SAP-C02ワークロードの移行とモダナイゼーションの加速HARD単一選択

ある企業が AWS 上でアプリケーションのコンテナ化を進めており、Docker イメージを Amazon ECR に格納して ECS でデプロイしています。セキュリティチームから「ECR に格納されている Docker イメージに既知の脆弱性(CVE)が含まれていないか自動的にスキャンし、高深刻度の脆弱性が検出された場合はデプロイをブロックしたい」という要件が出ています。最も適切な実装はどれですか?

  1. A. DockerHub に ECR を連携させ、DockerHub の自動スキャン機能を使用する
  2. B. ECS タスクの起動時にカスタムスクリプトでイメージをスキャンし、問題があればタスクを終了する
  3. C. 定期的に Trivy などのオープンソースのスキャナーを EC2 インスタンスで実行し、結果をメールで送信する
  4. D. ECR の拡張スキャン(Amazon Inspector 統合)を有効化し、イメージプッシュ時に自動的にスキャンを実行する。Inspector の検出結果を EventBridge で受信し、高深刻度(HIGH/CRITICAL)の CVE が含まれる場合は Lambda 関数で CodePipeline の承認ステージをリジェクトしてデプロイをブロックする
解答と解説を見る

正解: D

ECR の拡張スキャン(Amazon Inspector 統合)はイメージプッシュ時に自動で CVE スキャンを実行し、OS パッケージとプログラミング言語のパッケージ両方の脆弱性を検出します。検出結果は EventBridge に自動配信されるため、Lambda で高深刻度の CVE を検出した場合に CodePipeline の承認ステージを「リジェクト」するアクションを実装することで、デプロイの自動ブロックが実現できます。 C: サードパーティのスキャナーによる定期実行はリアルタイム性がなく、イメージプッシュ直後のスキャンやデプロイブロックへの自動統合が困難です。 A: DockerHub の機能を使うことは、ECR からの移行が必要で、AWS ネイティブのセキュリティポスチャ管理が分断されます。 B: ECS タスク起動時のスキャンはタスクが一度起動されてから検出するため、デプロイのブロックには適していません。起動前にスキャンする必要があります。

📚 関連サービスの解説: Amazon ECRAmazon EventBridge
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題