Q84 — AWS SCS-C02 第1章

第 84/100 問 | ← 第1章

ある企業のAWS CloudTrailログはすべて、Amazon S3バケットに中央集約されて保存されています。セキュリティチームが企業のAWSアカウントを管理しています。セキュリティチームは、CloudTrailログへの不正アクセスおよび改ざんを防止しなければなりません。 セキュリティチームが取るべき手順の組み合わせはどれですか?(3つ選択)

正解: A. AWS KMS管理暗号化キー(SSE-KMS)によるサーバーサイド暗号化を設定します。, D. バケットポリシーを設定して、S3バケットへの最小権限アクセスを実装します。, E. CloudTrailログファイルの整合性検証を設定します。

解説

AWS公式ドキュメントによると、CloudTrailログの保護には、ログファイルの整合性検証(E)を有効化して改ざんを検出すること、SSE-KMS(A)を用いて静的データを暗号化すること、および最小権限のS3バケットポリシー(D)を適用してアクセスを制限することが推奨されています。選択肢Bの圧縮はセキュリティに寄与せず、Cの監視は受動的な対応であり、Fはアクセス分析を行うものの直接的な防止策ではありません。ベストプラクティスとして、暗号化、アクセス制御、整合性検証の3つを組み合わせた防御がコアとなります。[AWS Security Best PracticesおよびCloudTrail User Guideを参照]