定期的に問題を解いて、確実に合格を目指そう!
AWS認定セキュリティ試験は、クラウド環境でのセキュリティ対策の知識とスキルを問う重要な資格です。本記事では、試験合格に向けた実践的な30問を厳選しました。定期的に問題を解き、自分の理解度をチェックしながら着実に合格を目指しましょう!
AWS認定セキュリティ試験概要
| 項目 | 内容 |
|---|---|
| 試験概要 | AWS環境におけるデータ保護、インシデント対応、インフラストラクチャの保護、アクセス管理などを評価 |
| 試験の難易度 | 中級から上級レベル(セキュリティの実務経験が推奨) |
| 公式サイト | AWS認定セキュリティ公式ページ |
インシデント対応問題集
Q1. EC2インスタンス侵害
あなたの組織のEC2インスタンスが侵害された可能性があることが判明しました。最初に取るべき適切なアクションは何ですか?
A. インスタンスを即座に終了する
B. インスタンスのスナップショットを作成し、フォレンジック分析用に保存する
C. インスタンスのセキュリティグループを更新し、すべてのインバウンドトラフィックをブロックする
D. AWS supportに連絡し、インシデントの調査を依頼する
正解と解説
正解: B 解説: インシデント対応の最初のステップは、証拠の保全です。スナップショットを作成することで、後のフォレンジック分析のために重要なデータを保存できます。インスタンスを即座に終了すると、重要な証拠が失われる可能性があります。
Q2. S3データ漏洩
S3バケット内の機密データが誤って公開されていたことが発覚しました。適切なインシデント対応手順は次のうちどれですか?
A. バケットを即座に削除する
B. バケットのアクセス権限を即座に変更し、アクセスログを確認して、データにアクセスした可能性のあるIPアドレスを特定する
C. 新しいバケットを作成し、データを移行する
D. AWSサポートに連絡し、データの回収を依頼する
正解と解説
正解: B 解説: 最初のステップは、さらなるデータ漏洩を防ぐためにバケットのアクセス権限を変更することです。次に、アクセスログを確認して、誰がデータにアクセスした可能性があるかを特定することが重要です。バケットを削除すると、重要な証拠が失われる可能性があります。
Q3. IAMクレデンシャル漏洩
開発者がIAMアクセスキーをパブリックGitHubリポジトリにコミットしてしまいました。適切な対応手順は次のうちどれですか?
A. アクセスキーを即座に削除する
B. アクセスキーを無効化し、CloudTrailログを確認して不正使用がないか調査する
C. AWSアカウントのパスワードを変更する
D. 開発者のIAMユーザーを削除する
正解と解説
正解: B 解説: アクセスキーを無効化することで、さらなる不正使用を防ぐことができます。同時に、CloudTrailログを確認して、キーが不正に使用されたかどうかを調査することが重要です。単にキーを削除するだけでは、潜在的な被害を特定できない可能性があります。
Q4. DDoS攻撃
あなたの組織のウェブアプリケーションがDDoS攻撃を受けています。適切な即時対応は次のうちどれですか?
A. すべてのインバウンドトラフィックをブロックする
B. AWS Shield Advancedを有効にし、WAFルールを適用して悪意のあるトラフィックをフィルタリングする
C. アプリケーションを別のリージョンに移動する
D. すべてのEC2インスタンスを終了し、新しいインスタンスを起動する
正解と解説
正解: B 解説: AWS Shield AdvancedはDDoS攻撃に対する高度な保護を提供し、WAFルールを使用して悪意のあるトラフィックをフィルタリングできます。すべてのトラフィックをブロックすると正当なユーザーもアクセスできなくなり、アプリケーションの移動や再起動は即時の解決策にはなりません。
Q5. データベース暗号化キー漏洩
RDSデータベースの暗号化キーが漏洩した可能性があることが判明しました。適切な対応手順は次のうちどれですか?
A. データベースを即座に削除する
B. 新しい暗号化キーを生成し、データベースを再暗号化する
C. データベースのスナップショットを作成し、別のリージョンに復元する
D. データベースへのすべてのアクセスを無効にする
正解と解説
正解: B 解説: 新しい暗号化キーを生成し、データベースを再暗号化することで、漏洩したキーによるデータへのアクセスを防ぐことができます。データベースを削除したり、アクセスを完全に無効にすると、ビジネス運営に重大な影響を与える可能性があります。
Q6. 不正なLambda関数
悪意のあるコードを含むLambda関数が検出されました。適切な対応手順は次のうちどれですか?
A. Lambda関数を即座に削除する
B. Lambda関数を無効化し、コードのスナップショットを保存してから、関数を削除する
C. Lambda関数のコードを修正する
D. Lambda関数の実行ロールを削除する
正解と解説
正解: B 解説: Lambda関数を無効化することで、さらなる実行を防ぐことができます。コードのスナップショットを保存することで、後の分析のために証拠を保全できます。その後、関数を削除することが安全です。単に関数を削除するだけでは、重要な証拠が失われる可能性があります。
Q7. コンテナイメージの脆弱性
ECRに保存されているコンテナイメージに重大な脆弱性が発見されました。適切な対応手順は次のうちどれですか?
A. 脆弱性のあるイメージを使用しているすべてのコンテナを即座に停止する
B. 脆弱性を修正した新しいイメージをビルドし、既存のコンテナを順次更新する
C. ECRリポジトリを削除する
D. 脆弱性のあるイメージを別のリージョンに移動する
正解と解説
正解: B 解説: 脆弱性を修正した新しいイメージをビルドし、既存のコンテナを順次更新することが最も適切な対応です。これにより、サービスの中断を最小限に抑えながら、セキュリティリスクを軽減できます。すべてのコンテナを即座に停止すると、サービスの可用性に重大な影響を与える可能性があります。
Q8. CloudTrailログの改ざん
CloudTrailログが改ざんされた可能性があることが判明しました。適切な対応手順は次のうちどれですか?
A. CloudTrailを即座に無効にする
B. ログファイルの整合性検証を有効にし、S3バケットのバージョニングを確認する
C. すべてのCloudTrailログを削除し、新しいトレイルを作成する
D. CloudTrailログを別のAWSアカウントに移動する
正解と解説
正解: B 解説: ログファイルの整合性検証を有効にすることで、将来のログの改ざんを検出できます。S3バケットのバージョニングを確認することで、過去のログの状態を復元できる可能性があります。CloudTrailを無効にしたり、ログを削除すると、重要な監査証跡が失われる可能性があります。
Q9. 不正なIAMポリシー変更
重要なIAMポリシーが不正に変更されたことが検出されました。適切な対応手順は次のうちどれですか?
A. すべてのIAMユーザーを削除する
B. 変更されたポリシーを以前の状態に戻し、CloudTrailログを確認して変更者を特定する
C. AWSアカウントのルートユーザーパスワードを変更する
D. 新しいAWSアカウントを作成し、すべてのリソースを移行する
正解と解説
正解: B 解説: ポリシーを以前の状態に戻すことで、不正な変更による影響を軽減できます。CloudTrailログを確認することで、変更者を特定し、さらなる調査や対策を講じることができます。すべてのIAMユーザーを削除したり、新しいアカウントを作成するのは過剰な対応であり、ビジネス運営に重大な影響を与える可能性があります。
Q10. EKSクラスターの侵害
EKSクラスター内の複数のポッドが侵害された可能性があることが判明しました。適切な対応手順は次のうちどれですか?
A. EKSクラスターを即座に削除する
B. 侵害されたポッドを隔離し、クラスターのセキュリティグループを更新して、不要なアクセスをブロックする
C. すべてのポッドを停止し、新しいクラスターを作成する
D. クラスターのKubernetes APIサーバーへのアクセスを完全にブロックする
正解と解説
正解: B 解説: 侵害されたポッドを隔離することで、被害の拡大を防ぐことができます。クラスターのセキュリティグループを更新することで、不要なアクセスをブロックし、さらなる侵害を防ぐことができます。クラスターを削除したり、すべてのポッドを停止するのは過剰な対応であり、正常なワークロードにも影響を与える可能性があります。
ロギングとモニタリングの問題集
問題1: CloudTrailの設定
Q: AWSアカウントのすべてのアクティビティを包括的に記録するために、CloudTrailを設定する際の最適な方法は何ですか?
A. 各リージョンで個別のトレイルを作成する
B. 組織のトレイルを作成し、すべてのアカウントとリージョンをカバーする
C. マルチリージョントレイルを作成し、データイベントのみを記録する
D. グローバルサービスイベントのみを記録するトレイルを作成する
正解と解説
正解: B 組織のトレイルを作成することで、AWS Organizations内のすべてのアカウントとリージョンのアクティビティを一元的に記録できます。これにより、包括的な監査証跡が確保され、セキュリティとコンプライアンスの要件を満たすことができます。
問題2: CloudWatch Logs
Q: セキュリティグループの変更を監視し、不正な変更があった場合に即時通知を受けるための最適な方法は何ですか?
A. CloudTrailでセキュリティグループの変更イベントを記録し、CloudWatch Logsにストリーミングする
B. VPCフローログを有効にし、セキュリティグループの変更を検出する
C. AWS Configルールを使用してセキュリティグループの設定を監視する
D. Amazon Inspectorを使用してセキュリティグループの変更を検出する
正解と解説
正解: A CloudTrailでセキュリティグループの変更イベントを記録し、それをCloudWatch Logsにストリーミングすることで、リアルタイムでの監視と通知が可能になります。CloudWatch Logsのメトリクスフィルターとアラームを使用して、特定の変更イベントを検出し、即時通知を設定できます。
問題3: VPCフローログ
Q: VPCフローログを使用して、ネットワークトラフィックの異常を検出する最も効果的な方法は何ですか?
A. VPCフローログをCloudWatch Logsに送信し、メトリクスフィルターを使用して異常なトラフィックパターンを検出する
B. VPCフローログをS3バケットに保存し、毎日バッチ処理で分析する
C. VPCフローログをKinesis Data Streamsに送信し、リアルタイム分析を行う
D. VPCフローログをElasticsearchサービスに直接送信し、Kibanaで可視化する
正解と解説
正解: A VPCフローログをCloudWatch Logsに送信し、メトリクスフィルターを使用することで、リアルタイムで異常なトラフィックパターンを検出できます。これにより、即時のアラートと対応が可能になります。
問題4: AWS Config
Q: AWS Configを使用して、EC2インスタンスのセキュリティグループ設定の変更履歴を追跡する最適な方法は何ですか?
A. AWS Configルールを作成し、セキュリティグループの設定を評価する
B. AWS Config変更履歴を有効にし、セキュリティグループリソースタイプを記録する
C. AWS ConfigスナップショットをS3バケットに保存し、定期的に分析する
D. AWS Configを使用してセキュリティグループの設定をCloudTrailと統合する
正解と解説
正解: B AWS Configの変更履歴を有効にし、セキュリティグループリソースタイプを記録することで、セキュリティグループの設定変更を時系列で追跡できます。これにより、誰が、いつ、どのような変更を行ったかを詳細に把握することができます。
問題5: GuardDuty
Q: Amazon GuardDutyで検出された脅威に対して、自動的に対応するための最適な方法は何ですか?A. GuardDutyの結果をCloudWatchイベントに送信し、Lambda関数をトリガーして対応する
B. GuardDutyの結果をS3バケットにエクスポートし、定期的にスキャンして対応する
C. GuardDutyの結果をSNSトピックに公開し、手動で確認して対応する
D. GuardDutyの結果をSecurityHubに統合し、手動でレビューする
正解と解説
正解: A GuardDutyの結果をCloudWatchイベントに送信し、Lambda関数をトリガーすることで、検出された脅威に対して自動的かつ即時に対応することができます。これにより、セキュリティインシデントへの迅速な対応が可能になります。
問題6: セキュリティハブ
Q: AWS Security Hubを使用して、複数のAWSアカウントにわたるセキュリティ状態を一元管理する最適な方法は何ですか?
A. 各アカウントでSecurity Hubを個別に設定し、結果を手動で集約する
B. AWS Organizationsを使用してSecurity Hubを一元的に有効にし、管理する
C. Security Hubのマルチアカウントビューを使用し、クロスアカウント権限を設定する
D. サードパーティのSIEMソリューションを使用して、Security Hubの結果を集約する
正解と解説
Organizationsを使用してSecurity Hubを一元的に有効にし、管理することで、複数のAWSアカウントにわたるセキュリティ状態を効率的に監視・管理できます。これにより、統一されたセキュリティ姿勢の維持と、効率的なコンプライアンス管理が可能になります。
問題7: アクセスログ分析
Q: S3バケットのアクセスログを分析し、不正アクセスや異常な動作を検出するための最適な方法は何ですか?
A. S3アクセスログをAthenaで直接クエリし、異常を検出する
B. S3アクセスログをCloudWatch Logsに送信し、メトリクスフィルターを使用して異常を検出する
C. S3アクセスログをKinesis Data Firehoseを通じてElasticsearchに送信し、Kibanaで分析する
D. S3アクセスログをLambda関数で定期的に処理し、異常を検出する
正解と解説
正解: C S3アクセスログをKinesis Data Firehoseを通じてElasticsearchに送信し、Kibanaで分析することで、リアルタイムでのログ分析と可視化が可能になります。これにより、不正アクセスや異常な動作を迅速に検出し、対応することができます。
問題8: IAM監査
Q: IAMユーザーとロールの使用状況を監査し、未使用または過剰な権限を持つアカウントを特定するための最適な方法は何ですか?
A. IAM Access Analyzerを使用して、リソースへのアクセスを分析する
B. IAM認証情報レポートを定期的に生成し、手動で分析する
C. CloudTrailログを分析して、IAMエンティティの使用状況を追跡する
D. AWS Trusted Advisorを使用して、IAMのベストプラクティスをチェックする
正解と解説
正解: C CloudTrailログを分析することで、IAMエンティティ(ユーザーやロール)の詳細な使用状況を追跡できます。これにより、未使用のアカウントや過剰な権限を持つアカウントを特定し、最小権限の原則に基づいてIAMポリシーを最適化することができます。
問題9: データベース監視
Q: Amazon RDSインスタンスのセキュリティイベントを監視し、潜在的な脅威を検出するための最適な方法は何ですか?
A. RDS拡張モニタリングを有効にし、CloudWatch Logsで分析する
B. RDS監査ログをCloudWatch Logsに送信し、メトリクスフィルターを使用して異常を検出する
C. Database Activity Streamを有効にし、Kinesis Data Streamsで処理する
D. RDSパフォーマンスインサイトを使用して、異常なアクティビティを検出する
正解と解説
正解: C Database Activity Streamを有効にし、Kinesis Data Streamsで処理することで、RDSインスタンスのデータベースアクティビティをリアルタイムで監視し、分析することができます。これにより、不正アクセスや異常な動作を迅速に検出し、対応することが可能になります。
問題10: コンプライアンス監査
Q: 組織のAWS環境が特定のコンプライアンス基準(例:PCI DSS)を継続的に満たしていることを確認するための最適な方法は何ですか?
A. AWS ConfigとConfig Rulesを使用して、コンプライアンスルールを定義し、継続的に評価する
B. AWS Artifactを使用して、定期的にコンプライアンスレポートをダウンロードし、手動で確認する
C. AWS Security Hubを使用して、コンプライアンス状況を一元的に管理し、監視する
D. サードパーティのコンプライアンス管理ツールを使用して、AWSリソースを定期的にスキャンする
正解と解説
正解: C AWS Security Hubを使用することで、PCI DSSなどの特定のコンプライアンス基準に対するAWS環境の準拠状況を一元的に管理し、継続的に監視することができます。Security Hubは、複数のAWSセキュリティサービスの結果を統合し、包括的なコンプライアンスビューを提供します。
インフラストラクチャセキュリティの問題集
1. VPCセキュリティ
Q: 多層Webアプリケーションを展開するために、最も安全なVPC設計はどれですか?
A. すべてのリソースを単一のパブリックサブネットに配置する
B. Webサーバーをパブリックサブネットに、アプリケーションサーバーとデータベースをプライベートサブネットに配置する
C. すべてのリソースをプライベートサブネットに配置し、NATゲートウェイを使用してインターネットアクセスを提供する
D. Webサーバーとアプリケーションサーバーをパブリックサブネットに、データベースをプライベートサブネットに配置する
正解: B
解説: 多層アーキテクチャでは、Webサーバーのみをパブリックサブネットに配置し、アプリケーションサーバーとデータベースをプライベートサブネットに配置することで、セキュリティを最大化できます。
2. セキュリティグループとNACL
Q: セキュリティグループとネットワークACL(NACL)の違いについて、正しい説明はどれですか?
A. セキュリティグループはステートフルで、NACLはステートレスである
B. セキュリティグループはサブネットレベルで動作し、NACLはインスタンスレベルで動作する
C. セキュリティグループは明示的な拒否ルールを設定できるが、NACLはできない
D. NACLは送信トラフィックを制御できるが、セキュリティグループはできない
正解: A
解説: セキュリティグループはステートフルで、関連する通信を自動的に許可します。NACLはステートレスで、インバウンドとアウトバウンドのルールを個別に設定する必要があります。
3. VPNとDirect Connect
Q: オンプレミスデータセンターとAWS VPC間の接続について、セキュリティ面で最も優れているのはどれですか?
A. インターネットゲートウェイを介した接続
B. AWS Site-to-Site VPN
C. AWS Direct Connect
D. AWS Direct Connect + VPN
正解: D
解説: AWS Direct ConnectとVPNを組み合わせることで、専用線の高速・低レイテンシー接続と、暗号化によるセキュリティの両方を実現できます。
4. WAFとShield
Q: Webアプリケーションを保護するために、AWS WAFとAWS Shieldを併用する主な利点は何ですか?
A. データベースの暗号化
B. アプリケーションレベルの攻撃とDDoS攻撃の両方からの保護
C. IAMユーザーの多要素認証
D. S3バケットの暗号化
正解: B
解説: AWS WAFはアプリケーションレベルの攻撃(SQLインジェクションやクロスサイトスクリプティングなど)から保護し、AWS ShieldはDDoS攻撃から保護します。
5. Bastionホスト
Q: Bastionホストの主な目的は何ですか?
A. データベースのバックアップ
B. ログの集中管理
C. プライベートサブネット内のリソースへの安全なアクセス提供
D. アプリケーションの負荷分散
正解: C
解説: Bastionホストは、プライベートサブネット内のリソースに安全にアクセスするための踏み台サーバーとして機能します。
6. ELBセキュリティ
Q: Elastic Load Balancer(ELB)を使用する際のセキュリティベストプラクティスは何ですか?
A. すべてのトラフィックをHTTP経由で処理する
B. ELBをプライベートサブネットに配置する
C. SSL/TLS終端をELBで行い、バックエンドインスタンスとの通信を暗号化する
D. セキュリティグループを使用せず、NACLのみで制御する
正解: C
解説: ELBでSSL/TLS終端を行い、バックエンドインスタンスとの通信も暗号化することで、エンドツーエンドの暗号化を実現できます。
7. EC2インスタンスのセキュリティ
Q: EC2インスタンスのセキュリティを強化するための最適な方法は何ですか?
A. すべてのポートを開放し、アプリケーションレベルで制御する
B. パブリックIPアドレスを割り当て、SSHアクセスを許可する
C. 最小権限の原則に基づいてセキュリティグループを設定し、必要なポートのみを開放する
D. ルートユーザーでの直接ログインを許可する
正解: C
解説: 最小権限の原則に従い、必要最小限のポートのみを開放することで、攻撃対象面を最小限に抑えることができます。
8. KMSとデータ暗号化
Q: AWSでデータを暗号化する際のベストプラクティスは何ですか?
A. すべてのデータを単一のKMSキーで暗号化する
B. データ分類に基づいて異なるKMSキーを使用し、キーローテーションを有効にする
C. 暗号化キーをEC2インスタンス内に保存する
D. サードパーティの暗号化ツールのみを使用する
正解: B
解説: データ分類に基づいて異なるKMSキーを使用し、定期的なキーローテーションを行うことで、セキュリティを強化できます。
9. CloudFrontセキュリティ
Q: CloudFrontを使用してWebアプリケーションを配信する際、セキュリティを強化するための最適な方法は何ですか?
A. オリジンアクセスアイデンティティ(OAI)を使用してS3バケットへのアクセスを制限する
B. WAFをCloudFrontディストリビューションに関連付ける
C. カスタムSSL/TLS証明書を使用する
D. 上記すべて
正解: D
解説: OAIの使用、WAFの関連付け、カスタムSSL/TLS証明書の使用はすべて、CloudFrontを介して配信されるWebアプリケーションのセキュリティを強化するための有効な方法です。
10. コンテナセキュリティ
Q: Amazon ECSまたはEKSでコンテナを実行する際のセキュリティベストプラクティスは何ですか?
A. すべてのコンテナをrootユーザーとして実行する
B. コンテナイメージを定期的にスキャンし、脆弱性を検出する
C. すべてのコンテナに管理者権限を付与する
D. コンテナ間の通信を暗号化しない
正解: B
解説: コンテナイメージを定期的にスキャンし、脆弱性を検出することで、潜在的なセキュリティリスクを早期に特定し、対処することができます。
おすすめの参考書・学習グッズ
1. 『AWS認定 セキュリティ専門知識試験テキスト&問題集』
この参考書は、試験範囲を網羅するだけでなく、実践的な問題と詳細な解説が付いており、合格を目指す受験者に最適です。
2. AWS公式トレーニングと模擬試験
AWS公式が提供するトレーニングコースと模擬試験は、試験の出題傾向を理解するための強力なツールです。
3. 『AWS Well-Architected Framework』
AWSのベストプラクティスに基づいたセキュリティ設計のガイドラインを学ぶことで、試験対策だけでなく実務にも役立ちます。
コメント