ある企業が、インターネット向けの Web アプリケーションを ALB + EC2 で運用している。セキュリティチームから、OWASP Top 10 に含まれる攻撃(SQL インジェクション、XSS 等)からアプリケーションを保護し、DDoS 攻撃に対する追加防御層も設けるよう要求があった。コードの変更を最小限にしつつこれらを実現するサービスを 2 つ選択してください。
- A. AWS Config ルールで ALB のセキュリティグループを定期的にチェックし、不正なポート開放を検出する。
- B. Amazon GuardDuty を有効化して VPC フローログを分析し、脅威インテリジェンスに基づく異常検知を実施する。
- C. AWS WAF を ALB にアタッチし、AWS マネージドルールグループ(Core Rule Set)を有効化する。
- D. Amazon Inspector を EC2 インスタンスにエージェントをインストールし、OS の脆弱性をスキャンする。
- E. AWS Shield Advanced を有効化して DDoS 攻撃からの高度な保護と 24/7 の DDoS レスポンスチームサポートを受ける。
解答と解説を見る
正解: C, E
AWS WAF は ALB の前段に配置してマネージドルールグループを有効化するだけで SQL インジェクションや XSS などの OWASP Top 10 攻撃をブロックできる。アプリケーションコードの変更は不要である。AWS Shield Advanced は DDoS 攻撃に対して高度な保護(ボリューム攻撃・アプリ層攻撃)を提供し、DDoS レスポンスチーム(DRT)のサポートも受けられる。この 2 つの組み合わせが WAF + DDoS 防御の要件を満たす。選択肢BのAmazon GuardDuty は脅威検知サービスであり、攻撃をリアルタイムにブロックする機能はない。選択肢DのAmazon Inspector はEC2の脆弱性スキャンであり、Webアプリ攻撃からのリアルタイム保護ではない。選択肢AのAWS Config は設定変更の監視・コンプライアンス確認であり、攻撃からのリアルタイム防御には使えない。
📚 関連サービスの解説: AWS WAF ・ Elastic Load Balancing(ELB)