Q36 — AWS SCS-C02 第1章
第 36/100 問 | ← 第1章
ある企業は、データセンターからAmazon Elastic Container Service(Amazon ECS)クラスターへコンテナワークロードを移行しています。この企業は、ワークロード内の潜在的脅威を検出し、コンテナクラスターのセキュリティ体制を強化するソリューションを実装する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. ECSクラスターを実行しているVPCでAmazon Inspectorを設定します。
- B. ECSクラスターでAmazon GuardDuty Runtime Monitoringを有効化します。 ✓
- C. Amazon CloudWatch Logsを使用してAmazon ECS APIアクセスを監査し、不正なアクセスを特定します。
- D. 同じVPC内にコンテナクラスターを作成します。VPCフローログを使用してネットワークトラフィックを集中監視します。
正解: B. ECSクラスターでAmazon GuardDuty Runtime Monitoringを有効化します。
解説
本問は、Amazon ECSコンテナクラスターのセキュリティ体制の強化および潜在的脅威の検出を要求しています。Amazon GuardDuty Runtime Monitoringは、コンテナ向けに専門設計されており、ランタイム環境における悪意のある活動、異常なAPI呼び出し、疑わしいプロセス動作(例:暗号通貨マイニング、権限昇格など)を継続的にスキャンします。これはECSクラスターに直接統合され、追加のエージェント設定を必要とせず、コンテナ固有の脅威を検出できます。AWS公式ドキュメントでは、GuardDuty Runtime Monitoringがコンテナワークロードに対する脅威検出能力を強化すると明記されています。選択肢AのAmazon Inspectorは脆弱性評価に重点を置いており、リアルタイムの脅威監視ではありません。選択肢CのCloudWatchによるAPIログ監査は受動的な分析に過ぎません。選択肢DのVPCフローログはネットワークトラフィックのみを監視し、コンテナ内部の脅威を検出できません。