ある企業が AWS 上で稼働する複数のアカウントにわたる EC2 インスタンスのセキュリティパッチ状況を確認したところ、深刻な脆弱性(CVE)が多数存在することが判明しました。セキュリティチームは、新たに検出された CVE に対してパッチが適用されるまでの時間(MTTR)を短縮し、パッチ適用の自動化を実現したいと考えています。また、パッチ適用後のコンプライアンス状態を継続的に報告書として提出できる仕組みも必要です。最も適切なアーキテクチャはどれですか?
- A. AWS Trusted Advisor のセキュリティチェックでパッチ状態を確認し、推奨事項に従って手動対応する
- B. Amazon Inspector で CVE を検出し、検出結果を Security Hub に送信して手動でパッチを適用する
- C. AWS Systems Manager Patch Manager でパッチベースライン(CVE の深刻度に応じた自動承認ルール)を定義し、Maintenance Window でスケジュールに従って自動パッチ適用を設定する。Patch Manager のコンプライアンスレポートを AWS Config と統合し、非準拠インスタンスを継続的に検出して Security Hub に集約する。Critical/High CVE には Auto-Remediation で即時パッチ適用をトリガーする
- D. 各 EC2 インスタンスに cron ジョブで weekly パッチスクリプトを設定し、月次でパッチ状態を手動確認する
解答と解説を見る
正解: C
Patch Manager のパッチベースラインで CVE の深刻度に基づいた自動承認ルール(例:Critical は即日承認)を設定し、Maintenance Window で定期的な自動適用を行います。コンプライアンスレポートは Config と統合することで継続的な状態確認が可能です。Inspector と Security Hub との統合でクロスアカウントの脆弱性管理が実現します。 D: cron ジョブは管理が分散し、パッチの承認管理や依存関係の考慮がなく、コンプライアンスレポートの自動生成もできません。 B: Inspector は CVE 検出に優れますが、パッチ適用の自動化機能自体は提供しません。Patch Manager との組み合わせは有効ですが、Inspector 単独では自動パッチ適用とコンプライアンスレポートを完結できません。 A: Trusted Advisor のセキュリティチェックは一部のセキュリティ設定を確認しますが、EC2 のパッチ詳細管理や自動パッチ適用には対応していません。
📚 関連サービスの解説: AWS Systems Manager ・ AWS Config