Q84 — AWS SCS-C02 第1章
第 84/100 問 | ← 第1章
ある企業のAWS CloudTrailログはすべて、Amazon S3バケットに中央集約されて保存されています。セキュリティチームが企業のAWSアカウントを管理しています。セキュリティチームは、CloudTrailログへの不正アクセスおよび改ざんを防止しなければなりません。 セキュリティチームが取るべき手順の組み合わせはどれですか?(3つ選択)
- A. AWS KMS管理暗号化キー(SSE-KMS)によるサーバーサイド暗号化を設定します。 ✓
- B. 安全なgzipでログファイルを圧縮します。
- C. Amazon EventBridgeルールを作成して、CloudTrailログファイルの変更を検知し、セキュリティチームに通知します。
- D. バケットポリシーを設定して、S3バケットへの最小権限アクセスを実装します。 ✓
- E. CloudTrailログファイルの整合性検証を設定します。 ✓
- F. S3用Access Analyzerを設定します。
正解: A. AWS KMS管理暗号化キー(SSE-KMS)によるサーバーサイド暗号化を設定します。, D. バケットポリシーを設定して、S3バケットへの最小権限アクセスを実装します。, E. CloudTrailログファイルの整合性検証を設定します。
解説
AWS公式ドキュメントによると、CloudTrailログの保護には、ログファイルの整合性検証(E)を有効化して改ざんを検出すること、SSE-KMS(A)を用いて静的データを暗号化すること、および最小権限のS3バケットポリシー(D)を適用してアクセスを制限することが推奨されています。選択肢Bの圧縮はセキュリティに寄与せず、Cの監視は受動的な対応であり、Fはアクセス分析を行うものの直接的な防止策ではありません。ベストプラクティスとして、暗号化、アクセス制御、整合性検証の3つを組み合わせた防御がコアとなります。[AWS Security Best PracticesおよびCloudTrail User Guideを参照]