Q40 — AWS SCS-C02 第1章

第 40/100 問 | ← 第1章

ある企業は、Application Load Balancer(ALB)の背後にAmazon EC2インスタンスで実行されるアプリケーションを所有しています。これらのインスタンスは、Amazon EC2 Auto Scalingグループにあり、Amazon Elastic Block Store(Amazon EBS)ボリュームに接続されています。セキュリティエンジニアは、そのうち1つのインスタンスからすべてのフォレンジック証拠を保持する必要があります。 この要件を満たすために、セキュリティエンジニアが使用すべきステップの順序はどれですか?

正解: C. インスタンスをAuto Scalingグループから分離します。ALBからインスタンスを登録解除します。インスタンスのEBSボリュームスナップショットを取得し、スナップショットをAmazon S3バケットに保存します。インスタンスのメモリスナップショットを取得し、スナップショットをS3バケットに保存します。インスタンスを停止します。

解説

本問は、AWS環境におけるセキュリティフォレンジック処理の正しい手順順序を問うものです。AWSドキュメントによると、EC2インスタンスのフォレンジック証拠を保持する際、最初に揮発性データ(例:メモリスナップショット)を取得することが重要です。なぜなら、インスタンスを停止するとメモリデータが失われるためです。選択肢Bは、まずメモリスナップショットを取得し、その後インスタンスを停止してEBSスナップショットを生成するという、データの完全性を確保する正しい順序を踏んでいます。他の選択肢では、インスタンス停止後にメモリスナップショットを取得する(例:選択肢D)か、負荷分散からの分離が不適切(例:選択肢AおよびC)といった、フォレンジック手順に反する操作順序になっています。