AIF-C01AI ソリューションのセキュリティ、コンプライアンス、ガバナンスHARD単一選択

ある企業が AWS Organizations を使ってマルチアカウント環境で Amazon Bedrock を利用している。セキュリティチームが全アカウントで Bedrock への API コールが CloudTrail に記録されていることを継続的に確認し、無効化されていた場合に自動で修正したい。この要件を最も効率的に実現する構成はどれか。

  1. A. 全アカウントのルートユーザーに MFA を設定して管理者による誤操作を防ぐ
  2. B. AWS Organizations の SCP(サービスコントロールポリシー)で cloudtrail:StopLogging と cloudtrail:DeleteTrail を全アカウントで拒否し、AWS Config の Organizations ルールで CloudTrail 有効化を継続評価して自動修正を設定する
  3. C. Security Hub の FSBP(基礎セキュリティベストプラクティス)標準を全アカウントで有効化するだけで十分
  4. D. 各アカウントに Lambda 関数をデプロイし、毎時 CloudTrail の状態を確認するスクリプトを実行させる
解答と解説を見る

正解: B

マルチアカウントで CloudTrail の無効化を防ぎ自動修正するには、SCP で StopLogging・DeleteTrail を組織全体で拒否することで無効化そのものを防ぎ(予防的統制)、加えて AWS Config の Organizations ルール(cloudtrail-enabled)で継続評価し自動修正(Systems Manager Automation)を設定することで検出的・是正的統制を重ねる多層防御が最も効率的。DのLambdaによる定期スクリプトは対応に遅延があり運用負荷が高い。CのSecurity Hubは検出はできるが自動修正の仕組みを別途用意する必要がある。AのMFA設定は誤操作を減らすが、悪意ある内部者やハイジャックされた認証情報には対応できない。

📚 関連サービスの解説: AWS OrganizationsAWS Config
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題