ある企業が、機密性の高いワークロードを EC2 インスタンス上で実行している。セキュリティチームから、AWS リソースへの API コールを監査し、不正なアクティビティが発生した際に 15 分以内にアラートを受け取るよう要求された。特に、EC2 セキュリティグループの変更、IAM ポリシーの変更、S3 バケットポリシーの変更を検知したい。最も適切なソリューションはどれか。
- A. Amazon GuardDuty を有効化して機械学習ベースの脅威検知を実施し、CloudWatch Events で GuardDuty の Findings を SNS に連携する。
- B. AWS CloudTrail を有効化し、CloudWatch Logs にログを配信する。CloudWatch メトリクスフィルターで特定の API コール(AuthorizeSecurityGroupIngress、PutRolePolicy、PutBucketPolicy 等)を検知するアラームを作成し、SNS で通知する。
- C. AWS CloudTrail を有効化してすべての API コールを S3 に記録し、Amazon Athena で定期的にクエリしてセキュリティイベントを検出する。
- D. AWS Config を有効化して変更履歴を記録し、月次レポートで変更内容をセキュリティチームに送付する。
解答と解説を見る
正解: B
CloudTrail でのAPI記録を CloudWatch Logs に連携し、メトリクスフィルターで特定のAPI コールパターンをフィルタリングすることで、対象イベント発生時にほぼリアルタイム(通常数分以内)で CloudWatch アラームから SNS 通知を発火できる。EC2 セキュリティグループ変更(AuthorizeSecurityGroupIngress 等)、IAM ポリシー変更(PutRolePolicy 等)、S3 バケットポリシー変更(PutBucketPolicy)をそれぞれメトリクスフィルターで定義できる。選択肢Dの月次レポートは 15 分以内のリアルタイム検知要件を満たさない。選択肢CのAthena クエリは定期実行のバッチ処理であり、15 分以内のリアルタイムアラートには適さない。選択肢AのGuardDuty は機械学習ベースの異常行動検知には優れるが、セキュリティグループ変更や IAM ポリシー変更といった設定変更の特定 API コールを確実に検知するには CloudTrail + CloudWatch の明示的なフィルター設定が適切である。GuardDuty は補完的に使うのが良いが、本要件の主要手段ではない。
📚 関連サービスの解説: AWS CloudTrail ・ Amazon CloudWatch