Q95 — AWS SCS-C02 第1章

第 95/100 問 | ← 第1章

ある企業は、機密データを保護するためのコントロールを調査しています。企業は、アプリケーションコンポーネントからカスタムログサービスへメッセージを公開するためにAmazon Simple Notification Service (Amazon SNS)トピックを使用しています。 企業は、アプリケーションコンポーネントが機密データを含むメッセージを公開し、それが取引ログやデバッグログで誤って公開される可能性があることを懸念しています。 これらのメッセージ内の機密データを誤った公開から保護するソリューションはどれですか?

正解: B. 着信メッセージデータ保護ポリシーを構成します。このポリシーには、メッセージ内の機密データをマスクするDe-identify操作を含めます。このポリシーをSNSトピックに適用します。

解説

この問題は、Amazon SNSのデータ保護機能、特にメッセージコンテンツ内の機密情報の処理に関係しています。AWS公式ドキュメントによると、SNSは着信メッセージポリシーを構成でき、その中の「De-identify」操作(例:マスキング)により、機密フィールドをリアルタイムで脱敏できます。選択肢Bは、メッセージの公開時に即座に機密データを処理するため、ログへの平文露出を防ぎます。選択肢Aは、後からスキャンしてLambdaで処理するため遅延があり、選択肢Cの暗号化は暗号文がログに記録されるリスクを排除できません。選択肢Dは検出後の対応であり、リアルタイムでの配信阻止はできません。正しい方法は、事前にポリシーを構成して即時脱敏することです。