Q57 — AWS SCS-C02 第1章
第 57/100 問 | ← 第1章
医療会社が最近買収を完了し、既存のAWS環境を継承しました。同社は今後の監査を控えており、買収対象のコンプライアンス状況を懸念しています。同社はAmazon S3バケット内に個人健康情報(PHI)を特定する必要があり、またパブリックにアクセス可能なS3バケットを特定する必要があります。同社は監査に備えて、環境内の証拠を収集する必要があります。 これらの要件を満たすために、最も運用オーバーヘッドが少ない手順の組み合わせはどれですか?(3つ選択してください。)
- A. Amazon Macieを有効化します。PERSONAL_INFORMATIONマネージドデータ識別子を使用したオンデマンド機密データ検出ジョブを実行します。 ✓
- B. AWS GlueとDetect PIIトランスフォームを使用して機密データを特定し、機密データをマスクします。
- C. AWS Audit Managerを有効化します。サポートされているフレームワークを使用してアセスメントを作成します。
- D. Amazon GuardDuty S3 Protectionを有効化します。S3バケットへの不審なアクセスに関連する検出結果を文書化します。
- E. AWS Security Hubを有効化します。AWS基礎セキュリティベストプラクティス標準を使用します。失敗したS3 Block Public Accessコントロールの証拠を確認するために、コントロールダッシュボードをレビューします。 ✓
- F. AWS Configを有効化します。s3-bucket-public-write-prohibited AWS Configマネージドルールを設定します。 ✓
正解: A. Amazon Macieを有効化します。PERSONAL_INFORMATIONマネージドデータ識別子を使用したオンデマンド機密データ検出ジョブを実行します。, E. AWS Security Hubを有効化します。AWS基礎セキュリティベストプラクティス標準を使用します。失敗したS3 Block Public Accessコントロールの証拠を確認するために、コントロールダッシュボードをレビューします。, F. AWS Configを有効化します。s3-bucket-public-write-prohibited AWS Configマネージドルールを設定します。
解説
Amazon Macieは、機械学習を用いてAWS内の機密データ(例:個人健康情報PHI)を自動的に発見・分類・保護する専用サービスです。事前定義されたPERSONAL_INFORMATION識別子を使用することで、S3バケットを迅速にスキャンできます(AWS公式ドキュメント:Amazon Macie機能)。AWS Security Hubは、複数のサービスのセキュリティステータスを統合し、AWS基礎セキュリティベストプラクティス標準を使用することで、S3のパブリックアクセス制御設定を自動的にチェックし、直接的なコンプライアンス証拠を生成します(AWS Security Hubユーザーガイド)。AWS Configは、構成リソースがルールに準拠しているかを継続的に評価し、s3-bucket-public-write-prohibitedマネージドルールにより、パブリックに書き込み可能なバケットを自動的に検出し報告します(AWS Config開発者ガイド)。選択肢Bはデータ処理を含むため単なる識別には不適、選択肢CおよびDは監査フレームワークや脅威検出に焦点を当てており、本問で求められる直接的な証拠収集シナリオとの適合度が低いです。