Q78 — AWS SCS-C02 第1章
第 78/100 問 | ← 第1章
ある会社は、AWSアカウント内の単一VPC内で複数のアプリケーションをホストしています。これらのアプリケーションは、AWS WAF Web ACLと関連付けられたApplication Load Balancerの背後で実行されています。同社のセキュリティチームは、インターネット上の特定のIPアドレス範囲から複数のポートスキャンが発生していることを特定しました。 セキュリティエンジニアは、悪意のあるIPアドレスからのアクセスを拒否する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. AWS WAF Web ACLをIPセットマッチルールステートメントで変更し、IPアドレス範囲からの着信リクエストを拒否する。 ✓
- B. すべてのセキュリティグループにルールを追加して、IPアドレス範囲からの着信リクエストを拒否する。
- C. AWS WAF Web ACLをレートベースルールステートメントで変更し、IPアドレス範囲からの着信リクエストを拒否する。
- D. AWS WAF Web ACLを正規表現(regex)マッチ条件で設定する。マッチ条件に基づきリクエストを拒否するパターンセットを指定する。
正解: A. AWS WAF Web ACLをIPセットマッチルールステートメントで変更し、IPアドレス範囲からの着信リクエストを拒否する。
解説
本問は、AWS環境で特定のIPアドレス範囲からのアクセスをブロックするための適切なサービス機能を選択するものです。AWS WAFが提供するIPセットマッチルールは、ソースIPアドレス範囲に基づいてリクエストを直接フィルタリングすることを可能にし、既知の悪意のあるIPを遮断するシナリオに最適です。セキュリティグループ(選択肢B)はインスタンスレベルのトラフィック制御に使用されますが、複数のセキュリティグループを管理するのは非効率であり、見落としが発生する可能性があります。レートベースルール(選択肢C)はリクエスト頻度を制限するものであり、固定IP範囲のブロックには適していません。正規表現マッチ(選択肢D)はリクエストのコンテンツを検査するものであり、IPアドレスのブロックには使用できません。AWS公式ドキュメントでは、このような要件に対する標準的な手法としてIPマッチルールが明記されています。選択肢Aはこの機能を直接活用し、指定IPからのアクセスを効果的に遮断します。