Q91 — AWS SCS-C02 第1章
第 91/100 問 | ← 第1章
ある企業は、オンラインゲーム向けの新しいWebベースのアカウント管理システムを導入しました。プレイヤーは、システムへのログインに使用する一意のユーザー名とパスワードを作成します。企業は、このシステムに対してAWS WAF Web ACLを実装しています。Web ACLには、システムを提供するApplication Load Balancer上で実行されるCore Rule Set (CRS) AWSマネージドルールグループが含まれています。企業のセキュリティチームは、このシステムがクレデンシャルスタッフィング攻撃の標的であったことを発見しました。他の侵害で漏洩したクレデンシャルが、このシステムへのログイン試行に使用されていました。セキュリティチームは、今後クレデンシャルスタッフィング攻撃が成功する可能性を低減するソリューションを実装する必要があります。また、このソリューションは、システムの正当なユーザーへの影響を最小限に抑える必要があります。 これらの要件を満たすアクションの組み合わせはどれですか?(2つ選択)
- A. 単一のIPアドレスからの成功したログイン応答の数を分析するためのAmazon CloudWatchカスタムメトリクスを作成します。 ✓
- B. Web ACLにアカウント乗っ取り防止(ATP)AWSマネージドルールグループを追加します。このルールグループを、システムへのログインリクエストを検査するように構成します。awswaf:managed:aws:atp:signal:credential_compromisedラベルを持つリクエストをブロックします。 ✓
- C. すべてのユーザーがログイン時にCAPTCHAパズルを解くことを要求するデフォルトWeb ACLアクションを設定します。
- D. 多数の成功したログイン応答を生成するIPアドレスに対して、Web ACLでIPベースのマッチルールを構成します。多数の成功したログインを生成するIPアドレスをブロックします。
- E. ユーザーを安全なワークフローにリダイレクトするカスタムブロックレスポンスを作成し、システム内でパスワードを再設定できるようにします。
正解: A. 単一のIPアドレスからの成功したログイン応答の数を分析するためのAmazon CloudWatchカスタムメトリクスを作成します。, B. Web ACLにアカウント乗っ取り防止(ATP)AWSマネージドルールグループを追加します。このルールグループを、システムへのログインリクエストを検査するように構成します。awswaf:managed:aws:atp:signal:credential_compromisedラベルを持つリクエストをブロックします。
解説
AWS WAFにおけるクレデンシャルスタッフィング攻撃の防御には、異常なログイン行動の検出とマネージドルールグループの活用が含まれます。AWSドキュメントによると、ATPルールグループは脅威インテリジェンスを分析して漏洩クレデンシャルを識別し、関連リクエストをブロックします。選択肢AのCloudWatchカスタムメトリクスは、単一IPからの成功ログイン回数を監視することで異常パターンを検出し、選択肢BのATPルールグループは既知の漏洩クレデンシャルを含むリクエストを直接ブロックします。この2つを併用することで、正当なユーザーへの影響を最小限に抑えつつセキュリティを強化できます。選択肢CのCAPTCHAはユーザーエクスペリエンスを損なう可能性があり、選択肢DのIPブロッキングは正当なユーザーを誤ってブロックするリスクがあります。選択肢Eのパスワード再設定フローは攻撃を直接阻止しません。