ある企業が、マルチアカウント環境で AWS リソースのセキュリティ体制を強化したい。セキュリティチームから以下の要件が出ている:(1) 全アカウントで脅威インテリジェンスに基づく異常アクティビティを自動検知したい、(2) EC2 インスタンスの OS やアプリケーションの脆弱性を継続的にスキャンしたい。最小限の設定で両要件を満たすサービスを 2 つ選択してください。
- A. Amazon GuardDuty を Organizations の管理アカウントから有効化し、メンバーアカウントに自動展開する。
- B. Amazon Macie を有効化して S3 バケット内の機密データを自動的に分類・検出する。
- C. AWS Config を有効化して設定変更の履歴を記録し、マネージドルールでコンプライアンスをチェックする。
- D. Amazon Inspector を Organizations と統合して有効化し、EC2 インスタンスの脆弱性スキャンを継続的に実行する。
- E. AWS Security Hub を有効化して全アカウントのセキュリティ所見を集約・可視化する。
解答と解説を見る
正解: A, D
要件(1) の脅威インテリジェンスに基づく異常アクティビティ検知には Amazon GuardDuty が適切である。GuardDuty は CloudTrail・VPC フローログ・DNS ログを機械学習で分析し、認証情報の不正使用やネットワーク侵害の兆候を自動検知する。Organizations と統合することで管理アカウントから全メンバーアカウントに一括展開できる。要件(2) の EC2 脆弱性スキャンには Amazon Inspector が適切である。Inspector は SSM エージェントを通じて EC2 の OS パッケージや実行中のソフトウェアの既知脆弱性(CVE)を継続的にスキャンする。Organizations 統合で多アカウントへの一括展開も可能。選択肢CのAWS Config は設定変更の監視・コンプライアンスチェックであり、脅威検知や脆弱性スキャンではない。選択肢EのSecurity Hub はセキュリティ所見の集約・可視化ダッシュボードであり、それ自体が検知や脆弱性スキャンを実施するわけではない(GuardDuty や Inspector の結果を集約する)。選択肢BのMacie はS3データの機密性分類サービスであり、今回の要件に合致しない。
📚 関連サービスの解説: Amazon GuardDuty ・ AWS Organizations