Q58 — AWS SCS-C02 第1章

第 58/100 問 | ← 第1章

ある企業は、アプリケーションのデータベースエンジンとしてAmazon RDS for MySQLを使用しています。最近のセキュリティ監査で、静止時のデータ暗号化に関する企業ポリシーに準拠していないRDSインスタンスが明らかになりました。同社のセキュリティエンジニアは、既存のすべてのRDSデータベースがサーバー側暗号化で暗号化されることを保証し、今後ポリシーからの逸脱を検出できるようにする必要があります。 この目的を達成するために、セキュリティエンジニアが取るべき手順の組み合わせはどれですか?

正解: A. 暗号化されていないRDSデータベースの作成を検出するAWS Configルールを作成します。AWS Configルールのコンプライアンス状態変更をトリガーとするAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティ運用チームに通知します。, D. 暗号化されていないRDSデータベースのスナップショットを作成します。スナップショットをコピーし、そのプロセスでスナップショットの暗号化を有効化します。新しく作成された暗号化済みスナップショットからデータベースインスタンスを復元します。暗号化されていないデータベースインスタンスを終了します。

解説

既存の暗号化されていないRDSデータベースに対しては、まずスナップショットを作成し、そのスナップショットをコピーして暗号化を有効化することで暗号化済みスナップショットを生成し、その後その暗号化済みスナップショットから新しいデータベースインスタンスを復元し、元の暗号化されていないインスタンスを終了させる必要があります。これは選択肢Dに対応します。今後の暗号化されていないデータベースの作成を防止するためには、新規RDSデータベースの暗号化状態を監視するAWS Configルールを作成し、暗号化されていないインスタンスの作成を検出する必要があります。さらに、Configルールが非準拠状態に変更された際にEventBridgeルールをトリガーし、Amazon SNS経由でセキュリティ運用チームに通知する設定を行う必要があります。これは選択肢Aに対応します。