グローバル企業が AWS Organizations でマルチアカウント環境を管理しています。セキュリティ要件として、⑤全アカウントで GuardDuty を強制的に有効化する、①GuardDuty の検出結果を中央のセキュリティアカウントに集約する、という2点を最小限の運用負荷で実現したいと考えています。実現するために必要な設定を2つ選択してください。
- A. GuardDuty の委任管理者(Delegated Administrator)として中央のセキュリティアカウントを Organizations に登録する
- B. SCP で GuardDuty の無効化を禁止し、各アカウントの GuardDuty から個別に EventBridge ルールで中央アカウントに転送する
- C. GuardDuty の組織機能を使わず、各アカウントにて AWS Security Hub へのエクスポートを設定し中央集約する
- D. GuardDuty の委任管理者アカウントから「自動有効化(Auto-enable)」を設定し、新しいアカウントも含めて全アカウントで GuardDuty を自動的に有効化する
- E. 各アカウントで手動で GuardDuty を有効化し、SNS トピックに検出結果を送信する設定を行う
解答と解説を見る
正解: A, D
GuardDuty の Organizations 統合では、委任管理者アカウントを指定すること(A)で中央管理が可能になります。委任管理者から「自動有効化」を設定すること(D)で、既存・新規メンバーアカウントの GuardDuty が自動的に有効化され、検出結果も委任管理者アカウントに自動集約されます。この2つの設定だけで両要件を満たせます。 E: 手動での有効化は新アカウント追加時に手作業が発生し、運用負荷が高くなります。 B: SCP による禁止は有効ですが、検出結果の集約には別途設定が必要で、自動有効化の代替にはなりません。 C: Security Hub は GuardDuty の検出結果を集約できますが、GuardDuty 自体の有効化を自動化する機能ではなく、要件⑤を満たしません。
📚 関連サービスの解説: Amazon GuardDuty ・ AWS Organizations