Q96 — AWS SOA-C02 第1章

第 96/100 問 | ← 第1章

ある会社が、AWS上に完全に構築されたシステムについて外部監査を受けています。SysOps管理者は、AWSが管理するインフラストラクチャに関するPayment Card Industry Data Security Standard(PCI DSS)適合性の文書を提供する必要があります。 この要件を満たすために、SysOps管理者が取るべき一連のアクションはどれですか?

正解: A. AWS Artifactポータルから該当する報告書をダウンロードし、監査担当者に提供します。

解説

AWS Artifactは、AWSサービスの適合性証明を取得するための公式ソースであり、ユーザーはこのポータルからPCI DSSなどの適合性報告書をダウンロードできます。選択肢AはAWSが提供する適合性文書を直接使用するものであり、監査要件を満たします。選択肢BおよびCの内容はユーザー自身のログであり、AWSインフラストラクチャの適合性証明としては不十分です。選択肢Dはセキュリティリスクを伴い、監査規範に反します。AWSの責任共有モデルでは、AWSが基盤インフラストラクチャの適合性を保証し、ユーザーはArtifactから関連報告書を取得することでこれを証明できます。AWS公式ドキュメントでは、顧客は第三者監査の根拠としてArtifact内の適合性報告書を使用すべきと明記されています。