ある企業が AWS 上で稼働するアプリケーションのセキュリティポスチャを改善しています。Security Hub の調査で、以下の問題が発見されました。②EC2 インスタンスのパッチ適用が不定期、⑤S3 バケットの一部でサーバーサイド暗号化が有効になっていない、④IAM ユーザーに MFA が設定されていない。これらの問題を自動化された方法で継続的に修正するために適切な AWS サービスを2つ選択してください。
- A. IAM ユーザーへの MFA 強制は Organizations の SCP で全アカウントに適用する
- B. AWS Systems Manager Patch Manager でパッチベースラインを定義し、Maintenance Window でスケジュールに従って EC2 インスタンスへのパッチ適用を自動化する
- C. Amazon Inspector でEC2 の CVE スキャンを実施し、重大な脆弱性を検出したら SNS 通知を送信する
- D. AWS Trusted Advisor で定期的にセキュリティチェックを実行し、結果を週次で IT チームにメール送信する
- E. AWS Config のマネージドルール(s3-bucket-server-side-encryption-enabled)でS3 暗号化を検出し、Config リメディエーション(自動修復)で非準拠バケットに暗号化を有効化する Lambda 関数を自動実行する
解答と解説を見る
正解: B, E
Systems Manager Patch Manager(B)はパッチベースラインと Maintenance Window の組み合わせで EC2 への自動パッチ適用を実現し、問題②を継続的に解決します。AWS Config のリメディエーション(E)は非準拠の S3 バケットを自動検出して Lambda で修復することで問題⑤を継続的に解決します。この2つが「自動化された継続的な修正」の要件に最も合致します。 D: Trusted Advisor の週次メール送信は手動対応を促すもので、「自動修正」ではありません。 A: SCP で MFA 強制は有効ですが、これは「既存の IAM ユーザーに MFA を設定する」修正ではなく、MFA なしのアクセスを拒否する予防的制御です。既存ユーザーへの MFA 設定は自動化できません。 C: Amazon Inspector は脆弱性の検出に有効ですが、パッチ適用の自動化は Inspector 単独では実現できず、Systems Manager との連携が別途必要です。
📚 関連サービスの解説: AWS Systems Manager ・ Amazon EC2