ある企業が AWS 上で稼働する EC2 フリートに対して、セキュリティとコンプライアンスの要件として以下を継続的に維持したいと考えています。③インスタンスへのパッチ適用状況を一元的に確認できる、④インスタンス内部のソフトウェアインベントリ(インストール済みアプリケーション一覧)を収集して可視化する。最小限の運用負荷でこれらを実現するために必要な設定を2つ選択してください。
- A. AWS Trusted Advisor のセキュリティチェックでパッチ適用状態を確認する
- B. Amazon Inspector で CVE スキャンを実行し、パッチ不足の脆弱性を検出する
- C. AWS Systems Manager Patch Manager でパッチコンプライアンスレポートを有効化し、Systems Manager コンソールのパッチコンプライアンスダッシュボードで全インスタンスのパッチ状態を確認する
- D. AWS Systems Manager Inventory を有効化し、EC2 インスタンスのソフトウェアインベントリ(インストール済みアプリ、ネットワーク設定等)を自動収集する。結果を Systems Manager コンソールまたは S3 + Athena でクエリできるよう設定する
- E. 各 EC2 インスタンスに cron ジョブを設定して rpm -qa または dpkg -l の出力を S3 に定期アップロードする
解答と解説を見る
正解: C, D
Systems Manager Patch Manager(C)のコンプライアンスレポートは、全インスタンスのパッチ適用状況(準拠/非準拠)を一元的なダッシュボードで確認でき、要件③を満たします。Systems Manager Inventory(D)はエージェント経由でインストール済みアプリケーション、サービス、ネットワーク設定等を自動収集し、要件④を満たします。両方とも SSM Agent がインストールされている EC2 インスタンスに対して最小限の設定で有効化できます。 E: cron ジョブによる手動収集は自動化されておらず、管理負荷が高く、一元管理もできません。 B: Amazon Inspector は CVE の脆弱性スキャンに特化しており、パッチコンプライアンスの一元ダッシュボードとしての機能や、インベントリ収集は Patch Manager と Inventory の方が直接対応しています。 A: Trusted Advisor のセキュリティチェックは一部のセキュリティ設定を確認しますが、EC2 のパッチコンプライアンス詳細レポートやインベントリ収集は提供していません。
📚 関連サービスの解説: AWS Systems Manager ・ Amazon EC2