Q88 — AWS SCS-C02 第1章
第 88/100 問 | ← 第1章
ある企業は、単一のAmazon EC2インスタンス上で実行されるレガシーアプリケーションを保有しています。セキュリティ監査の結果、このアプリケーションがコード内にIAMアクセスキーを使用して、同じAWSアカウント内のDOC-EXAMPLE-BUCKET1という名前のAmazon S3バケットにアクセスしていることが判明しました。このアクセスキーは、このS3バケット内のすべてのオブジェクトに対するs3:GetObject権限のみを持っています。企業は、アプリケーションがAmazon EC2から他のAWSリソースにアクセスする際のセキュリティポリシーに準拠していないため、アプリケーションをオフラインにしました。 セキュリティエンジニアは、すべてのAWSリージョンでAWS CloudTrailが有効化されていることを検証済みです。CloudTrailは、DOC-EXAMPLE-BUCKET2という名前のS3バケットにログを送信しています。このS3バケットはDOC-EXAMPLE-BUCKET1と同じAWSアカウントにあります。ただし、CloudTrailはAmazon CloudWatch Logsへのログ送信は設定されていません。 企業は、過去60日間に、IAMアクセスキーを使用してDOC-EXAMPLE-BUCKET1内のオブジェクトがアクセスされたかどうかを知りたいと考えています。もしアクセスされていた場合、テキストファイル(.txt拡張子)に個人識別情報(PII)が含まれていたかどうかも知りたいと考えています。 セキュリティエンジニアがこの情報を収集するために取るべき手順の組み合わせはどれですか?(2つ選択)
- A. Amazon CloudWatch Logs Insightsを使用して、PIIを含むDOC-EXAMPLE-BUCKET1内のオブジェクトを特定し、そのアクセスキーによる利用可能性を確認します。
- B. Amazon OpenSearch Serviceを使用して、DOC-EXAMPLE-BUCKET2内のCloudTrailログをクエリし、PIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。
- C. Amazon Athenaを使用して、DOC-EXAMPLE-BUCKET2内のCloudTrailログをクエリし、PIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。 ✓
- D. AWS Identity and Access Management Access Analyzerを使用して、DOC-EXAMPLE-BUCKET1内のPIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。
- E. Amazon Macieを設定して、PIIを含むDOC-EXAMPLE-BUCKET1内のオブジェクトを特定し、そのアクセスキーによる利用可能性を確認します。 ✓
正解: C. Amazon Athenaを使用して、DOC-EXAMPLE-BUCKET2内のCloudTrailログをクエリし、PIIを含むオブジェクトにアクセスするためにアクセスキーが使用されたAPI呼び出しを特定します。, E. Amazon Macieを設定して、PIIを含むDOC-EXAMPLE-BUCKET1内のオブジェクトを特定し、そのアクセスキーによる利用可能性を確認します。
解説
CloudTrailログはS3のDOC-EXAMPLE-BUCKET2に保存されており、CloudWatch Logsへの送信は設定されていません。AthenaはS3内のCloudTrailログを直接SQLクエリで検索可能であり、指定されたアクセスキーによるs3:GetObjectイベントをフィルタリングできます。Macieは機械学習を用いてS3オブジェクト内のPIIデータを自動検出でき、.txt拡張子のフィルタリング条件を適用することで、機密ファイルを特定できます。Athenaはアクセス記録の分析を行い、Macieはコンテンツ分析を行うため、両者は補完関係にあり、監査要件を満たします。選択肢B/Dは未設定のサービスに依存しており、Aはログソースが不明確なため技術的条件を満たしません。