したいと考えています。セキュリティエンジニアは、企業ポリシーへの準拠を実証するための証拠を収集・レビュー・管理するソリューションを実装する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. 事前構築済みフレームワークまたはカスタムフレームワークからAWS Audit Managerでアセスメントを作成します。オンプレミスのワークロードから手動で証拠をアップロードし、その証拠をアセスメントに追加します。Audit ManagerがAWSリソースから必要な証拠を収集した後に、アセスメントレポートを生成します。
    • B. オンプレミスのワークロードにAmazon CloudWatchエージェントをインストールします。AWS Configを使用して、サンプルコンフォーマンスペックテンプレートまたはカスタムYAMLテンプレートからコンフォーマンスペックをデプロイします。AWS Configが準拠していないワークロードおよびリソースを特定した後に、アセスメントレポートを生成します。
    • C. AWS Security Hubで適切なセキュリティ基準を設定します。オンプレミスのワークロードから手動で証拠をアップロードします。Security HubがAWSリソースから証拠を収集するのを待ちます。コントロールの一覧を.csvファイルとしてダウンロードします。
    • D. オンプレミスのワークロードにAmazon CloudWatchエージェントをインストールします。オンプレミスのワークロードおよびAWSリソースを監視するCloudWatchダッシュボードを作成します。ワークロードおよびリソースに対してクエリを実行し、結果をダウンロードします。

    この問題を見る →

  34. Q34. ある企業のセキュリティチームは、AWSアクセスキーが90日以上回転されていない場合に通知を受け取る必要があります。セキュリティエンジニアは、これらの通知を自動的に提供するソリューションを開発しなければなりません。 これらの要件を満たすソリューションのうち、最も少ない労力で実現できるのはどれですか?

    • A. 24時間ごとの定期実行でAWS Configマネージドルールをデプロイします。access-keys-rotatedマネージドルールを選択し、maxAccessKeyAgeパラメータを90日に設定します。AWS Configによるマネージドルールのコンプライアンスタイプ「NON_COMPLIANT」に一致するイベントパターンを持つAmazon EventBridgeルールを作成します。EventBridgeを設定して、セキュリティチームへAmazon Simple Notification Service (Amazon SNS)通知を送信します。
    • B. IAMアクセスキーのローテーションに関するAWS Trusted Advisorチェックから.csvファイルをエクスポートするスクリプトを作成します。このスクリプトをAWS Lambda関数に読み込み、.csvファイルをAmazon S3バケットにアップロードします。S3バケットへの.csvファイルのアップロード時に実行されるAmazon Athenaテーブルクエリを作成します。90日以上経過したキーについて、Amazon Simple Notification Service (Amazon SNS)通知をセキュリティチームへ送信するように結果を公開します。
    • C. 定期的にIAM資格情報レポートをダウンロードするスクリプトを作成します。このスクリプトをAWS Lambda関数に読み込み、Amazon EventBridgeを通じてスケジュール実行されるように設定します。Lambdaスクリプトを設定して、レポートをメモリに読み込み、最終ローテーション日時が少なくとも90日前であるレコードをフィルタリングします。該当レコードが検出された場合、Amazon Simple Notification Service (Amazon SNS)通知をセキュリティチームへ送信します。
    • D. すべてのユーザーを一覧表示するためIAM APIをクエリするAWS Lambda関数を作成します。ListAccessKeys操作を使用してユーザーを反復処理し、CreateDateフィールドの値が少なくとも90日以上経過していないことを確認します。値が少なくとも90日以上経過している場合、Amazon Simple Notification Service (Amazon SNS)通知をセキュリティチームへ送信します。Lambda関数を毎日実行するようAmazon EventBridgeルールを作成します。

    この問題を見る →

  35. Q35. ある企業は、外部のIDプロバイダーを使用して、異なるAWSアカウントへのフェデレーションを許可しています。この企業のセキュリティエンジニアは、1週間前に本番環境のAmazon EC2インスタンスを終了させたフェデレーテッドユーザーを特定する必要があります。 セキュリティエンジニアがフェデレーテッドユーザーを特定するための最も迅速な方法は何ですか?

    • A. Amazon S3バケット内のAWS CloudTrailイベント履歴ログを確認し、「TerminateInstances」イベントを探して、ロールセッション名からフェデレーテッドユーザーを特定します。
    • B. AWS CloudTrailイベント履歴を「TerminateInstances」イベントでフィルタリングし、想定されたIAMロールを特定します。その後、CloudTrail内の「AssumeRoleWithSAML」イベント呼び出しを確認して、対応するユーザー名を特定します。
    • C. AWS CloudTrailログを「TerminateInstances」イベントで検索し、イベント時刻を確認します。すべてのフェデレーテッドロールのIAM Access Advisorタブを確認します。最後にアクセスされた時刻は、インスタンスが終了された時刻と一致するはずです。
    • D. Amazon S3バケットに保存されているAWS CloudTrailログに対してAmazon Athenaを用いてSQLクエリを実行し、「TerminateInstances」イベントでフィルタリングします。対応するロールを特定した後、別のクエリを実行して「AssumeRoleWithWebIdentity」イベントをユーザー名でフィルタリングします。

    この問題を見る →

  36. Q36. ある企業は、データセンターからAmazon Elastic Container Service(Amazon ECS)クラスターへコンテナワークロードを移行しています。この企業は、ワークロード内の潜在的脅威を検出し、コンテナクラスターのセキュリティ体制を強化するソリューションを実装する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. ECSクラスターを実行しているVPCでAmazon Inspectorを設定します。
    • B. ECSクラスターでAmazon GuardDuty Runtime Monitoringを有効化します。
    • C. Amazon CloudWatch Logsを使用してAmazon ECS APIアクセスを監査し、不正なアクセスを特定します。
    • D. 同じVPC内にコンテナクラスターを作成します。VPCフローログを使用してネットワークトラフィックを集中監視します。

    この問題を見る →

  37. Q37. ある企業は、AWS Organizations内の自社組織外のIAMアイデンティティに対して、Amazon S3オブジェクトが共有されないようにする必要があります。セキュリティエンジニアは、この目的のためにSCP(Service Control Policy)を作成・展開しています。企業は、すべてのS3バケットでS3 Block Public Access機能を有効化しています。 これらの要件を満たすために、SCPは何を行うべきですか?

    • A. StringNotEquals演算子、aws:ResourceOrgIDキー、および${aws:PrincipalOrgID}値を含むCondition要素とともにS3:*アクションを拒否します。
    • B. StringLike演算子、aws:PrincipalArnキー、および外部IAMプリンシパルの値を含むCondition要素とともにS3:PutAccountPublicAccessBlockアクションを拒否します。
    • C. StringNotEquals演算子、aws:PrincipalOrgIDキー、および${aws:PrincipalOrgID}値を含むCondition要素とともにS3:*アクションを許可します。
    • D. StringLike演算子、aws:PrincipalArnキー、および外部IAMプリンシパルの値を含むCondition要素とともにS3:*アクションを拒否します。

    この問題を見る →

  38. Q38. ある企業は、新しいアプリケーションスタックを設計しています。この設計には、Amazon EC2インスタンス上でホストされるWebサーバーおよびバックエンドサーバーが含まれます。また、Amazon Aurora MySQL DBクラスターも含まれます。 EC2インスタンスは、起動テンプレートを使用するAuto Scalingグループにあります。Web層およびバックエンド層のEC2インスタンスは、Amazon Elastic Block Store(Amazon EBS)ボリュームによってバックアップされています。どのレイヤーも静的暗号化されていません。セキュリティエンジニアは、静的暗号化を実装する必要があります。 これらの要件を満たすステップの組み合わせはどれですか?(2つ選択)

    • A. 対象のAWSリージョンでEBSのデフォルト暗号化設定を変更して暗号化を有効化します。Auto Scalingグループのインスタンス更新を使用します。
    • B. Web層およびバックエンド層の起動テンプレートを変更し、添付されたEBSボリュームに対してAWS Certificate Manager(ACM)暗号化を追加します。Auto Scalingグループのインスタンス更新を使用します。
    • C. 既存のDBクラスターのスナップショットから、新しいAWS Key Management Service(AWS KMS)暗号化済みDBクラスターを作成します。
    • D. 既存のDBクラスターにAWS Key Management Service(AWS KMS)暗号化を適用します。
    • E. 既存のDBクラスターにAWS Certificate Manager(ACM)暗号化を適用します。

    この問題を見る →

  39. Q39. ある企業は、ハイブリッドDNSインフラストラクチャでAmazon Route 53 Resolverを使用しています。この企業は、オンプレミスのDNSサーバーでホストされている権威あるドメイン向けにRoute 53 Resolverの転送ルールを設定しています。 新しいセキュリティ要件により、オンプレミスのDNSサーバーへのDNSトラフィックをログ記録およびクエリするソリューションを実装する必要があります。ログには、クエリを発行したインスタンスのソースIPアドレスの詳細が含まれなければなりません。また、Route 53 Resolverで要求されたDNS名もログに記録する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. VPCトラフィックミラーリングを使用します。関連するすべてのElastic Network Interfaceをトラフィックソースとして設定し、ミラーフィルターにamazon-dnsを含め、Amazon CloudWatch Logsをミラーターゲットとして設定します。
    • B. 関連するすべてのVPCでVPCフローログを設定します。ログをAmazon S3バケットに送信し、Amazon Athenaを使用してソースIPアドレスおよびDNS名に関するSQLクエリを実行します。
    • C. 関連するすべてのVPCでRoute 53 Resolverクエリログを設定します。ログをAmazon CloudWatch Logsに送信し、CloudWatch Insightsを使用してソースIPアドレスおよびDNS名に関するクエリを実行します。
    • D. オンプレミスのDNSサーバーに転送する権威あるドメインのRoute 53 Resolverルールを変更します。ログをAmazon S3バケットに送信し、Amazon Athenaを使用してソースIPアドレスおよびDNS名に関するSQLクエリを実行します。

    この問題を見る →

  40. Q40. ある企業は、Application Load Balancer(ALB)の背後にAmazon EC2インスタンスで実行されるアプリケーションを所有しています。これらのインスタンスは、Amazon EC2 Auto Scalingグループにあり、Amazon Elastic Block Store(Amazon EBS)ボリュームに接続されています。セキュリティエンジニアは、そのうち1つのインスタンスからすべてのフォレンジック証拠を保持する必要があります。 この要件を満たすために、セキュリティエンジニアが使用すべきステップの順序はどれですか?

    • A. インスタンスのEBSボリュームスナップショットを取得し、スナップショットをAmazon S3バケットに保存します。インスタンスのメモリスナップショットを取得し、スナップショットをS3バケットに保存します。インスタンスをAuto Scalingグループから分離します。ALBからインスタンスを登録解除します。インスタンスを停止します。
    • B. インスタンスのメモリスナップショットを取得し、スナップショットをAmazon S3バケットに保存します。インスタンスを停止します。インスタンスのEBSボリュームスナップショットを取得し、スナップショットをS3バケットに保存します。インスタンスをAuto Scalingグループから分離します。ALBからインスタンスを登録解除します。
    • C. インスタンスをAuto Scalingグループから分離します。ALBからインスタンスを登録解除します。インスタンスのEBSボリュームスナップショットを取得し、スナップショットをAmazon S3バケットに保存します。インスタンスのメモリスナップショットを取得し、スナップショットをS3バケットに保存します。インスタンスを停止します。
    • D. インスタンスをAuto Scalingグループから分離します。ALBからインスタンスを登録解除します。インスタンスを停止します。インスタンスのメモリスナップショットを取得し、スナップショットをAmazon S3バケットに保存します。インスタンスのEBSボリュームスナップショットを取得し、スナップショットをS3バケットに保存します。

    この問題を見る →

  41. Q41. ある会社は、サードパーティのIDプロバイダーとSAMLベースのSSOを使用してAWSアカウントを管理しています。サードパーティのIDプロバイダーが期限切れになった署名証明書を更新した後、ユーザーがログインしようとすると以下のエラーが表示されました:「Error: Response Signature Invalid (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken)」。セキュリティエンジニアは、このエラーを修正し、運用オーバーヘッドを最小限に抑えるソリューションを提供する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティに、サードパーティの署名証明書の新しい秘密鍵をAWS Management Consoleを使用してアップロードします。
    • B. IDプロバイダーのメタデータファイルを新しい公開鍵で署名し、その署名をAWS CLIを使用してAWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティにアップロードします。
    • C. IDサービスプロバイダーから更新されたSAMLメタデータファイルをダウンロードし、AWS CLIを使用してAWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティにそのファイルを更新します。
    • D. AWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティをAWS Management Consoleを使用して構成し、新しい公開鍵を同期的にフェッチできるようにします。

    この問題を見る →

  42. Q42. セキュリティエンジニアがAmazon S3バケットポリシーを作成し、すべてのユーザーへのアクセスを拒否しました。数日後、セキュリティエンジニアは、別の従業員1名に対して読み取り専用アクセスを許可する追加ステートメントをバケットポリシーに追加しました。しかし、ポリシーを更新した後でも、その従業員は依然として「アクセス拒否」メッセージを受け取っています。 このアクセス拒否の原因として最も考えられるものは何ですか?

    • A. バケットのACLを更新する必要があります。
    • B. IAMポリシーが、そのユーザーによるバケットへのアクセスを許可していません。
    • C. バケットポリシーが有効になるまで数分かかるためです。
    • D. 許可権限が拒否によって上書きされています。

    この問題を見る →

  43. Q43. セキュリティエンジニアは、Amazon EC2インスタンス上で実行されている従来型の3層Webアプリケーションを管理しています。このアプリケーションは、インターネットからの悪意ある攻撃の標的となる頻度が増加しています。 既知の脆弱性を確認し、攻撃表面を制限するために、セキュリティエンジニアが取るべき措置は何ですか?(2つ選択してください)

    • A. AWS Certificate Managerを使用して、クライアントとアプリケーションサーバー間のすべてのトラフィックを暗号化します。
    • B. アプリケーションのセキュリティグループを確認し、必要なポートのみを開いていることを保証します。
    • C. Elastic Load Balancingを使用して、Secure Sockets Layer暗号化をオフロードします。
    • D. Amazon Inspectorを使用して、バックエンドインスタンスを定期的にスキャンします。
    • E. AWS Key Management Service (AWS KMS)を使用して、クライアントとアプリケーションサーバー間のすべてのトラフィックを暗号化します。

    この問題を見る →

  44. Q44. セキュリティエンジニアは、AWS API操作を保護するIAMポリシーを設計しています。このポリシーは、AWSプロダクションアカウントにおける特定のサービスへのアクセスに対して、IAMユーザーにマルチファクタ認証(MFA)を強制する必要があります。各セッションは2時間のみ有効とします。現在のIAMポリシーのバージョンは以下のとおりです。 これらの要件を満たすために、セキュリティエンジニアがIAMポリシーに追加しなければならない条件の組み合わせはどれですか?(2つ選択してください)

    • A. "Bool": {"aws:MultiFactorAuthPresent": "true"}
    • B. "Bool": {"aws:MultiFactorAuthPresent": "false"}
    • C. "NumericLessThan": {"aws:MultiFactorAuthAge": "7200"}
    • D. "NumericGreaterThan": {"aws:MultiFactorAuthAge": "7200"}
    • E. "NumericLessThan": {"MaxSessionDuration": "7200"}

    この問題を見る →

  45. Q45. 最近開設されたAWSアカウントのAWSアカウントルートユーザーを保護する、最も安全な方法は何ですか?(2つ選択してください)

    • A. AWS Management Consoleではなく、AWSアカウントルートユーザーのアクセスキーを使用します。
    • B. AdministratorAccessマネージドポリシーがアタッチされたAWS IAMユーザーに、マルチファクタ認証(MFA)を有効化します。
    • C. AWS KMSを使用して、AWSアカウントルートユーザーおよびAWS IAMのアクセスキーをすべて暗号化し、30日ごとの自動ローテーションを設定します。
    • D. AWSアカウントルートユーザーのアクセスキーを作成せず、代わりにAWS IAMユーザーを作成します。
    • E. AWSアカウントルートユーザーにマルチファクタ認証(MFA)を有効化します。

    この問題を見る →

  46. Q46. ある会社はus-east-1リージョンでワークロードを実行しています。同社はこれまで他のAWSリージョンにリソースを展開したことがなく、マルチリージョンリソースもありません。同社は、ワークロードおよびインフラストラクチャをus-west-1リージョンにレプリケートする必要があります。 セキュリティエンジニアは、AWS Secrets Managerを使用して両リージョンにシークレットを保存するソリューションを実装する必要があります。このソリューションは、AWS Key Management Service (AWS KMS) を使用してシークレットを暗号化する必要があります。また、遅延を最小限に抑え、単一リージョンのみが利用可能な場合でも機能する必要があります。 セキュリティエンジニアは、Secrets Managerを使用してus-east-1でシークレットを作成しました。 要件を満たすために、セキュリティエンジニアが次に実施すべきことは何ですか?

    • A. us-east-1でAWSマネージドKMSキーを使用してシークレットを暗号化します。シークレットをus-west-1にレプリケートします。us-west-1で新しいAWSマネージドKMSキーを使用して、us-west-1のシークレットを暗号化します。
    • B. us-east-1でAWSマネージドKMSキーを使用してシークレットを暗号化します。us-west-1のリソースをus-east-1のSecrets Managerエンドポイントを呼び出すように構成します。
    • C. us-east-1でカスタマーマネージドKMSキーを使用してシークレットを暗号化します。us-west-1のリソースをus-east-1のSecrets Managerエンドポイントを呼び出すように構成します。
    • D. us-east-1でカスタマーマネージドKMSキーを使用してシークレットを暗号化します。シークレットをus-west-1にレプリケートします。us-west-1でus-east-1のカスタマーマネージドKMSキーを使用してシークレットを暗号化します。

    この問題を見る →

  47. Q47. ある会社は、過剰な権限を持つロールを悪用して、Amazon EC2インスタンスメタデータから資格情報をエクスポートした攻撃者が存在すると疑っています。同社はAmazon GuardDutyおよびAWS Audit Managerを導入しており、すべてのAWSアカウントでAWS CloudTrailログおよびAmazon CloudWatchログを有効化しています。セキュリティエンジニアは、これらの資格情報が外部アカウントから会社のリソースにアクセスするために使用されたかどうかを特定する必要があります。 この情報を提供するソリューションはどれですか?

    • A. GuardDutyの検出結果を確認し、InstanceCredentialExfiltrationイベントを探します。
    • B. Audit Managerコンソールの評価レポートを確認し、InstanceCredentialExfiltrationイベントを探します。
    • C. AWS Security Token Service (AWS STS)に対するGetSessionToken API呼び出しをCloudTrailログで確認し、その呼び出し元のアカウントIDが会社外のアカウントであるものを特定します。
    • D. AWS Security Token Service (AWS STS)に対するGetSessionToken API呼び出しをCloudWatchログで確認し、その呼び出し元のアカウントIDが会社外のアカウントであるものを特定します。

    この問題を見る →

  48. Q48. 国際企業が韓国に新たな事業体を設立しました。また、韓国地域向けのワークロードを収容するための新しいAWSアカウントも設立しました。同社は、この新しいアカウント内でap-northeast-2リージョンにワークロードをセットアップしました。このリージョンで稼働するすべてのワークロードは、システムログおよびアプリケーションログを7年間保持する必要があります。 セキュリティエンジニアは、スケーリング活動中に各インスタンスのログデータが失われないよう、かつログを必要な期間(7年間)のみ保持するソリューションを実装する必要があります。 これらの要件を満たすために、セキュリティエンジニアが実施すべき手順の組み合わせはどれですか?(3つ選択してください)

    • A. Auto Scalingグループが起動するすべてのEC2インスタンスにAmazon CloudWatchエージェントがインストールされていることを確認します。必要なログをAmazon CloudWatch Logsに転送するCloudWatchエージェント構成ファイルを作成します。
    • B. 対象のロググループのログ保持期間を7年に設定します。
    • C. Auto Scalingグループが使用する起動設定または起動テンプレートにIAMロールをアタッチします。このロールが、Amazon CloudWatch Logsへのログ転送に必要な権限を提供するように構成します。
    • D. Auto Scalingグループが使用する起動設定または起動テンプレートにIAMロールをアタッチします。このロールが、Amazon S3へのログ転送に必要な権限を提供するように構成します。
    • E. Auto Scalingグループが起動するすべてのEC2インスタンスにログ転送アプリケーションがインストールされていることを確認します。このログ転送アプリケーションを構成し、ログを定期的にバンドルしてAmazon S3に転送するようにします。
    • F. ターゲットS3バケットに対してAmazon S3ライフサイクルポリシーを構成し、オブジェクトを7年後に削除するようにします。

    この問題を見る →

  49. Q49. ある企業は、AWS Organizationsで管理される組織内に複数のAWSアカウントを持っています。そのうち1つのアカウントにあるAmazon S3バケットがパブリックにアクセス可能になっています。 セキュリティエンジニアは、このS3バケットが今後パブリックにアクセス可能にならないよう設定を変更する必要があります。また、将来このS3バケットが再びパブリックにアクセス可能になることを防ぐ必要があります。 これらの要件を満たす解決策はどれですか?

    • A. S3バケットをAWS Key Management Service (AWS KMS)キーを使用するように設定します。バケットポリシーを作成して暗号化を強制し、すべてのオブジェクトを暗号化します。OU(Organizational Unit)に含まれるAWSアカウントに対してs3:GetObjectアクションを拒否するサービスコントロールポリシー(SCP)を設定します。
    • B. S3バケットでPublicAccessBlock設定を有効化します。OUに含まれるAWSアカウントに対してs3:GetObjectアクションを拒否するSCPを設定します。
    • C. S3バケットでPublicAccessBlock設定を有効化します。OUに含まれるAWSアカウントに対してs3:PutPublicAccessBlockアクションを拒否するSCPを設定します。
    • D. S3バケットをS3 Object Lockのガバナンスモードで設定します。OUに含まれるAWSアカウントに対してs3:PutPublicAccessBlockアクションを拒否するSCPを設定します。

    この問題を見る →

  50. Q50. 大規模企業のセキュリティエンジニアが、1,500の子会社が利用するデータ処理アプリケーションを管理しています。親会社および各子会社はすべてAWSを利用しています。このアプリケーションはTCPポート443を使用し、Network Load Balancer(NLB)の背後にAmazon EC2上で実行されています。コンプライアンス上の理由から、このアプリケーションは子会社からのみアクセス可能とし、パブリックインターネット上では利用不可としなければなりません。アクセス制限に関するコンプライアンス要件を満たすため、エンジニアは各子会社のパブリックおよびプライベートCIDRブロック範囲を取得済みです。 エンジニアは、アプリケーションに対する適切なアクセス制限を実装するためにどの解決策を採用すべきですか?

    • A. 1,500の子会社のCIDRブロック範囲からのTCPポート443へのアクセスを許可するネットワークACL(NACL)を作成します。このNACLをNLBおよびEC2インスタンスの両方に関連付けます。
    • B. 1,500の子会社のCIDRブロック範囲からのTCPポート443へのアクセスを許可するAWSセキュリティグループを作成します。このセキュリティグループをNLBに関連付けます。さらに、NLBのセキュリティグループからのTCPポート443アクセスを許可するセキュリティグループをEC2インスタンス用に別途作成します。
    • C. 親会社アカウント内でNLBにアタッチされたAWS PrivateLinkエンドポイントサービスを作成します。インスタンス用のAWSセキュリティグループを作成し、AWS PrivateLinkエンドポイントからのTCPポート443アクセスを許可します。1,500の子会社AWSアカウントでAWS PrivateLinkインターフェースエンドポイントを作成し、データ処理アプリケーションに接続します。
    • D. 1,500の子会社のCIDRブロック範囲からのTCPポート443へのアクセスを許可するAWSセキュリティグループを作成します。このセキュリティグループをEC2インスタンスに関連付けます。

    この問題を見る →

  51. Q51. ある企業は、AWS Organizationsを用いて少数のAWSアカウントを管理しています。しかし、今後すぐに1,000以上のアカウントを追加する予定です。同社では、すべてのAWSアカウントおよびチーム向けIAMロールの作成を、中央集権型のセキュリティチームのみが許可されています。アプリケーションチームはIAMロールの作成をセキュリティチームに依頼します。セキュリティチームは現在、IAMロール作成依頼のバックログを抱えており、レビューおよびプロビジョニングが迅速に行えません。セキュリティチームは、アプリケーションチームが自らIAMロールを作成できるプロセスを構築する必要があります。同時に、IAMロールのスコープを制限し、特権昇格を防止する必要があります。 これらの要件を満たす解決策のうち、運用オーバーヘッドが最も少ないものはどれですか?

    • A. 各アプリケーションチームごとにIAMグループを作成します。各IAMグループにポリシーを関連付けます。各アプリケーションチームメンバー向けにIAMユーザーをプロビジョニングします。役割ベースのアクセス制御(RBAC)を用いて、新規IAMユーザーを適切なIAMグループに追加します。
    • B. アプリケーションチームのリーダーにIAMロールの作成を委任します。四半期ごとにチームリーダーが作成したIAMロールをレビューし、適切なトレーニングを受けてIAMロールをレビューできるよう確保します。
    • C. 各AWSアカウントを個別のOUに配置します。各OUにSCPを追加し、チームが使用する予定のAWSサービスのみへのアクセスを許可します。各チームのAWSアカウントに条件を含めます。
    • D. IAMロール用のSCPおよびパーミッションバウンダリーを作成します。このSCPをルートOUに追加し、パーミッションバウンダリーがアタッチされたロールのみが新しいIAMロールを作成できるようにします。

    この問題を見る →

  52. Q52. ある企業は、VPC内のAmazon EC2インスタンス上でサーバーを展開しています。外部ベンダーはインターネット経由でこれらのサーバーにアクセスしています。最近、企業は新しいCIDR範囲でEC2インスタンス上に新しいアプリケーションを展開しました。このアプリケーションをベンダーに公開する必要があります。 セキュリティエンジニアは、関連するセキュリティグループおよびネットワークACLが、必要なポートへのインバウンドトラフィックを許可していることを確認しました。しかし、ベンダーはアプリケーションに接続できません。 ベンダーがアプリケーションにアクセスできるようにする解決策はどれですか?

    • A. EC2インスタンスに関連付けられたセキュリティグループを変更し、アウトバウンドルールをインバウンドルールと同じ内容にします。
    • B. CIDR範囲に関連付けられたネットワークACLを変更し、エフェメラルポートへのアウトバウンドトラフィックを許可します。
    • C. インターネットゲートウェイのインバウンドルールを変更し、必要なポートを許可します。
    • D. CIDR範囲に関連付けられたネットワークACLを変更し、アウトバウンドルールをインバウンドルールと同じ内容にします。

    この問題を見る →

  53. Q53. 異なるサブネットにある2つのAmazon EC2インスタンスが互いに接続できるはずですが、接続できません。同一サブネット内の他のホストは正常に通信できること、およびセキュリティグループに該当トラフィックを許可する有効なALLOWルールが設定されていることは確認済みです。 以下のトラブルシューティング手順のうち、実施すべきものはどれですか?

    • A. インバウンドおよびアウトバウンドのセキュリティグループを確認し、DENYルールを探します
    • B. インバウンドおよびアウトバウンドのネットワークACLルールを確認し、DENYルールを探します
    • C. VPCフローログ内の拒否されたパケットの理由コードを確認します
    • D. AWS X-Rayを用いてエンドツーエンドのアプリケーションをトレースします

    この問題を見る →

  54. Q54. あるECサイトのウェブサイトがDDoS攻撃の影響で1時間ダウンしました。攻撃期間中、ユーザーはウェブサイトに接続できませんでした。このEC企業のセキュリティチームは、今後の同様の攻撃に備える必要があり、今後同様の攻撃に対する応答時のダウンタイムを最小限に抑えたいと考えています。 以下のうち、この目標を達成するのに役立つ手順はどれですか?(2つ選択)

    • A. Amazon GuardDutyを有効化し、悪意のある活動を自動的に監視して不正アクセスをブロックします。
    • B. AWS Shield Advancedに登録し、攻撃発生時にAWSサポートに連絡します。
    • C. VPCフローログを用いてネットワークトラフィックを監視し、AWS Lambda関数を用いてセキュリティグループで攻撃者のIPアドレスを自動的にブロックします。
    • D. Amazon EventBridgeルールを設定してAWS CloudTrailイベントをリアルタイムで監視し、AWS Configルールで設定を監査し、AWS Systems Managerで是正措置を実行します。
    • E. AWS WAFを用いて、このような攻撃に対応するルールを作成します。

    この問題を見る →

  55. Q55. ある企業は、Amazon Elastic Container Service(Amazon ECS)上で内部マイクロサービスをAmazon EC2起動タイプで実行しています。また、Amazon Elastic Container Registry(Amazon ECR)のプライベートリポジトリを使用しています。 セキュリティエンジニアは、AWS Key Management Service(AWS KMS)を用いてこれらのプライベートリポジトリを暗号化する必要があります。さらに、コンテナイメージ内の一般的な脆弱性および露出(CVE)を分析する必要があります。 これらの要件を満たす解決策はどれですか?

    • A. 既存のECRリポジトリでKMS暗号化を有効化します。ECSコンテナインスタンスのユーザーデータからAmazon Inspector Agentをインストールします。CVEルールで評価を実行します。
    • B. KMS暗号化およびECRスキャン機能を有効化した状態でECRリポジトリを再作成します。次回のイメージプッシュ後にスキャンレポートを分析します。
    • C. KMS暗号化およびECRスキャン機能を有効化した状態でECRリポジトリを再作成します。ECSコンテナインスタンスにAWS Systems Manager Agentをインストールします。インベントリレポートを実行します。
    • D. 既存のECRリポジトリでKMS暗号化を有効化します。AWS Trusted Advisorを用いてECSコンテナインスタンスをチェックし、現在のCVEリストと照合して検出結果を検証します。

    この問題を見る →

  56. Q56. ある企業は、Amazon S3バケット内のオブジェクトレベルのアクティビティをログ記録する必要があります。また、デジタル署名を用いてログファイルの整合性を検証する必要があります。

    • A. ログファイル検証機能を有効化したAWS CloudTrailトレイルを作成します。データイベントを有効化し、Amazon S3をデータイベントタイプとして指定します。
    • B. S3サーバーアクセスログ用の新しいS3バケットを作成します。既存のS3バケットからS3サーバーアクセスログをこの新しいS3バケットへ送信するように設定します。
    • C. Amazon CloudWatch Logsロググループを作成します。既存のS3バケットからS3サーバーアクセスログをこのロググループへ送信するように設定します。
    • D. ログファイル検証機能を有効化したS3サーバーアクセスログ用の新しいS3バケットを作成します。データイベントを有効化し、Amazon S3をデータイベントタイプとして指定します。

    この問題を見る →

  57. Q57. 医療会社が最近買収を完了し、既存のAWS環境を継承しました。同社は今後の監査を控えており、買収対象のコンプライアンス状況を懸念しています。同社はAmazon S3バケット内に個人健康情報(PHI)を特定する必要があり、またパブリックにアクセス可能なS3バケットを特定する必要があります。同社は監査に備えて、環境内の証拠を収集する必要があります。 これらの要件を満たすために、最も運用オーバーヘッドが少ない手順の組み合わせはどれですか?(3つ選択してください。)

    • A. Amazon Macieを有効化します。PERSONAL_INFORMATIONマネージドデータ識別子を使用したオンデマンド機密データ検出ジョブを実行します。
    • B. AWS GlueとDetect PIIトランスフォームを使用して機密データを特定し、機密データをマスクします。
    • C. AWS Audit Managerを有効化します。サポートされているフレームワークを使用してアセスメントを作成します。
    • D. Amazon GuardDuty S3 Protectionを有効化します。S3バケットへの不審なアクセスに関連する検出結果を文書化します。
    • E. AWS Security Hubを有効化します。AWS基礎セキュリティベストプラクティス標準を使用します。失敗したS3 Block Public Accessコントロールの証拠を確認するために、コントロールダッシュボードをレビューします。
    • F. AWS Configを有効化します。s3-bucket-public-write-prohibited AWS Configマネージドルールを設定します。

    この問題を見る →

  58. Q58. ある企業は、アプリケーションのデータベースエンジンとしてAmazon RDS for MySQLを使用しています。最近のセキュリティ監査で、静止時のデータ暗号化に関する企業ポリシーに準拠していないRDSインスタンスが明らかになりました。同社のセキュリティエンジニアは、既存のすべてのRDSデータベースがサーバー側暗号化で暗号化されることを保証し、今後ポリシーからの逸脱を検出できるようにする必要があります。 この目的を達成するために、セキュリティエンジニアが取るべき手順の組み合わせはどれですか?

    • A. 暗号化されていないRDSデータベースの作成を検出するAWS Configルールを作成します。AWS Configルールのコンプライアンス状態変更をトリガーとするAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティ運用チームに通知します。
    • B. AWS Systems Manager State Managerを使用してRDSデータベースの暗号化構成のドリフトを検出します。状態変化を追跡するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティ運用チームに通知します。
    • C. 既存の暗号化されていないRDSデータベースの読み取りレプリカを作成し、そのプロセスでレプリカの暗号化を有効化します。レプリカがアクティブになったら、スタンドアロンのデータベースインスタンスとして昇格させ、暗号化されていないデータベースインスタンスを終了します。
    • D. 暗号化されていないRDSデータベースのスナップショットを作成します。スナップショットをコピーし、そのプロセスでスナップショットの暗号化を有効化します。新しく作成された暗号化済みスナップショットからデータベースインスタンスを復元します。暗号化されていないデータベースインスタンスを終了します。
    • E. 識別された暗号化されていないRDSインスタンスの暗号化を、コンフィギュレーションの変更によって有効化します。

    この問題を見る →

  59. Q59. システムエンジニアが、インラインで展開された仮想セキュリティアプライアンスを含むテスト環境の接続性をトラブルシューティングしています。開発チームは、仮想セキュリティアプライアンスに加えて、セキュリティグループおよびネットワークACLを活用して、環境内のさまざまなセキュリティ要件を満たしたいと考えています。 仮想セキュリティアプライアンスがトラフィックをルーティングできるようにするには、どのような設定が必要ですか?

    • A. ネットワークACLを無効化します。
    • B. セキュリティアプライアンスのElastic Network Interface(ENI)を混雑モード(promiscuous mode)に設定します。
    • C. セキュリティアプライアンスのElastic Network Interface(ENI)のNetwork Source/Destination Checkを無効化します。
    • D. インターネットゲートウェイを持つパブリックサブネットにセキュリティアプライアンスを配置します。

    この問題を見る →

  60. Q60. ある企業が、新しいAWSアカウントに新しいアプリケーションを実装しています。アプリケーション用にVPCおよびサブネットが作成されています。アプリケーションは、同じAWSリージョン内の別のアカウントにある既存のVPCとVPCピアリング接続され、データベースへのアクセスを可能にしています。Amazon EC2インスタンスはアプリケーションVPC内で定期的に作成および終了されますが、そのうち一部のみがTCPポート1521経由でピアリングされたVPC内のデータベースにアクセスする必要があります。 セキュリティエンジニアは、データベースへのアクセスを必要とするEC2インスタンスのみがネットワーク経由でデータベースにアクセスできるようにする必要があります。 セキュリティエンジニアは、このソリューションをどのように実装できますか?

    • A. データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可する受信ルールを作成します。データベースサブネットに新しいネットワークACLルールを追加します。このルールを、アプリケーションVPCのIPアドレス範囲からTCPポート1521へのトラフィックを許可するように設定します。データベースインスタンスに新しいセキュリティグループをアタッチします。
    • B. アプリケーションVPCに新しいセキュリティグループを作成し、データベースVPCのIPアドレス範囲からのTCPポート1521を許可する受信ルールを作成します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのポート1521を許可する受信ルールを作成します。データベースインスタンスおよびデータベースアクセスを必要とするアプリケーションインスタンスに新しいセキュリティグループをアタッチします。
    • C. アプリケーションVPCに受信ルールのない新しいセキュリティグループを作成します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPC内の新しいアプリケーションセキュリティグループからのTCPポート1521を許可する受信ルールを作成します。データベースアクセスを必要とするアプリケーションインスタンスにアプリケーションセキュリティグループをアタッチし、データベースインスタンスにデータベースセキュリティグループをアタッチします。
    • D. アプリケーションVPCに新しいセキュリティグループを作成し、データベースVPCのIPアドレス範囲からのTCPポート1521を許可する受信ルールを作成します。データベースサブネットに新しいネットワークACLルールを追加します。このルールを、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するように設定します。データベースアクセスを必要とするアプリケーションインスタンスに新しいセキュリティグループをアタッチします。

    この問題を見る →

  61. Q61. セキュリティエンジニアは、特定のAWSリソースに対する構成変更を評価し、そのリソースがコンプライアンス基準を満たしていることを確認したいと考えています。しかし、セキュリティエンジニアは、リソースに対して短時間に複数の構成変更が行われる状況を懸念しています。セキュリティエンジニアは、一連の変更の累積的影響を示すために、そのリソースの最新の構成のみを記録したいと考えています。 この要件を、最も運用効率の良い方法で満たすソリューションはどれですか?

    • A. AWS CloudTrailを使用して、API呼び出しをフィルタリングして構成変更を検出します。最も最近のAPI呼び出しを使用して、複数の呼び出しの累積的影響を示します。
    • B. AWS Configを使用して構成変更を検出し、複数の構成変更が発生した場合でも最新の構成を記録します。
    • C. Amazon CloudWatchを使用して、API呼び出しをフィルタリングして構成変更を検出します。最も最近のAPI呼び出しを使用して、複数の呼び出しの累積的影響を示します。
    • D. AWS Cloud Mapを使用して構成変更を検出し、スライディングタイムウィンドウを使用して最新の状態を追跡するためのAWS Cloud Mapからの構成変更レポートを生成します。

    この問題を見る →

  62. Q62. ある企業は、ログファイルを分析するための集中型ソリューションを構築する必要があります。同社はAWS Organizations内のOrganizationを使用してAWSアカウントを管理しています。 このソリューションは、以下のソースからイベントを収集・正規化する必要があります: - Organizations全体 - 同社のAWSアカウントで実行されるすべてのAWS Marketplace提供サービス - 同社のオンプレミスシステム

    • A. ログ用の集中型Amazon S3バケットを設定します。すべてのアカウントでVPC Flow Logs、AWS CloudTrail、およびAmazon Route 53ログを有効化し、すべてのアカウントが集中型S3バケットを使用するように設定します。AWS Glueクローラーを設定してログファイルを解析し、Amazon Athenaを使用してログデータをクエリします。
    • B. 監視が必要なソースに対してAmazon CloudWatch Logsのログストリームを設定します。各ログストリームに対してログサブスクリプションフィルターを作成し、メッセージをAmazon OpenSearch Serviceに転送して分析します。
    • C. Organizations内に委任されたAmazon Security Lake管理者アカウントを設定します。Organizationに対してSecurity Lakeを有効化および設定し、監視が必要なアカウントを追加します。Amazon Athenaを使用してログデータをクエリします。
    • D. SCPを適用して、すべてのメンバーアカウントおよびサービスがログファイルを集中型Amazon S3バケットに配信するように設定します。Amazon OpenSearch Serviceを使用して、集中型S3バケット内のログエントリをクエリします。

    この問題を見る →

  63. Q63. ある企業は、Amazon RDS DBインスタンスおよびAmazon Elastic Block Store(Amazon EBS)ボリュームのバックアップコピーを保持する必要があります。企業は、バックアップコピーを数百マイル離れたデータセンターに保持しなければなりません。

    • A. AWS Backupを使用して、必要なスケジュールに従ってバックアップを作成します。バックアッププランで、複数の可用性ゾーンをバックアップ先として指定します。
    • B. Amazon Data Lifecycle Managerを使用してバックアップを作成します。Amazon Data Lifecycle Managerポリシーを設定してバックアップをAmazon S3バケットにコピーし、S3バケットのレプリケーションを有効化します。
    • C. AWS Backupを使用して、必要なスケジュールに従ってバックアップを作成します。別のAWSリージョンに宛先バックアップ保管庫(backup vault)を作成し、AWS Backupがバックアップを宛先バックアップ保管庫にコピーするように設定します。
    • D. Amazon Data Lifecycle Managerを使用してバックアップを作成します。別のAWSリージョンにバックアップをコピーするAWS Lambda関数を作成し、Amazon EventBridgeを使用してスケジュールに基づきLambda関数を呼び出します。

    この問題を見る →

  64. Q64. ある企業は、単一のAWSリージョンにアプリケーションを移行する計画を立てています。同社のアプリケーションは、Amazon EC2インスタンス、Elastic Load Balancing(ELB)ロードバランサー、およびAmazon S3バケットの組み合わせを使用します。同社は、移行をできる限り迅速に完了したいと考えています。すべてのアプリケーションは、以下の要件を満たす必要があります: ・静止時のデータは暗号化されていること。 ・転送中のデータは暗号化されていること。 ・エンドポイントは異常なネットワークトラフィックを監視すること。

    • A. AWS Systems Manager Automationを使用して、Amazon InspectorエージェントをEC2インスタンスにインストールします。
    • B. すべてのAWSアカウントでAmazon GuardDutyを有効化します。
    • C. Amazon EC2およびAmazon S3用のVPCエンドポイントを作成します。VPCルートテーブルを更新して、安全なVPCエンドポイントのみを使用するようにします。
    • D. AWS Certificate Manager(ACM)を設定します。ロードバランサーがACMから取得した証明書を使用するように設定します。
    • E. AWS Key Management Service(AWS KMS)を使用して鍵管理を行い、S3バケットポリシーを作成して、x-amz-meta-side-encryption条件付きでPutObjectコマンドを拒否します。
    • F. AWS Key Management Service(AWS KMS)を使用して鍵管理を行い、S3バケットポリシーを作成して、x-amz-server-side-encryption条件付きでPutObjectコマンドを拒否します。

    この問題を見る →

  65. Q65. パブリックサブネットには2つのAmazon EC2インスタンスが含まれています。このサブネットにはカスタムネットワークACLが設定されています。セキュリティエンジニアは、このサブネットのセキュリティを向上させるソリューションを設計しています。このソリューションは、TLSを使用してポート443経由でインターネットサービスへのアウトバウンドトラフィックを許可する必要があります。また、MySQLポート3306宛てのインバウンドトラフィックを拒否する必要があります。 これらの要件を満たすネットワークACLルールセットはどれですか?

    • A. インバウンドルール100を使用してTCPポート443のトラフィックを許可します。インバウンドルール200を使用してTCPポート3306のトラフィックを拒否します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
    • B. インバウンドルール100を使用してTCPポート3306のトラフィックを拒否します。インバウンドルール200を使用してTCPポート範囲1024-65535のトラフィックを許可します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
    • C. インバウンドルール100を使用してTCPポート範囲1024-65535のトラフィックを許可します。インバウンドルール200を使用してTCPポート3306のトラフィックを拒否します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
    • D. インバウンドルール100を使用してTCPポート3306のトラフィックを拒否します。インバウンドルール200を使用してTCPポート443のトラフィックを許可します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。

    この問題を見る →

  66. Q66. ある企業は、AWS Configルールを使用して、同社のデータ保護ポリシーに準拠していないAmazon S3バケットを特定しています。これらのS3バケットは複数のAWSリージョンおよび複数のAWSアカウントでホストされています。これらのアカウントは、AWS Organizations内の組織に属しています。同社は、既存の非準拠S3バケットおよび今後作成されるすべての非準拠S3バケットを自動修復するソリューションを必要としています。 これらの要件を満たすソリューションはどれですか?

    • A. 組織全体のリソースデータ集約機能を有効化したAWS Configアグリゲーターをデプロイします。AWS Configによる非準拠S3バケットの検出結果に応じて、S3バケットを削除または再構成するAWS Lambda関数を作成します。
    • B. 組織全体のリソースデータ集約機能を有効化したAWS Configアグリゲーターをデプロイします。新しい非準拠S3バケットの作成を防止するDenyステートメントを含むSCP(Service Control Policy)を作成し、組織内のすべてのOU(Organizational Unit)に適用します。
    • C. 現在使用中のアカウントおよびリージョンのみを対象としたAWS Configアグリゲーターをデプロイします。AWS Configによる非準拠S3バケットの検出結果に応じて、S3バケットを削除または再構成するAWS Lambda関数を作成します。
    • D. 現在使用中のアカウントおよびリージョンのみを対象としたAWS Configアグリゲーターをデプロイします。新しい非準拠S3バケットの作成を防止するDenyステートメントを含むSCP(Service Control Policy)を作成し、組織内のすべてのOU(Organizational Unit)に適用します。

    この問題を見る →

  67. Q67. ある企業は、AWS Organizationsを用いてマルチアカウント戦略を実装しています。同社にはオンプレミスインフラストラクチャは存在せず、すべてのワークロードはAWS上で実行されています。現在、8つのメンバー アカウントがあります。同社は、将来的にも最大で20個のAWSアカウントしか保有しないと予測しています。 同社は以下の要件を含む新しいセキュリティポリシーを発行しました: • どのAWSアカウントも、自身のAWSアカウント内にあるVPCをワークロードに使用してはならない。 • 同社は、すべてのAWSアカウントがサブネット内でワークロードを起動できるように、中央管理されたVPCを活用しなければならない。 • どのAWSアカウントも、中央管理されたVPC内にある他のAWSアカウントのアプリケーションリソースを変更してはならない。 • 中央管理されたVPCは、AWS Organizations内の既存のAWSアカウント「Account-A」内に配置されなければならない。 同社は、CloudFormationテンプレートを使用してAccount-A内に複数のサブネットを含むVPCを作成しており、このテンプレートはCloudFormation Outputsセクションを通じてサブネットIDをエクスポートしています。 これらの要件を満たすセキュリティ設定を完了するソリューションはどれですか?

    • A. メンバー アカウント内でCloudFormationテンプレートを使用してワークロードを起動します。このテンプレートを、Fn::ImportValue関数を使用してサブネットIDの値を取得するように設定します。
    • B. Account-A内のVPCにTransit Gatewayを導入します。メンバー アカウントを、Transit Gatewayを介してAccount-Aのサブネットにアクセスさせ、ワークロードを起動するように設定します。
    • C. AWS Resource Access Manager(AWS RAM)を使用して、Account-AのVPCサブネットを残りのメンバー アカウントと共有します。メンバー アカウントを、共有されたサブネットを使用してワークロードを起動するように設定します。
    • D. Account-Aと残りのメンバー アカウントの間にVPCピアリング接続を作成します。メンバー アカウントを、VPCピアリング接続を介してAccount-Aのサブネットを使用してワークロードを起動するように設定します。

    この問題を見る →

  68. Q68. ある企業は、Amazon Elastic Kubernetes Service(Amazon EKS)上でマイクロサービスアプリケーションをホストしています。同社は、アプリケーションを随時更新する継続的デプロイメントを設定済みです。セキュリティエンジニアは、アプリケーションログにおける異常をほぼリアルタイムで自動検出し、その異常についてセキュリティチームに通知するソリューションを実装する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. Amazon CloudWatch Container Insightsを設定してEKSアプリケーションログを収集および集約します。異常を監視するCloudWatchアラームを作成します。アラームが異常を検出した際にセキュリティチームに通知するAWS Lambda関数を起動するようアラームを設定します。
    • B. Amazon EKSを設定してアプリケーションログをAmazon CloudWatchに送信します。ロググループのメトリクスフィルターに基づくCloudWatchアラームを作成します。しきい値タイプとして異常検出を指定します。アラームがAmazon Simple Notification Service(Amazon SNS)を使用してセキュリティチームに通知するよう設定します。
    • C. Amazon EKSを設定してログをAmazon S3にエクスポートします。Amazon Athenaクエリを使用してログを分析し、異常を検出します。Amazon QuickSightを使用してユーザーのアクセス要求を可視化および監視し、異常を検出します。Amazon Simple Notification Service(Amazon SNS)通知を設定してセキュリティチームに通知します。
    • D. AWS App Meshを設定してAmazon EKS内のマイクロサービスへのトラフィックを監視します。App MeshをAWS CloudTrailと統合してログを記録します。Amazon Detectiveを使用してログを分析し、異常を検出してセキュリティチームに通知します。

    この問題を見る →

  69. Q69. ある企業は、Apacheウェブサーバー上でウェブアプリケーションをホストしています。このアプリケーションは、Auto Scalingグループ内のAmazon EC2インスタンスで実行されています。同社は、EC2インスタンスがApacheウェブサーバーログを、1年後に失効するよう設定されたAmazon CloudWatch Logsグループに送信するように構成しています。 最近、同社はApacheウェブサーバーログ内で、特定のIPアドレスがウェブアプリケーションに対して疑わしいリクエストを送信していることを発見しました。セキュリティエンジニアは、過去1週間分のApacheウェブサーバーログを分析し、そのIPアドレスが送信したリクエスト数および該当するURLを特定したいと考えています。 これらの要件を、最小限の労力で満たすために、セキュリティエンジニアは何を行うべきですか?

    • A. CloudWatch LogsグループのデータをAmazon S3にエクスポートします。Amazon Macieを使用して、特定のIPアドレスおよび要求されたURLを含むログをクエリします。
    • B. CloudWatch Logsサブスクリプションを設定して、ロググループをAmazon OpenSearch Serviceクラスターにストリーミングします。OpenSearch Serviceを使用して、特定のIPアドレスおよび要求されたURLを含むログを分析します。
    • C. CloudWatch Logs Insightsおよびカスタムクエリ構文を使用して、CloudWatchログから特定のIPアドレスおよび要求されたURLを分析します。
    • D. CloudWatch LogsグループのデータをAmazon S3にエクスポートします。AWS Glueを使用して、S3バケット内の特定のIPアドレスを含むログエントリのみをクロールします。AWS Glueを使用して結果を表示します。

    この問題を見る →

  70. Q70. ある企業は、Amazon EC2ベースのアプリケーションをInstance Metadata Service Version 2(IMDSv2)の使用に移行しています。セキュリティエンジニアは、どのEC2インスタンスもまだInstance Metadata Service Version 1(IMDSv1)を使用していないかを確認する必要があります。 セキュリティエンジニアは、IMDSv1エンドポイントがもう使用されていないことを確認するために何を行うべきですか?

    • A. EC2インスタンスの起動時に、Amazon CloudWatchエージェントによるIMDSv1のロギングを設定します。メトリクスフィルターおよびCloudWatchダッシュボードを作成し、ダッシュボードでメトリクスを追跡します。
    • B. Amazon CloudWatchダッシュボードを作成します。すべてのEC2インスタンスにおいて、EC2:MetadataNoTokenメトリクスがゼロであることを確認します。ダッシュボードを監視します。
    • C. IMDSv1エンドポイントへのHTTPアクセスをブロックするセキュリティグループを作成し、すべてのEC2インスタンスにアタッチします。
    • D. すべてのEC2インスタンスのユーザーデータスクリプトを設定して、IMDSv1が使用された際にログ情報をAWS CloudTrailに送信するようにします。メトリクスフィルターおよびAmazon CloudWatchダッシュボードを作成し、ダッシュボードでメトリクスを追跡します。

    この問題を見る →

  71. Q71. セキュリティエンジニアは、アプリケーションをサポートするクラウドアーキテクチャを設計しています。このアプリケーションはAmazon EC2インスタンス上で実行され、クレジットカード番号を含む機密情報を処理します。アプリケーションは、クレジットカード番号を隔離された環境で実行されるコンポーネントに送信します。このコンポーネントは、クレジットカード番号を暗号化、保存、復号化し、アプリケーションの他の部分で使用するためのトークンを発行します。トークン化プロセスを管理するアプリケーションコンポーネントは、別のセットのEC2インスタンス上にデプロイされます。アプリケーションの他のコンポーネントは、クレジットカード番号を保存またはアクセスしてはなりません。 これらの要件を満たすソリューションはどれですか?

    • A. アプリケーションのトークン化コンポーネントにEC2専用インスタンスを使用します。
    • B. トークン化プロセスを管理するEC2インスタンスをパーティション配置グループに配置します。
    • C. 別個のVPCを作成し、データトークン化をサポートするために新しいEC2インスタンスをその別個のVPCにデプロイします。
    • D. EC2インスタンス上でホストされるAWS Nitro Enclavesにトークン化コードをデプロイします。

    この問題を見る →

  72. Q72. ある企業は、重要データが完全に削除されるのを防ぐソリューションを必要としています。このデータはAmazon S3バケットに保存されています。同社は、ディザスタリカバリ要件を満たすために、自社のプライマリAWSリージョンからセカンダリリージョンへのS3オブジェクトのレプリケーションを実施する必要があります。さらに、セカンダリリージョン内のデータを管理者アクセスを持つユーザーが完全に削除できないようにする必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS Backupを設定して、クロスリージョンS3バックアップを実行します。セカンダリリージョンのバックアップボルトを選択します。セカンダリリージョンのバックアップに対して、AWS Backup Vault Lockをガバナンスモードで有効化します。
    • B. プライマリリージョンでS3 Object Lockをコンプライアンスモードで有効化します。S3レプリケーションを設定して、オブジェクトをセカンダリリージョンのS3バケットにレプリケーションします。
    • C. S3レプリケーションを設定して、オブジェクトをセカンダリリージョンのS3バケットにレプリケーションします。セカンダリリージョンのS3バケットに対して、s3:ReplicateDeleteアクションを拒否するS3バケットポリシーを作成します。
    • D. S3レプリケーションを設定して、オブジェクトをセカンダリリージョンのS3バケットにレプリケーションします。セカンダリリージョンのS3バケットでS3オブジェクトバージョニングを有効化します。

    この問題を見る →

  73. Q73. ある会社が、規制コンプライアンスのための特定のルールに従うアプリケーションをAmazon EC2上でホストしています。そのルールの1つは、ワークロードへのトラフィックおよびワークロードからのトラフィックをネットワークレベルの攻撃に対して検査することを定めています。これは、パケット全体を検査することを意味します。 この規制ルールを遵守するために、セキュリティエンジニアはc5n.4xlarge EC2インスタンスに侵入検知ソフトウェアをインストールし、アプリケーションインスタンスへのトラフィックおよびアプリケーションインスタンスからのトラフィックを監視するようにソフトウェアを設定する必要があります。 この後、セキュリティエンジニアが行うべき次のステップは何ですか?

    • A. トラフィックをキャプチャするためにネットワークインターフェイスを混雑モード(promiscuous mode)に設定する。
    • B. VPCフローログを設定して、ネットワークロードバランサー(NLB)を使用してトラフィックを監視用EC2インスタンスに送信する。
    • C. VPCトラフィックミラーリングを設定して、ネットワークロードバランサー(NLB)を使用してトラフィックを監視用EC2インスタンスに送信する。
    • D. Amazon Inspectorを使用してネットワークレベルの攻撃を検出し、疑わしいパケットをEC2インスタンスに送信するようAWS Lambda関数をトリガーする。

    この問題を見る →

  74. Q74. ある会社がAmazon S3 Glacierにデータを保存しています。セキュリティエンジニアは10 TBのデータに対して新しいバウルトロックポリシーを実装し、12時間前にinitiate-vault-lock操作を呼び出しました。監査チームは、このポリシーにタイプミスがあり、意図しないバウルトへのアクセスを許可していることを特定しました。 このエラーを修正する最もコスト効率の良い方法は何ですか?

    • A. abort-vault-lock操作を呼び出す。ポリシーを更新する。再度initiate-vault-lock操作を呼び出す。
    • B. バウルトのデータを新しいS3バケットにコピーする。バウルトを削除する。データとともに新しいバウルトを作成する。
    • C. ポリシーを更新して、バウルトロックを維持する。
    • D. ポリシーを更新する。新しいポリシーを適用するために、再度initiate-vault-lock操作を呼び出す。

    この問題を見る →

  75. Q75. ある会社には、Amazon EC2セキュリティグループがCIDRブロック0.0.0.0/0からのSSHアクセスを許可してはならないという要件があります。この要件に対するコンプライアンスを常時監視し、セキュリティグループが非コンプライアンスとなった場合にほぼリアルタイムで通知を受け取ることを望んでいます。セキュリティエンジニアはAWS Configを設定し、restricted-sshマネージドルールを使用してセキュリティグループを監視します。 これらの要件を満たすために、セキュリティエンジニアが次に行うべきことは何ですか?

    • A. AWS Configがその設定スナップショットをAmazon S3バケットに送信するように設定する。S3バケットへのPutEventイベントをトリガーとして実行されるAWS Lambda関数を作成する。Lambda関数がスナップショットを解析し、restricted-sshマネージドルールに関するコンプライアンス変更を検出するように設定する。変更が検出された場合、Lambda関数がAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信するように設定する。
    • B. AWS Configからrestricted-sshマネージドルールに関するコンプライアンス変更イベントを受信するAmazon EventBridgeイベントルールを設定する。イベントルールがAmazon Simple Notification Service(Amazon SNS)トピックをターゲットとして通知を提供するように設定する。
    • C. AWS Configがすべてのコンプライアンス通知をAmazon CloudWatch Logsにプッシュするように設定する。AWS Configロググループに対してCloudWatch Logsメトリクスフィルターを設定し、restricted-sshマネージドルールに関するコンプライアンス通知の変更を検索する。メトリクスフィルターに基づくAmazon CloudWatchアラームを作成し、アラームがALARM状態になった場合にAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信するように設定する。
    • D. restricted-sshマネージドルールのCloudWatchメトリクスに対するAmazon CloudWatchアラームを設定する。アラームがALARM状態になった場合にAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信するように設定する。

    この問題を見る →

  76. Q76. ある会社は、AWS Organizationsを使用して組織を作成する計画です。また、外部のIDプロバイダー(IdP)とユーザー管理を統合する必要があり、さらに組織の管理アカウントからすべてのAWSアカウントおよびアプリケーションへのアクセスを一元的に管理する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS Directory Serviceを外部IdPと連携して設定する。IAMポリシーを作成し、外部IdPからのユーザーに関連付ける。
    • B. AWS IAM Identity Centerを有効化し、外部IdPをアイデンティティソースとして使用する。IAM Identity Centerを使用してパーミッションセットおよびアカウント割り当てを作成する。
    • C. AWS Identity and Access Management(IAM)を設定し、外部IdPをIdPとして使用する。IAMポリシーを作成し、外部IdPからのユーザーに関連付ける。
    • D. 組織の管理アカウントでAmazon Cognitoを有効化する。IDプールを作成し、外部IdPと関連付ける。IAMロールを作成し、IDプールに関連付ける。

    この問題を見る →

  77. Q77. あるAWSアカウントには、bucket1およびbucket2の2つのS3バケットがあります。bucket2にはポリシーが定義されていませんが、bucket1には以下のバケットポリシーがあります。さらに、同一アカウントには「alice」という名前のIAMユーザーが存在し、以下のIAMポリシーを持っています。 ユーザー「alice」がアクセスできるバケットはどれですか?

    • A. bucket1のみ
    • B. bucket2のみ
    • C. bucket1およびbucket2の両方
    • D. bucket1もbucket2もどちらもアクセスできない

    この問題を見る →

  78. Q78. ある会社は、AWSアカウント内の単一VPC内で複数のアプリケーションをホストしています。これらのアプリケーションは、AWS WAF Web ACLと関連付けられたApplication Load Balancerの背後で実行されています。同社のセキュリティチームは、インターネット上の特定のIPアドレス範囲から複数のポートスキャンが発生していることを特定しました。 セキュリティエンジニアは、悪意のあるIPアドレスからのアクセスを拒否する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS WAF Web ACLをIPセットマッチルールステートメントで変更し、IPアドレス範囲からの着信リクエストを拒否する。
    • B. すべてのセキュリティグループにルールを追加して、IPアドレス範囲からの着信リクエストを拒否する。
    • C. AWS WAF Web ACLをレートベースルールステートメントで変更し、IPアドレス範囲からの着信リクエストを拒否する。
    • D. AWS WAF Web ACLを正規表現(regex)マッチ条件で設定する。マッチ条件に基づきリクエストを拒否するパターンセットを指定する。

    この問題を見る →

  79. Q79. 開発チームが、企業のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションを管理するオープンソースのツールセットを作成しています。企業はコードを公開リポジトリに保管しており、誰でもツールセットのコードを閲覧およびダウンロードできます。 企業は、コード内にIAMアクセスキーおよびシークレットキーが含まれており、これにより企業のAWS環境内の内部リソースへのアクセスが可能であることを発見しました。 セキュリティエンジニアは、暴露された認証情報が不正に使用されたかどうかを特定するソリューションを実装する必要があります。また、暴露された認証情報のさらなる使用を防止する必要があります。 これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)

    • A. AWS Identity and Access Management Access Analyzerを使用して、暴露された認証情報がどのリソースにアクセスしたかおよび誰が使用したかを特定する。
    • B. ユーザーのIAMアカウントから暴露されたIAMアクセスキーを無効化する。
    • C. Amazon GuardDutyにルールを作成して、ソースコード内のアクセスキーの使用をブロックする。
    • D. 認証情報が暴露されたユーザーの新しいIAMアクセスキーおよびシークレットキーを作成する。
    • E. IAM認証情報レポートを生成する。レポートを確認して、アクセスキーを所有するユーザーが最後にログインした時刻を確認する。

    この問題を見る →

  80. Q80. Amazon CloudWatch Logsエージェントは、正常にログをCloudWatch Logsサービスへ配信しています。しかし、関連付けられたログストリームが一定時間アクティブな後、ログの配信が停止します。 この現象の原因を特定するために必要な手順は何ですか?(2つ選択)

    • A. CloudWatch Logsエージェントがファイルを読み取れるよう、監視対象ファイルのファイル権限が変更されていないことを確認する。
    • B. OSのログローテーションルールがエージェントのストリーミング設定要件と互換性があることを検証する。
    • C. Amazon Kinesisプロデューサーを設定し、まずログをAmazon Kinesis Streamsに送信する。
    • D. CloudWatch Logsメトリクスを作成し、ログ配信停止前の期間中に少なくとも1回は変化する値を隔離する。
    • E. AWS CloudFormationを使用して、CloudWatch Logsエージェントの設定ファイルを動的に作成および維持する。

    この問題を見る →

  81. Q81. アプリケーションが、IAMロールがアタッチされたAmazon EC2インスタンス上で実行されています。このIAMロールは、AWS Key Management Service (AWS KMS) のカスタマーマネージドキーおよびAmazon S3バケットへのアクセスを提供します。このキーは、S3バケットに保存された2 TBの機密データにアクセスするために使用されます。 セキュリティエンジニアが、EC2インスタンス上で機密データの漏洩を招く可能性のある脆弱性を発見しました。他の重要な運用のため、セキュリティエンジニアは、脆弱性のパッチ適用のためにEC2インスタンスを即座に停止できません。 機密データの公開を防止するための最も迅速な方法は何ですか?

    • A. 既存のS3バケットからデータを新しいEC2インスタンスにダウンロードし、その後S3バケットからデータを削除します。クライアント側のキーでデータを再暗号化し、新しいS3バケットにアップロードします。
    • B. ホストベースのファイアウォールを使用して、S3エンドポイントのパブリックIPアドレス範囲へのアクセスをブロックします。影響を受けたEC2インスタンスからのインターネット向けトラフィックがホストベースのファイアウォールを経由するように設定します。
    • C. IAMロールのアクティブなセッション権限を失効させます。S3バケットポリシーを更新して、そのIAMロールへのアクセスを拒否します。EC2インスタンスプロファイルからIAMロールを削除します。
    • D. 現在のキーを無効化します。IAMロールがアクセスできない新しいKMSキーを作成し、すべてのデータをその新しいキーで再暗号化します。侵害されたキーの削除をスケジュールします。

    この問題を見る →

  82. Q82. ある企業には、Amazon S3、Amazon EC2、およびAWS Key Management Service (AWS KMS) を使用するバッチ処理システムがあります。このシステムは2つのAWSアカウント(アカウントAおよびアカウントB)を使用しています。アカウントAには、処理対象のオブジェクトおよび処理結果を格納するS3バケットがホストされています。すべてのS3バケットオブジェクトは、アカウントAで管理されるKMSキーで暗号化されています。アカウントBには、アカウントAのS3バケットにバケットポリシー内のステートメントを使用してアクセスするEC2インスタンスのセットを含むVPCがホストされています。このVPCはDNSホスト名およびDNS解決が有効化された状態で作成されています。セキュリティエンジニアは、システムのコードを変更せずにシステムの設計を更新する必要があります。バッチ処理用EC2インスタンスからのAWS API呼び出しは、インターネットを経由してはいけません。 これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)

    • A. アカウントBのVPC内に、Amazon S3用のゲートウェイVPCエンドポイントを作成します。このゲートウェイVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、s3:PutObject、およびs3:PutObjectAclアクションを許可するリソースポリシーを作成します。
    • B. アカウントBのVPC内に、Amazon S3用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、s3:PutObject、およびs3:PutObjectAclアクションを許可するリソースポリシーを作成します。
    • C. アカウントBのVPC内に、AWS KMS用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、KMSキーに対するkms:Encrypt、kms:Decrypt、およびkms:GenerateDataKeyアクションを許可するリソースポリシーを作成します。エンドポイントに対してプライベートDNSが有効になっていることを確認します。
    • D. アカウントBのVPC内に、AWS KMS用のインターフェイスVPCエンドポイントを作成します。このインターフェイスVPCエンドポイントに対して、KMSキーに対するkms:Encrypt、kms:Decrypt、およびkms:GenerateDataKeyアクションを許可するリソースポリシーを作成します。エンドポイントに対してプライベートDNSが無効になっていることを確認します。
    • E. アカウントBのVPC内で、S3バケットポリシーがクロスアカウント使用のためのs3:PutObjectAclアクションを許可していることを確認します。アカウントBのVPC内に、Amazon S3用のゲートウェイVPCエンドポイントを作成します。このゲートウェイVPCエンドポイントに対して、S3バケットに対するs3:GetObject、s3:ListBucket、およびs3:PutObjectアクションを許可するリソースポリシーを作成します。

    この問題を見る →

  83. Q83. セキュリティエンジニアは、ユーザーがキーを直接操作することなく、Amazon S3オブジェクトをシームレスに暗号化できるソリューションを実装しようとしています。このソリューションは、継続的な管理を必要とせず、非常にスケーラブルである必要があります。また、組織は暗号化キーを即座に削除できる必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. AWS KMSとAWS管理キーを使用し、PendingWindowInDaysを0に設定したScheduleKeyDeletion APIを使用して、必要に応じてキーを削除します。
    • B. KMSとAWSにインポートされた鍵材料を使用し、必要に応じてDeleteImportedKeyMaterial APIを使用して鍵材料を削除します。
    • C. AWS CloudHSMを使用してキーを保存し、CloudHSM APIまたはPKCS11ライブラリを使用して、必要に応じてキーを削除します。
    • D. Systems Manager Parameter Storeを使用してキーを保存し、サービスAPI操作を使用して、必要に応じてキーを削除します。

    この問題を見る →

  84. Q84. ある企業のAWS CloudTrailログはすべて、Amazon S3バケットに中央集約されて保存されています。セキュリティチームが企業のAWSアカウントを管理しています。セキュリティチームは、CloudTrailログへの不正アクセスおよび改ざんを防止しなければなりません。 セキュリティチームが取るべき手順の組み合わせはどれですか?(3つ選択)

    • A. AWS KMS管理暗号化キー(SSE-KMS)によるサーバーサイド暗号化を設定します。
    • B. 安全なgzipでログファイルを圧縮します。
    • C. Amazon EventBridgeルールを作成して、CloudTrailログファイルの変更を検知し、セキュリティチームに通知します。
    • D. バケットポリシーを設定して、S3バケットへの最小権限アクセスを実装します。
    • E. CloudTrailログファイルの整合性検証を設定します。
    • F. S3用Access Analyzerを設定します。

    この問題を見る →

  85. Q85. ある企業は、インターネットゲートウェイが接続されていないVPCの単一のプライベートサブネット内に、一連のAmazon EC2インスタンスを保有しています。セキュリティエンジニアは、そのサブネット内のすべてのインスタンスにAmazon CloudWatchエージェントをインストールし、特定のアプリケーションからログを収集しています。ログが安全に送信されるよう、ネットワークチームはCloudWatchモニタリングおよびCloudWatch Logs用のVPCエンドポイントを作成し、VPCにアタッチしました。 アプリケーションはログを生成していますが、セキュリティエンジニアがCloudWatchをクエリしてもログが表示されません。 この問題をトラブルシューティングするために、セキュリティエンジニアが取るべき手順の組み合わせはどれですか?(3つ選択)

    • A. EC2インスタンスにアタッチされたEC2インスタンスプロファイルが、ログストリームの作成およびログの書き込み権限を持っていることを確認します。
    • B. ログをAWSマネジメントコンソールで表示できるように、ログにメトリクスフィルターを作成します。
    • C. 各EC2インスタンス上のCloudWatchエージェント構成ファイルを確認し、エージェントが適切なログファイルを収集していることを確認します。
    • D. 両方のVPCエンドポイントのVPCエンドポイントポリシーを確認し、EC2インスタンスがそれらを使用する権限を持っていることを確認します。
    • E. EC2インスタンスがCloudWatchと通信できるよう、サブネット内にNATゲートウェイを作成します。
    • F. ログを送信する前に集約するために、すべてのEC2インスタンスが相互に通信できるよう、セキュリティグループを設定します。

    この問題を見る →

  86. Q86. 会社Aは、アカウントAという名前のAWSアカウントを持っています。会社Aは最近、アカウントBという名前のAWSアカウントを持つ会社Bを買収しました。会社Bは、Amazon S3バケットにファイルを保存しています。管理者は、アカウントAのユーザーにアカウントBのS3バケットへの完全なアクセス権限を与える必要があります。 管理者がアカウントAのユーザーのIAM権限を調整してアカウントBのS3バケットへのアクセスを可能にした後も、ユーザーはS3バケット内のファイルに一切アクセスできません。 この問題を解決するソリューションはどれですか?

    • A. アカウントBで、アカウントAのユーザーがアカウントBのS3バケットにアクセスできるよう、バケットACLを作成します。
    • B. アカウントBで、アカウントAのユーザーがアカウントBのS3バケット内のすべてのオブジェクトにアクセスできるよう、オブジェクトACLを作成します。
    • C. アカウントBで、アカウントAのユーザーがアカウントBのS3バケットにアクセスできるよう、バケットポリシーを作成します。
    • D. アカウントBで、アカウントAのユーザーがアカウントBのS3バケットにアクセスできるよう、ユーザーポリシーを作成します。

    この問題を見る →

  87. Q87. セキュリティエンジニアは、管理者権限でAWS Lambdaコンソールにログインしています。セキュリティエンジニアは、myFunctionという名前のLambda関数のAmazon CloudWatchログを表示しようとしています。LambdaコンソールでCloudWatchログを表示するオプションを選択すると、「Log Streamsの読み込みエラー」というメッセージが表示されます。Lambda関数の実行ロールのIAMポリシーには、以下のアクションが含まれています。 セキュリティエンジニアは、このエラーをどのように修正すべきですか?

    • A. logs:CreateLogGroupアクションを2番目のAllowステートメントに移動します。
    • B. logs:PutDestinationアクションを2番目のAllowステートメントに追加します。
    • C. logs:GetLogEventsアクションを2番目のAllowステートメントに追加します。
    • D. logs:CreateLogStreamアクションを2番目のAllowステートメントに追加します。

    この問題を見る →

  88. Q88. ある企業は、単一のAmazon EC2インスタンス上で実行されるレガシーアプリケーションを保有しています。セキュリティ監査の結果、このアプリケーションがコード内にIAMアクセスキーを使用して、同じAWSアカウント内のDOC-EXAMPLE-BUCKET1という名前のAmazon S3バケットにアクセスしていることが判明しました。このアクセスキーは、このS3バケット内のすべてのオブジェクトに対するs3:GetObject権限のみを持っています。企業は、アプリケーションがAmazon EC2から他のAWSリソースにアクセスする際のセキュリティポリシーに準拠していないため、アプリケーションをオフラインにしました。 セキュリティエンジニアは、すべてのAWSリージョンでAWS CloudTrailが有効化されていることを検証済みです。CloudTrailは、DOC-EXAMPLE-BUCKET2という名前のS3バケットにログを送信しています。このS3バケットはDOC-EXAMPLE-BUCKET1と同じAWSアカウントにあります。ただし、CloudTrailはAmazon CloudWatch Logsへのログ送信は設定されていません。 企業は、過去60日間に、IAMアクセスキーを使用してDOC-EXAMPLE-BUCKET1内のオブジェクトがアクセスされたかどうかを知りたいと考えています。もしアクセスされていた場合、テキストファイル(.txt拡張子)に個人識別情報(PII)が含まれていたかどうかも知りたいと考えています。 セキュリティエンジニアがこの情報を収集するために取るべき手順の組み合わせはどれですか?(2つ選択)

    • A. Amazon CloudWatch Logs Insightsを使用して、PIIを含むDOC-EXAMPLE-BUCKET1内のオブジェクトを特定し、そのアクセスキーによる利用可能性を確認します。
    • B. Amazon OpenSearch Serviceを使用して、DOC-EXAMPLE-BUCKET2内のCloudTrailログをクエリし、PIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。
    • C. Amazon Athenaを使用して、DOC-EXAMPLE-BUCKET2内のCloudTrailログをクエリし、PIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。
    • D. AWS Identity and Access Management Access Analyzerを使用して、DOC-EXAMPLE-BUCKET1内のPIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。
    • E. Amazon Macieを設定して、PIIを含むDOC-EXAMPLE-BUCKET1内のオブジェクトを特定し、そのアクセスキーによる利用可能性を確認します。

    この問題を見る →

  89. Q89. ある企業は、Amazon EC2インスタンスに基づくカスタマイズされたパブリックAPIサービスを保護するためにAWS WAFを使用しています。このAPIはApplication Load Balancerを使用しています。 AWS WAFのWeb ACLは、AWS Managed Rulesルールグループで設定されています。APIおよびクライアントアプリケーションのソフトウェアアップグレード後、一部の種類のリクエストが機能しなくなり、アプリケーションの安定性に問題が生じています。セキュリティエンジニアは、Web ACLに対してAWS WAFログが有効になっていないことを発見しました。 セキュリティエンジニアは、アプリケーションを即座に復旧させ、問題を解決し、今後ログ設定が無効化されないよう措置する必要があります。セキュリティエンジニアは、Web ACLのログを有効化し、送信先としてAmazon CloudWatch Logsを指定しました。 要件を満たすために、セキュリティエンジニアが追加で実行すべき手順のセットはどれですか?

    • A. Web ACL内のルールを編集して、Countアクションを含むルールを追加します。ログを確認して、どのルールがリクエストをブロックしているかを特定します。すべてのAWS WAF管理者のIAMポリシーを変更し、任意のAWS WAF Web ACLのログ設定を削除できないようにします。
    • B. Web ACL内のルールを編集して、Countアクションを含むルールを追加します。ログを確認して、どのルールがリクエストをブロックしているかを特定します。AWS WAFリソースポリシーを変更し、AWS WAF管理者が任意のAWS WAF Web ACLのログ設定を削除できないようにします。
    • C. Web ACL内のルールを編集して、CountおよびChallengeアクションを含むルールを追加します。ログを確認して、どのルールがリクエストをブロックしているかを特定します。AWS WAFリソースポリシーを変更し、AWS WAF管理者が任意のAWS WAF Web ACLのログ設定を削除できないようにします。
    • D. Web ACL内のルールを編集して、CountおよびChallengeアクションを含むルールを追加します。ログを確認して、どのルールがリクエストをブロックしているかを特定します。すべてのAWS WAF管理者のIAMポリシーを変更し、任意のAWS WAF Web ACLのログ設定を削除できないようにします。

    この問題を見る →

  90. Q90. ある企業は、顧客のニーズを満たすための新たなコンプライアンス要件を実装しています。新たな要件によると、企業は暗号化されていない基盤ストレージを持つAmazon RDS DBインスタンスまたはDBクラスターを一切使用してはなりません。企業は、暗号化されていないDBインスタンスまたはDBクラスターが作成された際に電子メールアラートを生成するソリューションを必要としています。また、このソリューションは暗号化されていないDBインスタンスまたはDBクラスターを終了させる必要があります。 これらの要件を最も運用効率よく満たすソリューションはどれですか?

    • A. 暗号化されていないRDSストレージを検出するためのAWS Configマネージドルールを作成します。自動修復アクションを構成し、AWS Lambda関数と電子メール配信ターゲットをサブスクライバーとするAmazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開します。Lambda関数を構成して、暗号化されていないリソースを削除します。
    • B. 暗号化されていないRDSストレージを検出するためのAWS Configマネージドルールを作成します。手動修復アクションを構成し、AWS Lambda関数を呼び出します。Lambda関数を構成して、Amazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開し、暗号化されていないリソースを削除します。
    • C. RDSイベントパターンを評価し、DBインスタンスまたはDBクラスターの作成によって起動されるAmazon EventBridgeルールを作成します。このルールを、AWS Lambda関数と電子メール配信ターゲットをサブスクライバーとするAmazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開するように構成します。Lambda関数を構成して、暗号化されていないリソースを削除します。
    • D. RDSイベントパターンを評価し、DBインスタンスまたはDBクラスターの作成によって起動されるAmazon EventBridgeルールを作成します。このルールをAWS Lambda関数を呼び出すように構成します。Lambda関数を構成して、Amazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開し、暗号化されていないリソースを削除します。

    この問題を見る →

  91. Q91. ある企業は、オンラインゲーム向けの新しいWebベースのアカウント管理システムを導入しました。プレイヤーは、システムへのログインに使用する一意のユーザー名とパスワードを作成します。企業は、このシステムに対してAWS WAF Web ACLを実装しています。Web ACLには、システムを提供するApplication Load Balancer上で実行されるCore Rule Set (CRS) AWSマネージドルールグループが含まれています。企業のセキュリティチームは、このシステムがクレデンシャルスタッフィング攻撃の標的であったことを発見しました。他の侵害で漏洩したクレデンシャルが、このシステムへのログイン試行に使用されていました。セキュリティチームは、今後クレデンシャルスタッフィング攻撃が成功する可能性を低減するソリューションを実装する必要があります。また、このソリューションは、システムの正当なユーザーへの影響を最小限に抑える必要があります。 これらの要件を満たすアクションの組み合わせはどれですか?(2つ選択)

    • A. 単一のIPアドレスからの成功したログイン応答の数を分析するためのAmazon CloudWatchカスタムメトリクスを作成します。
    • B. Web ACLにアカウント乗っ取り防止(ATP)AWSマネージドルールグループを追加します。このルールグループを、システムへのログインリクエストを検査するように構成します。awswaf:managed:aws:atp:signal:credential_compromisedラベルを持つリクエストをブロックします。
    • C. すべてのユーザーがログイン時にCAPTCHAパズルを解くことを要求するデフォルトWeb ACLアクションを設定します。
    • D. 多数の成功したログイン応答を生成するIPアドレスに対して、Web ACLでIPベースのマッチルールを構成します。多数の成功したログインを生成するIPアドレスをブロックします。
    • E. ユーザーを安全なワークフローにリダイレクトするカスタムブロックレスポンスを作成し、システム内でパスワードを再設定できるようにします。

    この問題を見る →

  92. Q92. スタートアップ企業は、単一のAWSリージョンにリソースを持つ単一のAWSアカウントを使用しています。セキュリティエンジニアは、AWS CLIを使用して同じリージョンにAWS CloudTrailトレールを構成し、ログファイルをAmazon S3バケットに配信しています。 事業拡大に伴い、企業は複数のリージョンにリソースを追加しました。セキュリティエンジニアは、新規リージョンからのログがS3バケットに到達していないことに気づきました。 この問題を最小限の運用オーバーヘッドで修正するには、セキュリティエンジニアは何を行うべきですか?

    • A. 新しいCloudTrailトレールを作成します。企業がリソースを追加した新規リージョンを選択します。
    • B. S3バケットを変更し、すべてのリージョンからのすべてのアクションを追跡する通知を受信できるようにします。
    • C. すべてのリージョンに適用される新しいCloudTrailトレールを作成します。
    • D. 既存のCloudTrailトレールを変更し、すべてのリージョンに適用されるようにします。

    この問題を見る →

  93. Q93. ある企業は、AWS Organizationsを使用して、人事、財務、ソフトウェア開発、および本番部門の複数のAWSアカウントを管理しています。すべての開発者はソフトウェア開発AWSアカウントに所属しています。 企業は、開発者が承認されていないソフトウェアが事前に設定されたAmazon EC2インスタンスを起動したことを発見しました。企業は、開発者が承認済みのソフトウェアアプリケーションのみを含むEC2インスタンスを、ソフトウェア開発AWSアカウント内でのみ起動できるようにするソリューションを実装したいと考えています。 これらの要件を満たすソリューションはどれですか?

    • A. ソフトウェア開発アカウントで、承認済みソフトウェアのみを含む事前設定済みインスタンスのAMIを作成します。AWSリージョンに基づいて適切なAMIを起動するため、AWS CloudFormationテンプレートの条件セクションにAMI IDを含めます。開発者にこのCloudFormationテンプレートを提供し、ソフトウェア開発アカウント内でEC2インスタンスを起動できるようにします。
    • B. ソフトウェア開発アカウントでEC2 RunInstances APIイベントが発生した際に実行されるAmazon EventBridgeルールを作成します。ルールのターゲットとしてAWS Systems Manager Run Commandを指定します。Run Commandを構成し、開発者が起動したインスタンスにすべての承認済みソフトウェアをインストールするスクリプトを実行します。
    • C. 承認済みソフトウェアのみを含む適切なAMIを備えたEC2製品を含むAWS Service Catalogポートフォリオを使用します。開発者にService Catalogポートフォリオへのアクセス権限のみを付与し、ソフトウェア開発アカウント内で製品を起動できるようにします。
    • D. 管理アカウントで、承認済みソフトウェアのみを含む事前設定済みインスタンスのAMIを作成します。AWS CloudFormation StackSetsを使用して、組織内の任意のAWSアカウントにAMIを展開します。開発者に管理アカウント内でスタックセットを起動する権限を付与します。

    この問題を見る →

  94. Q94. ある企業は、AWSベストプラクティスに従ってAWSアカウントのルートユーザーをセキュアにしています。また、AWS CloudTrailを有効化し、そのログをAmazon S3に送信しています。セキュリティエンジニアは、AWSアカウントのルートユーザー資格情報を使用してAWS Management Consoleにサインインした場合に、ニアリアルタイムで通知を受け取りたいと考えています。 この通知を提供するソリューションはどれですか?(2つ選択)

    • A. AWS Trusted Advisorとそのルートアカウントに関するセキュリティ評価を使用します。Trusted Advisor APIによって呼び出されるAmazon EventBridgeイベントルールを構成します。このルールをAmazon Simple Notification Service (Amazon SNS)トピックをターゲットとするように構成します。必要なエンドポイントをこのSNSトピックにサブスクライブして、通知を受信できるようにします。
    • B. AWS IAM Access Analyzerを使用します。Access Analyzerから取得したログエントリを評価するAmazon CloudWatch Logsメトリクスフィルターを作成し、ルートアカウントの成功したログインを検出します。ルートログインが発生したかどうかを監視するAmazon CloudWatchアラームを作成します。このCloudWatchアラームがALARM状態になったときにAmazon Simple Notification Service (Amazon SNS)トピックに通知するように構成します。必要なエンドポイントをこのSNSトピックにサブスクライブして、通知を受信できるようにします。
    • C. AWS CloudTrailがそのログをAmazon CloudWatch Logsに送信するように構成します。CloudTrailで使用されるCloudWatch Logsロググループにメトリクスフィルターを構成し、成功したルートアカウントログインのログエントリを評価します。ルートログインが発生したかどうかを監視するAmazon CloudWatchアラームを作成します。このCloudWatchアラームがALARM状態になったときにAmazon Simple Notification Service (Amazon SNS)トピックに通知するように構成します。必要なエンドポイントをこのSNSトピックにサブスクライブして、通知を受信できるようにします。
    • D. AWS CloudTrailがログ通知をAmazon Simple Notification Service (Amazon SNS)トピックに送信するように構成します。CloudTrail通知を解析してルートログイン活動を検出し、通知を受信すべきエンドポイントを含む別のSNSトピックに通知するAWS Lambda関数を作成します。このLambda関数を、CloudTrailからログ通知を受信するSNSトピックにサブスクライブします。
    • E. 成功したルートログインのためのAmazon CloudWatch API呼び出しが記録されたときに実行されるAmazon EventBridgeイベントルールを構成します。このルールをAmazon Simple Notification Service (Amazon SNS)トピックをターゲットとするように構成します。必要なエンドポイントをこのSNSトピックにサブスクライブして、通知を受信できるようにします。

    この問題を見る →

  95. Q95. ある企業は、機密データを保護するためのコントロールを調査しています。企業は、アプリケーションコンポーネントからカスタムログサービスへメッセージを公開するためにAmazon Simple Notification Service (Amazon SNS)トピックを使用しています。 企業は、アプリケーションコンポーネントが機密データを含むメッセージを公開し、それが取引ログやデバッグログで誤って公開される可能性があることを懸念しています。 これらのメッセージ内の機密データを誤った公開から保護するソリューションはどれですか?

    • A. Amazon Macieを使用して、SNSメッセージ内の機密データ要素をSNSトピックでスキャンします。Macieが新しい検出結果を記録した際に、メッセージ内の機密データをマスクするAWS Lambda関数を作成します。
    • B. 着信メッセージデータ保護ポリシーを構成します。このポリシーには、メッセージ内の機密データをマスクするDe-identify操作を含めます。このポリシーをSNSトピックに適用します。
    • C. SNSトピックをAWS Key Management Service (AWS KMS)のカスタマーマネージドキーで構成し、メッセージ内のデータ要素を暗号化します。すべてのメッセージ発行者IAMロールに、データを暗号化するためのキーへのアクセス権限を付与します。
    • D. SNSトピックに送信される機密データについてAmazon GuardDutyの検出を作成します。SNSトピックのサブスクライバーへの配信をブロックするAWS Security Hubのカスタム修復アクションを作成します。

    この問題を見る →

  96. Q96. セキュリティエンジニアは、特定のプリンシパルのみがAmazon S3バケットにオブジェクトを配置できるようにするアカウントベースのアクセス制御(ABAC)を設定しています。プリンシパルはすでにAmazon S3へのアクセス権限を持っています。 セキュリティエンジニアは、プリンシパルがS3バケットにオブジェクトを配置できるのは、オブジェクトのTeamタグの値がプリンシパルに関連付けられたTeamタグの値と一致する場合のみであるようなバケットポリシーを設定する必要があります。テスト中に、セキュリティエンジニアは、タグ値が一致しない場合でもプリンシパルがS3バケットにオブジェクトを配置できることに気づきました。 タグ値が異なる場合にもPutObject操作が成功する原因となる要因の組み合わせはどれですか?(2つ選択)

    • A. プリンシパルのIDベースポリシーが、条件なしでS3バケットへのオブジェクト配置を許可しています。
    • B. プリンシパルのIDベースポリシーが、明示的な許可を含むため、条件を上書きしています。
    • C. S3バケットのリソースポリシーが、オブジェクト配置へのアクセスを拒否していません。
    • D. S3バケットのリソースポリシーは、プリンシパルに対するアクションを許可できません。
    • E. バケットポリシーは、同じ信頼ゾーン内のプリンシパルには適用されません。

    この問題を見る →

  97. Q97. セキュリティエンジニアが、AWS CloudFormationテンプレートの脆弱性を確認しています。その結果、アプリケーションのAPIキーを平文で露出するデフォルト値を持つパラメータを発見しました。このパラメータはテンプレート全体で複数回参照されています。セキュリティエンジニアは、テンプレート内での値参照機能を維持しつつ、このパラメータを置き換える必要があります。 これらの要件を、最も安全な方法で満たす解決策はどれですか?

    • A. APIキーの値をAWS Systems Manager Parameter StoreのSecureStringパラメータとして保存します。テンプレート内で、値へのすべての参照を{{resolve:ssm:MySSMParameterName:1}}に置き換えます。
    • B. APIキーの値をAWS Secrets Managerに保存します。テンプレート内で、値へのすべての参照を{{resolve:secretsmanager:MySecretId:SecretString}}に置き換えます。
    • C. APIキーの値をAmazon DynamoDBに保存します。テンプレート内で、値へのすべての参照を{{resolve:dynamodb:MyTableName:MyPrimaryKey}}に置き換えます。
    • D. APIキーの値を新しいAmazon S3バケットに保存します。テンプレート内で、値へのすべての参照を{{resolve:s3:MyBucketName:MyObjectName}}に置き換えます。

    この問題を見る →

  98. Q98. 企業のVPCとオンプレミスデータセンター間の接続を保護する際、セキュリティエンジニアがオンプレミスホスト(IPアドレス203.0.113.12)からAmazon EC2インスタンス(IPアドレス172.31.16.139)へpingコマンドを送信しました。しかし、pingコマンドは応答を返しませんでした。VPCのフローログには以下の記録がありました。 pingが正常に動作するようにするには、どのアクションを実行すべきですか?

    • A. EC2インスタンスのセキュリティグループで、着信ICMPトラフィックを許可します。
    • B. EC2インスタンスのセキュリティグループで、発信ICMPトラフィックを許可します。
    • C. VPCのネットワークACL(NACL)で、着信ICMPトラフィックを許可します。
    • D. VPCのネットワークACL(NACL)で、発信ICMPトラフィックを許可します。

    この問題を見る →

  99. Q99. セキュリティエンジニアは最近、AWSアカウント内のすべてのIAMアクセスキーをローテーションしました。その後、AWS Configを設定し、以下のAWS Configマネージドルールを有効化しました:mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated、およびiam-user-unused-credentials-check。 IAM GenerateCredentialReport API操作を呼び出した後、セキュリティエンジニアはすべてのリソースが非準拠(noncompliant)として表示されることに気づきました。 この非準拠ステータスの原因として考えられるのは何ですか?

    • A. IAM資格情報レポートは過去4時間以内に生成されました。
    • B. セキュリティエンジニアにはGenerateCredentialReport権限がありません。
    • C. セキュリティエンジニアにはGetCredentialReport権限がありません。
    • D. AWS ConfigルールのMaximum ExecutionFrequency値は24時間です。

    この問題を見る →

  100. Q100. ある企業は、Application Load Balancer(ALB)の背後で実行されるWebベースのアプリケーションを保有しています。このアプリケーションは、多数の失敗したログイン試行を生む認証情報詰め込み攻撃(credential stuffing attack)を受けています。攻撃は多数のIPアドレスから発生しており、ログイン試行には既知のモバイルデバイスエミュレータのユーザーエージェント文字列が使用されています。 セキュリティエンジニアは、この認証情報詰め込み攻撃を緩和するソリューションを実装する必要があります。ただし、正当なユーザーによるアプリケーションへのログインは引き続き許可しなければなりません。 これらの要件を満たすソリューションはどれですか?

    • A. 指定されたユーザーエージェント文字列を含むログイン試行に反応するAmazon CloudWatchアラームを作成します。アラームにAmazon Simple Notification Service(Amazon SNS)トピックを追加します。
    • B. ALBの着信セキュリティグループを変更し、攻撃に関与しているIPアドレスからのトラフィックを拒否します。
    • C. ALB向けにAWS WAFウェブACLを作成します。デバイスエミュレータのユーザーエージェント文字列を含むリクエストをブロックするカスタムルールを作成します。
    • D. ALB向けにAWS WAFウェブACLを作成します。正当なユーザーエージェント文字列からのリクエストを許可するカスタムルールを作成します。

    この問題を見る →