ある企業が AWS 上で Amazon S3 バケットを使って機密データを保存しています。セキュリティ監査で「S3 バケットに不審なデータアクセスパターンがある」という報告を受けました。具体的には、通常は発生しない大量のデータのダウンロード(exfiltration の疑い)と、新しい IP アドレスからのアクセスが検出されました。これらの脅威をリアルタイムで継続的に検知・アラートするためのアーキテクチャはどれですか?
- A. CloudTrail Data Events を S3 バケットに有効化し、手動でログをレビューする
- B. S3 バケットに AWS WAF を設定して不審なリクエストをブロックする
- C. Amazon GuardDuty の S3 保護(S3 Protection)を有効化し、S3 データイベント(Object-level API logging)の機械学習ベースの異常検知で大量ダウンロードや新しい IP からのアクセスを自動検出する。GuardDuty の検出結果を Security Hub に集約し、EventBridge で高深刻度の検出時に SNS でリアルタイムアラートを送信する
- D. S3 アクセスログを S3 に有効化し、週次で Athena でクエリして不審なアクセスを確認する
解答と解説を見る
正解: C
Amazon GuardDuty の S3 Protection は CloudTrail S3 データイベントログを機械学習で分析し、異常なデータアクセスパターン(大量ダウンロード、認証情報が侵害されたと思われる異常な IP からのアクセス等)を自動検知します。Security Hub + EventBridge + SNS の統合でリアルタイムアラートを実現します。GuardDuty の機械学習モデルはベースラインを自動学習するため、ルールの手動定義が不要です。 D: 週次確認は「リアルタイム検知」要件を満たしません。インシデント発生から検知まで最大 1 週間かかる可能性があります。 B: AWS WAF は Web アプリケーション(HTTP/HTTPS)への受信リクエストのフィルタリングに使うものであり、S3 のデータアクセスパターンの異常検知には対応していません。 A: CloudTrail Data Events の手動レビューは検知に時間がかかり、自動化されておらず「リアルタイムアラート」要件を満たしません。
📚 関連サービスの解説: Amazon GuardDuty ・ Amazon S3