AWS認定セキュリティ-スペシャリティ【SCS-C02版】100題 問題集全問解答+全問解説付き
AWS認定セキュリティ-スペシャリティ【SCS-C02版】の過去問100題を全問解答+全問解説付き
AWS Certified Security - Specialty(SCS-C02) の最新の問題になります。
筆者が実際に受験して、問題を収集し解答とその解説を全問付けております。
問題数は合計100題。
実際に受験し、重複問題や類似問題を削除しています。
この100問の問題の解答を理解できれば、ほぼ間違いなく、合格すると思います。
ここから問題と解答/解説になります。
100題、全問解答+全問解説付きになります。
1.
大企業のセキュリティ エンジニアは、1,500 の子会社が使用するデータ処理アプリケーションを管理しています。親会社と子会社はすべて AWS を使用しています。アプリケーションは TCP ポート 443 を使用し、Network Load Balancer (NLB) の背後にある Amazon EC2 で実行されます。
コンプライアンス上の理由から、アプリケーションは子会社のみがアクセスできるようにし、公共のインターネットでは利用できないようにする必要があります。制限付きアクセスのコンプライアンス要件を満たすために、エンジニアは各子会社のパブリックおよびプライベート CIDR ブロック範囲を受け取りました。エンジニアは、アプリケーションに適切なアクセス制限を実装するためにどのソリューションを使用する必要がありますか?
A. NLB にアタッチされた親会社のアカウントで AWS PrivateLink エンドポイント サービスを作成します。
インスタンスの AWS セキュリティ グループを作成して、AWS PrivateLink エンドポイントから TCP ポート 443 へのアクセスを許可します。1,500 の子会社 AWS アカウントで AWS PrivateLink インターフェイス エンドポイントを使用して、データ処理アプリケーションに接続します。
B. 1;500 補助 CIDR ブロック範囲からの TCP ポート 443 でのアクセスを許可する NACL を作成します。
NACL を NLB と EC2 インスタンスの両方に関連付けます。
C. 1,500 の補助 CIDR ブロック範囲から TCP ポート 443 でのアクセスを許可する AWS セキュリティ グループを作成します。セキュリティ グループを EC2 インスタンスに関連付けます。
D. 1,500 の補助 CIDR ブロック範囲から TCP ポート 443 でのアクセスを許可する AWS セキュリティ グループを作成します。セキュリティ グループを NLB に関連付けます。NLB セキュリティ グループから TCP ポート 443 にアクセスできる EC2 インスタンス用の 2 番目のセキュリティ グループを作成します。
正解:A
解説:
A. 正解: AWS PrivateLink エンドポイント サービスを使用することで、親会社のアカウントから、プライベートネットワーク内でサービスを子会社に公開できます。これは公共のインターネットを介さずに行われるため、コンプライアンス要件を満たします。EC2インスタンスのセキュリティグループにTCPポート443へのアクセスを許可する設定を行うことで、セキュアなアクセスを実現できます。
B. NACL(ネットワークアクセスコントロールリスト)を使用してアクセスを制御する方法ですが、NACLはサブネットレベルでのアクセス制御を提供するため、このシナリオでは適切ではありません。また、NACLはステートレスであり、複雑な設定が必要です。
C. セキュリティグループを使用してEC2インスタンスにアクセス制御を行う方法ですが、このシナリオではNLBが関与しているため、この方法だけでは十分ではありません。セキュリティグループはインスタンスレベルでのアクセス制御を提供しますが、NLB自体の制御は含まれません。
D. ここでもセキュリティグループを使用してアクセス制御を行う方法ですが、重要な点として、NLBはセキュリティグループに直接関連付けることができません。そのため、この方法では要件を満たすことができません。
したがって、適切なアクセス制限を実装するためには、オプションAのAWS PrivateLinkエンドポイントサービスを使用する方法が最も適切です。
2.
あなたの開発チームは、開発目的で AWS リソースの使用を開始しました。AWS アカウントが作成されました。IT セキュリティ チームは、AWS キーの漏洩の可能性を心配しています。AWS アカウントを保護するために取るべき最初のレベルの対策は何ですか?
A. root アカウントの AWS キーを削除します
B. 午前 1 時のグループを作成する
C. 1AM ロールの作成
D. 1AM ポリシーを使用してアクセスを制限する
正解:A
解説:
A. 正解: AWSアカウントを保護するための最初のステップとして、rootアカウントのAWSキー(アクセスキーとシークレットキー)を削除することが推奨されます。rootアカウントは全てのリソースとサービスにアクセスできるため、そのキーが漏洩すると非常に高いリスクを伴います。代わりに、IAMユーザーやロールを使用して必要なアクセス権を付与することが一般的です。
B. "午前1時のグループ"という選択肢は意味不明です。正しくは"IAMグループ"が意図されている可能性があります。IAMグループはユーザーをグルーピングして一括でポリシーを適用する機能ですが、これだけではAWSキーの漏洩リスクを直接減らすことはできません。
C. "1AMロールの作成"という選択肢も意味不明です。恐らく"IAMロール"が意図されています。IAMロールはAWSリソースに対するアクセス許可を付与するのに使用されますが、これ自体がAWSアカウントを保護する最初のレベルの対策とはなりません。
D. IAMポリシーを使用してアクセスを制限することは、AWSアカウントのセキュリティを強化する上で重要な手段ですが、最初に取るべき対策としてはrootアカウントのキーを削除することが最優先されます。
したがって、AWSアカウントを保護するために取るべき最初のレベルの対策としては、オプションAのrootアカウントのAWSキーを削除することが最も適切です。
3.
ある企業がAWS環境内で運用しているウェブアプリケーションが、最近DDoS攻撃の標的となりました。この企業は今後の攻撃を軽減し、ウェブアプリケーションの可用性を維持するためのセキュリティ対策を強化したいと考えています。この目的を達成するために企業が利用すべきAWSサービスはどれですか?
A. AWS Shield
B. Amazon Inspector
C. AWS WAF
D. Amazon GuardDuty
正解: A. AWS Shield
解説:
A. AWS Shieldは、DDoS攻撃からウェブサイトやアプリケーションを保護するためのマネージド型のDDoS保護サービスです。スタンダード版はすべてのAWS顧客に無料で提供され、より高度な保護機能を必要とする場合は、追加料金で利用できるアドバンスド版があります。このシナリオに最適なサービスです。
B. Amazon Inspectorは、アプリケーション内のセキュリティ脆弱性や非準拠の設定を自動的に評価するセキュリティ評価サービスです。システムのセキュリティ状態の評価には役立ちますが、DDoS攻撃の軽減に直接貢献するものではありません。
C. AWS WAF (Web Application Firewall) は、ウェブアプリケーションを悪意あるウェブトラフィックから保護するためのウェブアプリケーションファイアウォールサービスです。SQLインジェクションやクロスサイトスクリプティングなどの特定の攻撃から保護するために役立ちますが、DDoS攻撃の軽減に特化しているわけではありません。
D. Amazon GuardDutyは、AWS環境内の脅威を検出するためのインテリジェントな脅威検出サービスです。不審な活動や潜在的なセキュリティ脅威を検出することはできますが、DDoS攻撃の軽減には直接関与しません。
このシナリオでは、DDoS攻撃からウェブアプリケーションを保護するためにAWS Shieldが最も適切なサービスです。
4.
AWS CloudTrail は、組織内の API 呼び出しを監視するために使用されています。監査により、CloudTrail が期待どおりにイベントを Amazon S3 に配信できないことが明らかになりました。
CloudTrail イベントを S3 に配信できるようにするには、どのような初期アクションを実行する必要がありますか? (2 つ選択してください。)
A. S3 バケット ポリシーが CloudTrail によるオブジェクトの書き込みを許可していることを確認します。
B. CloudTrail で使用される IAM ロールに、Amazon CloudWatch Logs への書き込みアクセス権があることを確認します。
C. オブジェクトを Amazon Glacier にアーカイブしている S3 バケットのライフサイクル ポリシーをすべて削除します。
D. CloudTrail で定義された S3 バケットが存在することを確認します。
E. CloudTrail で定義されたログ ファイルのプレフィックスが S3 バケットに存在することを確認します。
正解:A,D
解説:
A. 正解: S3バケットポリシーがCloudTrailによるオブジェクトの書き込みを許可していることを確認することは重要です。バケットポリシーが適切に設定されていない場合、CloudTrailはイベントログをS3バケットに書き込むことができません。
B. CloudTrailで使用されるIAMロールにAmazon CloudWatch Logsへの書き込みアクセス権があることを確認するのは、CloudWatch Logsにログを送信する場合に重要ですが、このシナリオではS3への配信に問題があるため、関連性がありません。
C. オブジェクトをAmazon GlacierにアーカイブしているS3バケットのライフサイクルポリシーを削除することは、このシナリオでは直接的な解決策とはなりません。ライフサイクルポリシーは、オブジェクトのストレージクラスを変更するために使用されますが、CloudTrailイベントの初期配信には影響しません。
D. 正解: CloudTrailで定義されたS3バケットが存在することを確認することは基本的ですが重要なステップです。バケットが存在しない、または誤ったバケットが指定されている場合、ログは配信されません。
E. CloudTrailで定義されたログファイルのプレフィックスがS3バケットに存在することを確認することは、ログの整理に役立つ場合がありますが、イベントの配信には直接関係しません。プレフィックスが存在しない場合、CloudTrailは通常、そのプレフィックスを持つ新しいフォルダをバケット内に作成します。
したがって、CloudTrailイベントをS3に配信できるようにするためには、オプションAとDのアクションを実行する必要があります。
5.
ある企業がAWSで運用しているサーバーレスアプリケーションが最近セキュリティインシデントに直面しました。企業はアプリケーションのコードと依存関係を自動的にスキャンして、脆弱性を特定し修正するソリューションを求めています。また、これらのセキュリティチェックを継続的に行い、新たな脆弱性が発見され次第、即座に警告を受け取りたいと考えています。この目的を達成するために企業が利用すべきAWSサービスはどれですか?
A. Amazon Inspector
B. AWS Shield
C. Amazon GuardDuty
D. AWS WAF
正解: A. Amazon Inspector
解説:
A. Amazon Inspectorは、アプリケーション内のセキュリティ脆弱性や非準拠の設定を自動的に評価するセキュリティ評価サービスです。これは、AWSリソースに対する継続的なセキュリティ評価を提供し、脆弱性の検出と修正を支援します。このシナリオの要件に最も適合しています。
B. AWS Shieldは、DDoS攻撃からウェブサイトやアプリケーションを保護するためのマネージド型DDoS保護サービスです。サーバーレスアプリケーションのコードや依存関係の脆弱性スキャンには対応していません。
C. Amazon GuardDutyは、AWS環境内の脅威を検出するためのインテリジェントな脅威検出サービスです。不審なアクティビティや潜在的なセキュリティ脅威の警告を提供しますが、アプリケーションのコードや依存関係の脆弱性スキャンには特化していません。
D. AWS WAF (Web Application Firewall) は、ウェブアプリケーションを悪意あるウェブトラフィックから保護するためのウェブアプリケーションファイアウォールサービスです。SQLインジェクションやクロスサイトスクリプティングなどの特定の攻撃から保護しますが、アプリケーションのコードや依存関係の脆弱性スキャンとは異なる目的のサービスです。
このシナリオでは、Amazon Inspectorがサーバーレスアプリケーションのセキュリティチェックと脆弱性管理のニーズに最適な選択肢です。
6.
アプリケーションはログをテキスト ファイルに出力します。ログは、セキュリティ インシデントについて継続的に監視する必要があります。
最小の労力で要件を満たすのはどの設計ですか?
A. アプリケーションがログ ファイルに書き込むときにデータを Amazon Kinesis にコピーするファイル ウォッチャーを作成します。
Kinesis で Lambda 関数をトリガーして、ログ データで Amazon CloudWatch メトリクスを更新します。設定メトリクスに基づいて CloudWatch アラートをアップします。
B. アプリケーションの EC2 インスタンスに Amazon CloudWatch Logs エージェントをインストールして構成します。作成するアプリケーション ログを監視するための CloudWatch メトリクス フィルターに基づいて CloudWatch アラートを設定します。
C. アプリケーション ログ ファイルを AWS CloudTrail にコピーするためのスケジュールされたプロセスを作成します。S3 イベントを使用して
ログデータで CloudWatch メトリクスを更新する Lambda 関数をトリガーします。CloudWatch アラートを設定する指標に基づいています。
D. コンポーネントのログを Amazon S3 にコピーするスケジュールされたプロセスを作成します。S3 イベントを使用して
ログデータで Amazon CloudWatch メトリクスを更新する Lambda 関数。クラウドウォッチをセットアップするメトリクスに基づくアラート。
正解:D
解説:
A. アプリケーションがログファイルに書き込む際にデータをAmazon Kinesisにコピーするファイルウォッチャーを作成し、KinesisでLambda関数をトリガーしてログデータでAmazon CloudWatchメトリクスを更新し、メトリクスに基づいてCloudWatchアラートを設定する方法は、要件を満たしますが、最小の労力ではありません。この設計は複雑で、特にファイルウォッチャーの作成とKinesisへのデータ転送の管理が必要です。
B. アプリケーションのEC2インスタンスにAmazon CloudWatch Logsエージェントをインストールして設定し、CloudWatchメトリクスフィルターを作成してアプリケーションログを監視し、メトリクスに基づいてCloudWatchアラートを設定する方法は、最小の労力で要件を満たします。この方法は、直接ログデータをCloudWatchに転送し、監視とアラートを簡単に設定できます。
C. アプリケーションログファイルをAWS CloudTrailにコピーするためのスケジュールされたプロセスを作成し、S3イベントを使用してログデータでCloudWatchメトリクスを更新するLambda関数をトリガーし、メトリクスに基づいてCloudWatchアラートを設定する方法は、不必要に複雑です。CloudTrailは主にAWSアカウントの監査とアクティビティトラッキング用であり、アプリケーションログの転送には適していません。
D. 正解: コンポーネントのログをAmazon S3にコピーするスケジュールされたプロセスを作成し、S3イベントを使用してログデータでAmazon CloudWatchメトリクスを更新するLambda関数をトリガーし、メトリクスに基づいてCloudWatchアラートを設定する方法は、最小の労力で要件を満たします。この設計では、ログデータを効率的に処理し、監視とアラートを簡単に実装できます。
したがって、最も適切な解決策はオプションDです。
7.
企業は、サードパーティの SaaS アプリケーションを使用したいと考えています。SaaS アプリケーションは、企業のアカウント内で実行されている Amazon EC2 リソースを検出するために、いくつかの API コマンドを発行するためのアクセス権を持っている必要があります。企業には、環境への外部アクセスを必要とする内部セキュリティ ポリシーがあり、最小特権の原則に準拠する必要があり、SaaS ベンダーが使用する資格情報が他のサード パーティによって使用されないようにするための制御が必要です。これらの条件をすべて満たすのは次のうちどれ?
A. AWS マネジメント コンソールから [セキュリティ認証情報] ページに移動し、アカウントのアクセス キーと秘密鍵を取得します。
B. エンタープライズ アカウント内に 1AM ユーザーを作成し、SaaS アプリケーションに必要なアクションのみを許可するユーザー ポリシーを 1AM ユーザーに割り当てます。ユーザーの新しいアクセス キーと秘密キーを作成し、これらの資格情報を SaaS プロバイダーに提供します。
C. クロスアカウント アクセス用の 1AM ロールを作成すると、SaaS プロバイダーのアカウントがロールを引き受け、SaaS アプリケーションに必要なアクションのみを許可するポリシーを割り当てることができます。
D. EC2 インスタンス用の 1AM ロールを作成し、SaaS アプリケーションが機能するために必要なアクションのみを許可するポリシーを割り当て、アプリケーション インスタンスの起動時に使用するロール ARN を SaaS プロバイダーに提供します。
正解:C
解説:
A. AWS マネジメントコンソールから「セキュリティ認証情報」ページに移動してアカウントのアクセスキーと秘密鍵を取得する方法は、セキュリティ面で推奨されません。これは、アカウント全体への広範なアクセスを提供し、最小特権の原則に反するためです。
B. エンタープライズアカウント内にIAMユーザーを作成し、SaaSアプリケーションに必要なアクションのみを許可するユーザーポリシーをIAMユーザーに割り当て、新しいアクセスキーと秘密キーを作成してSaaSプロバイダーに提供する方法は、最小特権の原則には適合しますが、資格情報の管理にリスクが伴います。資格情報が漏洩した場合、不正アクセスのリスクがあります。
C. 正解: クロスアカウントアクセス用のIAMロールを作成し、SaaSプロバイダーのアカウントがロールを引き受け、SaaSアプリケーションに必要なアクションのみを許可するポリシーを割り当てる方法は、最小特権の原則に準拠し、セキュリティが強化されています。これにより、SaaSベンダーは特定のアクションのみを実行でき、他のサードパーティが資格情報を使用するリスクを軽減できます。
D. EC2インスタンス用のIAMロールを作成し、SaaSアプリケーションが機能するために必要なアクションのみを許可するポリシーを割り当て、アプリケーションインスタンスの起動時に使用するロールARNをSaaSプロバイダーに提供する方法は、EC2インスタンスレベルでのアクセス制御に適していますが、このシナリオではSaaSアプリケーションが企業のアカウント内で実行されているリソースを検出するためにAPIコマンドを発行する必要があるため、最適な解決策ではありません。
したがって、最も適切な解決策はオプションCです。
8.
企業は、AWS アカウントでホストされているリソースを持っています。すべてのリージョンのすべての API アクティビティを監視する必要があります。この監査は、将来の地域にも適用する必要があります。この要件を満たすために使用できるのは、次のうちどれですか。
A. リージョンごとに Cloudtrail を確保します。次に、将来のリージョンごとに有効にします。
B. すべてのリージョンで 1 つの Cloudtrail トレイルが有効になっていることを確認します。
C. リージョンごとに Cloudtrail を作成します。Cloudformation を使用して、将来のすべてのリージョンで証跡を有効にします。
D. リージョンごとに Cloudtrail を作成します。AWS Config を使用して、将来のすべてのリージョンで証跡を有効にします。
正解:B
解説:
A. リージョンごとにCloudTrailを確保する方法は、現在のリージョンに対しては有効ですが、将来のリージョンが追加された際には、それぞれの新しいリージョンで手動でCloudTrailを有効にする必要があります。これは手間がかかり、将来の地域での自動化が不足しています。
B. 正解: すべてのリージョンで1つのCloudTrailトレイルが有効になっていることを確認する方法は、現在のすべてのリージョンと将来追加されるリージョンの両方でAPIアクティビティを監視するのに最適です。CloudTrailは全リージョンをカバーする設定をサポートしており、これを有効にすると将来追加されるリージョンにも自動的に適用されます。
C. リージョンごとにCloudTrailを作成し、CloudFormationを使用して将来のすべてのリージョンで証跡を有効にする方法は、将来のリージョンが追加された際に新しい設定を適用するために追加の作業が必要になります。このアプローチでは、自動化が不十分です。
D. リージョンごとにCloudTrailを作成し、AWS Configを使用して将来のすべてのリージョンで証跡を有効にする方法も、新しいリージョンが追加された際に手動での作業が必要になります。AWS Configは設定管理には役立ちますが、このシナリオでは最適な解決策ではありません。
したがって、最も適切な解決策はオプションBです。これにより、現在のすべてのリージョンと将来追加されるリージョンのAPIアクティビティを継続的に監視できます。
9.
ある会社は、分散 Web アプリケーションを EC2 インスタンスのフリートにデプロイしたいと考えています。フリートの前には、TLS 接続を終了するように構成された Classic Load Balancer が配置されます。企業は、証明書の秘密鍵が漏洩した場合でも、Classic Load Balancer への過去および現在のすべての TLS トラフィックが安全に保たれるようにしたいと考えています。
会社がこれらの要件を満たしていることを確認するために、セキュリティ エンジニアは、Classic Load Balancer を次のように構成できます。
A. 最新の AWS 事前定義 ELBSecuntyPolicy-TLS-1 -2-2017-01 セキュリティ ポリシーを使用する HTTPS リスナー
B. Amazon Certification Manager によって管理される証明書を使用する HTTPS リスナー。
C. 完全転送秘密暗号スイートのみを許可するカスタム セキュリティ ポリシーを使用する HTTPS リスナー
D. 完全転送秘密暗号スイートのみを許可するカスタム セキュリティ ポリシーを使用する TCP リスナー。
正解:C
解説:
A. 最新のAWS事前定義ELBSecurityPolicy-TLS-1-2-2017-01セキュリティポリシーを使用するHTTPSリスナーは、TLSの最新バージョンと強力な暗号スイートを使用しますが、これだけでは、証明書の秘密鍵が漏洩した場合のすべてのTLSトラフィックを保護するのには不十分です。このオプションでは完全転送秘密(PFS, Perfect Forward Secrecy)は保証されません。
B. Amazon Certification Managerによって管理される証明書を使用するHTTPSリスナーは、証明書の管理を簡素化しますが、これ自体では過去の通信を保護する完全転送秘密を提供しません。
C. 正解: 完全転送秘密暗号スイートのみを許可するカスタムセキュリティポリシーを使用するHTTPSリスナーは、証明書の秘密鍵が将来漏洩した場合でも、過去および現在のTLSトラフィックが安全に保たれることを保証します。完全転送秘密は、各セッションが一意の暗号化キーを持つことを意味し、秘密鍵が漏洩しても過去の通信が解読されるリスクを軽減します。
D. 完全転送秘密暗号スイートのみを許可するカスタムセキュリティポリシーを使用するTCPリスナーは、HTTPSリスナーではないため、TLS通信のセキュリティを提供しません。TCPリスナーは暗号化されていないトラフィックを扱うため、このシナリオでは適切ではありません。
したがって、過去および現在のすべてのTLSトラフィックが秘密鍵の漏洩にもかかわらず安全に保たれるようにするための最適な選択肢はCです。
10.
ある会社は、IT インフラストラクチャのほとんどを AWS に移行することを計画しています。彼らは、既存のオンプレミス Active Directory を AWS の ID プロバイダーとして活用したいと考えています。
会社のオンプレミスの Active Directory を AWS とフェデレートするために、セキュリティエンジニアはどの手順を組み合わせて実行する必要がありますか? (2つ選んでください。)
A. 各 Active Directory グループに対応する権限を持つ IAM ロールを作成します。
B. 各 Active Directory グループに対応する権限を持つ IAM グループを作成します。
C. SAML プロバイダーをサポートするように Amazon Cloud Directory を構成します。
D. Active Directory を構成して、Active Directory と AWS の間に証明書利用者信頼を追加します。
E. Amazon Cognito を構成して、Active Directory と AWS の間に証明書利用者の信頼を追加します。
正解:A,D
解説:
A. 正解: 各Active Directoryグループに対応する権限を持つIAMロールを作成します。これにより、オンプレミスのActive DirectoryグループのメンバーがAWSリソースにアクセスする際に使用できる適切な権限が付与されます。IAMロールはフェデレーションされたユーザーが一時的な認証情報を利用してAWSサービスにアクセスする際に重要な役割を果たします。
B. 各Active Directoryグループに対応する権限を持つIAMグループを作成します。これは誤りです。Active DirectoryとAWSの間のフェデレーションでは、IAMグループではなくIAMロールが使用されます。
C. SAMLプロバイダーをサポートするようにAmazon Cloud Directoryを構成します。これは誤りです。AWSでのActive DirectoryのフェデレーションにはAmazon Cloud Directoryの構成は関係ありません。
D. 正解: Active Directoryを構成して、Active DirectoryとAWSの間に証明書利用者信頼を追加します。これは、AWSとActive Directory間のフェデレーションの設定において重要なステップです。証明書利用者信頼を通じて、AWSがActive Directoryからの認証情報を信頼し、適切なIAMロールへのアクセスを許可します。
E. Amazon Cognitoを構成して、Active DirectoryとAWSの間に証明書利用者の信頼を追加します。これは誤りです。Amazon Cognitoはモバイルアプリやウェブアプリのユーザー認証に使われるサービスで、このシナリオのようなオンプレミスのActive Directoryとのフェデレーションには使用されません。
したがって、適切な手順の組み合わせはAとDです。
この記事が気に入ったらサポートをしてみませんか?