ある企業が AWS Organizations で管理するマルチアカウント環境において、全アカウントのセキュリティイベントを一元的に可視化・対応できる体制を構築したいと考えています。GuardDuty、Security Hub、および Config のすべてのデータを中央のセキュリティアカウントに集約し、コンプライアンス状態をダッシュボードで確認できるようにしたいと考えています。実現するために必要な設定を3つ選択してください。
- A. GuardDuty の委任管理者としてセキュリティアカウントを登録し、Organizations の自動有効化で全アカウントの検出結果を集約する
- B. Amazon Detective をセキュリティアカウントで有効化し、GuardDuty の検出結果の根本原因分析を自動化する
- C. Security Hub の委任管理者としてセキュリティアカウントを登録し、Organizations の統合でメンバーアカウントの検出結果を中央に集約する
- D. AWS Config の集約設定(Aggregator)でセキュリティアカウントをアグリゲーターとして設定し、全メンバーアカウントのリソース設定とコンプライアンス状態を集約する
- E. CloudTrail を全アカウントで個別に有効化し、各アカウントのログをセキュリティアカウントの S3 バケットに手動でエクスポートする
解答と解説を見る
正解: A, C, D
GuardDuty の委任管理者設定(A)、Security Hub の委任管理者設定(C)、Config Aggregator の設定(D)の3つがそれぞれ必要です。これらを組み合わせることで、脅威検出・セキュリティ標準準拠・リソース設定コンプライアンスをすべて中央から管理できます。 E: CloudTrail の手動エクスポートは組織レベルのトレイルを使えば自動化できます。手動での各アカウントへの設定は非効率で管理負荷が高く、必須要件ではありません。 B: Amazon Detective は GuardDuty と統合した調査ツールとして有用ですが、今回の要件(集約・ダッシュボード)の「必要な設定」ではなく、オプションの追加機能です。3つの選択肢は A・C・D の設定が核心部分です。
📚 関連サービスの解説: Amazon GuardDuty ・ AWS Organizations