SCS (Certified Security Speciality)の問題-解答メモ
1
AWS 環境で誰かがルート ID を使用している場合、すぐにアラートを受け取る必要があります。これらのメカニズムのどれを使用する必要がありますか? (2 つ選択)
A.
①.全てのリージョンで証跡を有効にする( 証跡を有効にすると、証跡イベントもCloudWatchログに記録される)。
②.CloudWatchイベントを有効にし、SNS通知を設定する。
※CloudWatch log metric filter は、ロググループにイベントを記録するの15分の遅延が生じる。
2
クライアントから EC2 インスタンスへの ping リクエストがタイムアウトしました。 VPC フロー ログで、クライアントからインスタンスへのリクエストが受け入れられたことを確認できます。ただし、応答は拒否されました。この問題を修正するには、何をする必要がありますか?
A.NACLのアウトバウンドルールでトラフィックを許可する
※リクエストをインスタンスで受け入れられた=inboundルールはトラフィックを許可している。しかしレスポンスは返ってこない=outboundルールが拒否している
3
セキュリティ チームはアプリケーションの侵入テストを実行しており、GuardDuty はテストに攻撃としてフラグを立てています。 GuardDuty によって実行される他の脅威検出を損なうことなく、誤検知をどのように抑制しますか?
A.侵入テスト用のインスタンスにElastic IPアドレスを、GuardDutyの信頼されたIPアドレスとして登録する
4
EC2 インスタンスでマルウェアが検出されました。このインスタンスには IAM ロールがアタッチされていません。ただし、VPC には S3 エンドポイントがアタッチされています。アカウントには 2 つのバケットがあります。 Bucket-A は侵害されたインスタンスと同じリージョンにあり、Bucket-B は別のリージョンにあります。バケットは、リクエストが VPC エンドポイント経由で送信された場合、誰でもアクセスできます。マルウェアがアクセスできるリソースは? (3つ選択)
A.
1.Bucket Aのオブジェクト
2.インスタンスのメタデータサービス
3.NAT GW,IGW, VPG GWのようなVPCリソース
※S3エンドポイントは同じリージョンのバケット内へのアクセスを許可する。
5
あなたのアプリケーションはネットワーク ロード バランサーを使用しており、悪意のあるアクターやボットに関連付けられた IP アドレスから発信されたリクエストをブロックしたいと考えています。このセットアップを保護するための最も簡単なオプションは何ですか?
A.NLBをオリジンとするCloudFrontのDistributionを作成し、WAFをアタッチする。
※NLBはWAFをサポートしていない
6
セキュリティ エンジニアは、エラスティック ロード バランサーと EC2 Web サーバーを使用して、Web アプリケーションのエンドツーエンドの暗号化を有効にする必要があります。 SSL/TLS 証明書は、会社のドメイン名で発行されます。 Web サーバーでは、証明書を EC2 インスタンスに保持する必要があります。証明書の偶発的な漏洩を防ぐために、エンジニアはどの構成を使用する必要がありますか? (3つ選択)
A.
①ACMを利用して、ロードバランサーに証明書をアタッチし、HTTPSを有効にする
②ウェブサーバーに自己署名証明書を適用し、HTTPSを有効にする
③ACMを利用して証明書を管理する
7
マイクロサービスのデプロイでは、Elastic Load Balancer を使用してサービス間の通信を容易にします。呼び出し元はリクエストをロード バランサー エンドポイントに送信し、ロード バランサーはそのリクエストを Elastic Container Service (ECS) クラスターで実行されている正常なコンテナーにルーティングします。ただし、このアプローチの欠点は、すべてのマイクロ サービスにロード バランサーが必要であり、展開コストが増加することです。
コストを削減し、リクエストが正常なコンテナーにのみ転送されるようにするオプションはどれですか? 【2つ選んでください】
A.
①ALBのパスベースのルーティング機能を使用する(ロードバランサーの数を最小限に抑えることができる。)
②App Meshを利用する(App Meshは、各コンテナと共にenvoyサイドカーがデプロイされる。サービスとタスクをEnvoyに発行する。)
8
S3 に保存されている重要なデータがあり、インターネットからのバケットへのアクセスは許可されていません。 EC2 インスタンスで実行されているアプリは、バケット内のオブジェクトにアクセスする必要があります。これらのオプションのどれを使用しますか? (3つ選択)
A.
①EC2インスタンスがS3と同じリージョンであること
②Source VPC endpoint IDをチェックする条件をバケットポリシーを記載する
③S3ゲートウェイエンドポイントをVPCにアタッチする
9
企業ポリシーでは、KMS カスタマーマスターキーを 3 か月ごとにローテーションする必要があります。どうすればこれを達成できますか?
A.3ヶ月ごとにCMKを作成し、新しいキーにエイリアスを作成するようにLambda関数を呼び出すCloudWatchスケジュールイベントを設定する
10
SaaS プロバイダーは、AWS に数千の顧客を抱えています。このサービスはネットワーク ロード バランサーを使用して負荷分散されており、ネットワーク アクセスをその顧客のみに制限するソリューションを提案する必要があります。これらのオプションのどれを使用しますか?
A.NLBを共有するPrivateLinkを設定し、サービスに接続するための、プライベートインタフェースエンドポイントを顧客が設定できるようにする
11
Route 53 を使用して、トラフィックをリージョンの Elastic Load Balancer エンドポイントに分散しています。地域のエンドポイントが攻撃によってダウンした場合、Route 53 は他の使用可能なエンドポイントに自動的にルーティングする必要があります。これを有効にするには、Route 53 で具体的にどのような手順を完了する必要がありますか? (2 つ選択)
A.
①リージョンエンドポイントを監視するようにRoute53のヘルスチェックを設定する
②各リージョンのエンドポイントにエイリアスレコードを設定し、レイテンシーベースのルーティングを設定する。
12
外部キー マテリアルのオリジンと CloudHSM をキー マテリアルに使用するカスタマー マスター キーが混在しています。キーを毎年ローテーションする必要があります。回転にはどのような方法を使用できますか?
A.新しいキーを作成し、エイリアスをあて、手動でローテーションする。
※外部キーマテリアルのオリジンとカスタムキーストア(CloudHSM)のオリジンを持つカスタマーマスターキーの場合、手動でローテーションする必要がある。
13
アプリケーション ロード バランサーにアタッチされた WAF ルールをテストしています。よく知られたエクスプロイトをブロックするために、AWS マネージド ルール グループを使用しています。ただし、テスト中に、WAF が一般的なインジェクション攻撃パターンのリクエストをブロックしていないことに気付きました。この問題の原因は何ですか?
A.ルールアクションがカウントモードになっている
※カウントモード・・・テスト中にルールの有効性を確認し、ご検知を軽減するために使用される。
14
COVID により、会社の従業員の大半が自宅で仕事をしています。ホーム ネットワークから AWS への安全な暗号化接続を提供する必要があります。どのオプションを使用しますか?
A.VPCで3rdパーティのVPNソリューションを使用します。従業員のPCからVPCに接続することを許可する。
※Private Link・・・AWSプライベートネットワークを介したVPC間の接続
Virtual Private Gateway・・・オンプレミスデータとAWS間のVPN接続
Direct Connect・・・オンプレミスデータセンターをAWSにリンクする
15
サーバーで FTP などのサービスが実行されているかどうかを監視して警告するツールが必要です。さらに、インターネットからの FTP アクセスを許可するセキュリティ グループまたはネットワーク ACL が変更された場合、ツールは、影響を受けるサーバーとポートでリッスンしているプロセスを特定する必要があります。この目的のためにどのサービスを使用できますか?
A.分析のためにAmazon Inspectorを使用し、設定変更の評価をトリガーするCloudWatchEventsを設定する。
※Amazon Inspectorは、インスタンスを検査し、プロセスがポートでリッスンしているかどうかを確認できる。インターネットからポートへのパスが存在するかどうかも確認できる。リソースの変更に応じてCloudWatch EventsからInspectorの評価をトリガーすることもできる。
16
特定のサービスや地域へのアクセスを制限するには、アカウントの境界アクセス許可を構成する必要があります。この要件をどのように実施しますか?ー
A.AWS Organizationを使用してメンバーアカウントとして登録し、必要な制御をSCPとしてアカウントにアタッチする。
※スタンドアロンアカウントで境界アクセス許可を直接指定することはできない。
17
企業には、AWS クラウドで使用したいオンプレミスのキー生成インフラストラクチャがあります。 AWS はこれに対してどのようなオプションを提供していますか?
A.外部キーマテリアルのオリジンを使用して新しいカスタマーマスターキーを作成する。キーマテリアルのないCMKが作成される。その後、キーマテリアルをインポートできる。
18
アカウント A は、A の S3 バケット内のオブジェクトを読み取るためのクロスアカウント アクセス許可をアカウント B に付与しました。アクセス許可は、バケット リソース ベースのポリシーを使用して付与されました。ただし、アカウント B の正当なユーザーがオブジェクトを読み取ろうとすると、ユーザーはアクセス許可拒否エラーを受け取りました。この問題の解決策は何ですか?
A.アカウントBはユーザーに対してバケットの読み取りアクセスを付与しなければいけない。
※クロスアカウントアクセスのシナリオにおいては、「リソース所有者」と「ID所有者」の両方がアセクスを許可している場合にのみ、ユーザーはリソースにアクセスできます。
19
使用中の KMS カスタマー マスター キーが誤って削除されました。キーを使用して暗号化されたデータはどうなりますか?キーを使用してリソースにアクセスする権限があるとします。 (2つ選択)
A.
①実行中のEC2インスタンスにマウントされている暗号化されたEBSのボリュームはアクセス可能。
②暗号化されたS3オうブジェクトはアクセスすることができなくなる。
※S3オブジェクトを復号化するには、マスターキーを使用して暗号化されたデータキーを復号化する必要がある。マスターキーが利用できない場合、データキーを復号できないため、オブジェクトにアクセスできなくなる。暗号化されたEBSボリュームは、ボリューム全体に対して単一のデータキーを使用する。インスタンスが稼働している場合は、データキーは復号化され、ホストメモリに保持される。そのため、データを他のボリュームにコピーすることで回復できる。
20
あなたの組織は、サードパーティの脅威インテリジェンス フィードを購読しています。サービスの一部として、さまざまな場所から疑わしい IP の既知のリストを受け取ります。 CISO は、これらの IP アドレスからリソースへのアクティビティを監視したいと考えています。これにはどのようなサービスを使用できますか?
A.GuardDutyを使用して、脅威リストに疑わしいIPを設定します。
※GuardDutyはVPCログ、DNSログ、CloudTrail管理、およびデータイベントを自動的に監視し、脅威リストのIPから発生した結果を報告する。WAFはHTTP、HTTPSリクエスにのみ役に立つ。
21
Web アプリには、DDoS 攻撃やアプリケーション レイヤー攻撃からの保護が必要です。どのようなサービスを組み合わせて使用できますか? (3つ選択)
A.
①WAFで適切なルールを設定する(アプリケーション層の攻撃から保護)
②AutoScaling(トラフィックの増加を吸収)
③CloudFront(ディストリビューションを使用すると、エッジネットワークを使用して、ネットワークレイヤーのサービス拒否攻撃をブロックおよび吸収できる)
22
セキュリティ エンジニアは、CloudTrail ログを改ざんから保護したいと考えており、すべてのアカウントで一貫したログ ポリシーを必要としています。エンジニアはどのような手順を完了する必要がありますか? (3つ選択)
A.
①必要に応じてメンバーアカウントに対して、S3の証跡ログの読み取り専用のアクセス権限を付与する
②組織の証跡ログを有効にして、中央のS3バケットにログを保存します
③ログの整合性検証を有効にする
23
侵害された可能性のある EC2 インスタンスについて警告を受けました。この事件にどう対応しますか? (3つ選択)
A.
①証拠と調査のために、EBSのスナップショットを取得し、メモリダンプをキャプチャする
②SGとNACLの設定を変更し、インスタンスを孤立させる
③メタデータを取得し、終了保護を有効にする
24
環境を監視するために、AWS リソースへのアクセスをサードパーティに提供する必要があります。サードパーティにアクセスを許可するための推奨メカニズムは何ですか? (3つ選択)
A.
①外部IDを持つIAMロールの使用(3rd Partyにクロスアカウントアクセスを許可するため)
②リソースにアクセスするためのIAMロールを実行するよう要求する
③3rd Partyのアカウントを信頼するエンティティとして必要な権限を持つIAMロールを作成する
※3rd PartyはロールARNを持っている必要があり、外部IDも提供する必要がある。3rd Partyアカウントが信頼されたエンティティであり、外部IDの値が一致する場合のみ役割の引き受けが成功する。
25
セキュリティ エンジニアは、必須の Web アプリケーション ファイアウォール ルールによって、Application Load Balancer、CloudFront ディストリビューション、API ゲートウェイなどのリソースが保護されていることを確認する必要があります。このサービスは、ファイアウォール ルールの変更を、組織のアカウントとリージョン全体の新規および既存のリソースに自動的に適用する必要があります。これらのオプションのうち、エンジニアが実装する必要があるのはどれですか?
A.Firewall managerを使用して、中央でFirewallルールを管理する。
※Firewall manager: Firewallルールの展開を管理するための専用サービス
26
あなたは大規模な組織のセキュリティ専門家であり、偶発的な資格情報の漏えいに対処するためのインシデント対応計画を立てる必要があります。資格情報の誤用の可能性を自動的に監視するソリューションが必要です。この要件を満たすことができるサービスはどれですか?
A.GuardDuty
※資格情報の侵害を示すアクティビティを検出するのに役立つ。通常とは異なる場所からのAPIリクエスト、匿名かプロキシの使用、通常とは異なるインスタンスまたはインフラストラクチャのデプロイ、外部IPによって使用されるEC2ロール資格情報などを探して分析する。
27
企業は、AWS とオンプレミスのデータセンターの両方にリソースを備えたハイブリッド インフラストラクチャを持っています。オンプレミス アプリケーションは、パブリック エンドポイントを使用して AWS にアクセスします。一貫して低レイテンシのパフォーマンスを提供するソリューションを推奨する必要があり、ネットワーク パケットは転送中に暗号化する必要があります。どのようなソリューションを使用しますか?
A.Direct Connect Linkの中にVPN接続を稼働させる。
28
アプリケーションが不正な形式のペイロードを含む複数のリクエストを受信しており、分析のためにネットワーク パケットをキャプチャしたいと考えています。どのようなオプションがありますか?
A.VPC Traffic Mirroringを使用する
※パケットをキャプチャして、構成された宛先に送信できる。VPCフローログは、リクエストとレスポンスに関するヘッダーとコンテキストのみをキャプチャします。
29
暗号化されていない EBS ボリュームをどのように暗号化しますか? (2 つ選択)
A.
①EC2インスタンスを使用して、新しい暗号化されたボリュームと既存の暗号化されていないボリュームをマウントしてデータを移行する
②スナップショットから新しいボリュームを作成し、復元ステップで暗号化を有効にする
(スナップショットコピープロセス中に、暗号化構成を指定することもできる)
30
組織では、企業ユーザーがオンプレミスの Active Directory の既存の認証情報を使用して AWS にアクセスできるように、シングル サインオンを有効にする必要があります。ただし、クラウド ディレクトリのユーザーは、企業リソースへのアクセスを許可されていません。このアクセスをどのように構成しますか?
A.AWS Directory ServiceからオンプレミスのDirectory Serviceへの一方向の信頼を設定する。信頼の方向とリソースアクセスの方向は反対。
31
セキュリティ エンジニアは、EC2 インスタンスに対して複雑なファイアウォール ルールのセットを実装する必要があります。セキュリティ グループと NACL ファイアウォールは、要件の一部しか満たしていません。エンジニアはどのようなオプションを使用できますか?
A NACL/SGで満たすことができない要件は、iptables, Windows firewallなどのホストベースのFirewallを使用する。
32
アカウント A は、S3 バケット内の暗号化されたオブジェクトへのアクセスをアカウント B に許可する必要があります。アカウント A は、アカウント B に読み取りアクセスを許可するリソースベースのポリシーをバケットに既にアタッチしています。これらのアクセス シナリオのうちどれが機能しますか? (2 つ選択)
A.
①SSE-S3で暗号化されたオブジェクトは、他のアカウントからアクセスできる。
②SSE-KMSで暗号化されたオブジェクトは、別のアカウントからアクセスできるが、リクエスタアカウントにオブジェクトを読み取る権限と、復号化操作にマスターキーを使用する権限が付与されている必要がある。
33
あなたの会社の企業ポリシーでは、S3 に保存されているオブジェクトに対して暗号化された転送と保存時の暗号化が必要です。バケットが誤って公開された場合、匿名ユーザーがオブジェクトを読み取れないようにする必要があります。これらのオプションのうち、この要件を満たすのはどれですか? (3つ選択)
A.
①SSE-KMSキーを使用してバケットレベルの暗号化をする
②クライアントサイド暗号化をする
③セキュア通信ではない場合、読み取り書き込み操作ができないようにバケットポリシーを設定する
※どのポリシーにおいても、IAMグループをPrincipalとして設定することはできない。
34
サーバーレス ソリューションは、HTTPS リクエストを受信する API Gateway、ビジネス ロジック用の Lambda 関数、およびストレージ用のリレーショナル データベースのコンポーネントで構成されます。リレーショナル データベースの認証情報は、KMS カスタマー マスター キー (CMK) を使用して暗号化された Secrets Manager に保存されます。 API Gateway は Lambda 関数を呼び出し、Lambda 関数はリクエストの詳細をデータベースに保存します。テスト中に、Lambda 統合がセキュリティ例外で失敗し、ラムダ呼び出しの詳細が CloudWatch Logs に記録されませんでした。この問題をどのように修正しますか? (3つ選択)
A.
①Lambda関数の実行ロールがロググループ、ログストリームおよびイベント作成する権限があることを確認sぬる
②Lambda関数のリソースベースポリシーがAPI Gatewayを呼び出す権限があることを確認する
③Lambda関数の実行ロールに、SecretManagerからSecretを取得する権限があることと、KMSでCMKを使用するアクセス許可があることを確認する
35
AWS 環境の送信トラフィックは、パケット検査のためにセキュリティ アプライアンスを通過する必要があり、アプライアンスは疑わしいトラフィックをブロックできます。あなたの組織は、このアプライアンスを介してすべての VPC からのアウトバウンド トラフィックをルーティングしたいと考えています。このニーズにどのネットワーク アーキテクチャを使用しますか?
A.Transit Gatewayを使用して、VPCをTransit Gatewayにアタッチする。共通VPCを介してEgressトラフィックをルーティングするようにTransit Gatewayを構成する。
※Transit Gatewayを使用すると、ネットワークインフラストラクチャを相互接続するハブアンドスポークモデルをセットアップできる。Transit GatewayのRouteTableを設定して、検査のためにすべてのEgress Trafficを共通のVPCに送信できる。Traffic Mirroringのソリューションは、パケットを複製し、構成された宛先にコピーを送信する。
36
AWS Config を使用して、構成の変更を記録し、コンプライアンス違反のリソースを特定しています。私たちのアプリは複数のリージョンにデプロイされています。異なるアカウントに複数の環境があります。単一のダッシュボードからすべての地域とアカウントのコンプライアンス情報を確認できるように、構成データを統合する必要があります。これにはどのようなサービスを使用できますか?
A.AWS Config アグリゲーターを使用して、すべての地域とアカウントの設定、コンプライアンスデータを収集します。
37
クラウド内のアプリケーションの侵入および脆弱性テストに関する AWS のポリシーは何ですか? (2 つ選択)
A.
①顧客は許可されたサービス内のリソースを用いてペネトレーションテストを実行することができる
②ネットワークストレステストやその他のシュミレートされたイベントについて顧客が事前に承認を得る必要がある
38
重要なデータを S3 に保存しており、オブジェクトを暗号化する必要があります。さらに、暗号化方法は完全な前方秘匿性を提供する必要があります。どの暗号化メカニズムを使用しますか? (2 つ選択)
A.
①KMSのマスターキーが定期的にローテーションされるようにする
②SSE-KMSの暗号化を使用する
※S3はオブジェクトごとに異なるデータキーを使用し、データキーは構成されたマスターキーを使用して暗号化される。暗号化されたオブジェクトと暗号化されたデータキーは一緒に保存される。このスキームでは、データキーが侵害された場合、影響を受けるオブジェクトは一つだけなので、このメカニズムは前方秘匿性を提供する。ただし、マスターキーの侵害を防ぐために定期的にローテーションする必要がある。SSE-S3を使用すると、S3はオブジェクトへのアクセス権を持つリクエスターのためにオブジェクトを自動的に復号化する。そのため、バケットが誤って公開された場合、誰でもオブジェクトにアクセスできてしまう。
39
ある会社は、オンプレミスで管理されている従業員の資格情報を使用してクラウドに移行しています。 ID を管理し、AWS で必要なアクセスを許可するには、簡単なセットアップが必要です。組織には2000人の従業員がいます。どのオプションを使用する必要がありますか?
A.Active Directory Connectorを使用します
※Active Directory Connectorは複雑なホスティングインフラストラクチャが不要なプロキシサービス。すべてのAD要求をオンプレミスのActive Directoryに転送する。
・AD Connector Small: Max 500 user
・AD Connector Large: Max 5000 user
40
環境内のいくつかの EC2 インスタンスが、管理対象インスタンスとして Systems Manager に表示されません。この問題をどのように修正しますか? (3つ選択)
A.
①SSMサービスと通信する許可があ李、IAMロールがインスタンスにアタッチされているかを確認します
②SSMエージェントがインスタンスにインストールされていて、実行されていることを確認します
③インスタンスがパブリックサブネットにない場合は、SSMサービス固有のエンドポイントをVPCに追加する必要がある。
※SSMエージェントはSSMサービスと通信するためのアクセス許可が必要。そのアクセス許可はIAMロールを使用して付与される。
41
企業の情報セキュリティ グループは、リアルタイムのセキュリティ分析のために、ログ イベントを中央アカウントに統合したいと考えています。統合に使用できるソリューション オプションはどれですか?
A.HTTPSリスナーを使用して、前方秘匿性を提供するセキュリティポリシーを設定する
42
組織内のすべてのアカウントでカスタムの Amazon マシン イメージを共有するソリューションを提案する必要があります。これらは、必要なツールを備えたセキュリティが強化されたイメージです。この要件を満たすオプションはどれですか?
A.Resource Access Managerを使用して共有する
※Resource Access Manager を使用すると、AWS 組織の一部である外部アカウント、組織単位、およびアカウントと簡単に共有できる。
43
Web アプリケーションで、ユーザーが Amazon、Google、Facebook の既存の ID で登録できるようにします。認証が完了すると、ユーザーはアプリケーションに関連する特定の AWS サービスにアクセスできるようになります。アクセス管理に推奨されるオプションはどれですか?
A.Cognitoを使用してフェデレーションを管理する、承認されたユーザーはIAMロールにマッピングされ、ロールによって定義された一時的な権限を取得する。
※Cognitoサービスは、ソーシャルIDフェデレーションに役立ち、認証されたユーザーをロールにマップする。ユーザーには、リソースにアクセスするための一時的な認証情報が発行される。CognitoはOAuth2.0, OpenID Connect, SAML2.0などのフェデレーションメカニズムをサポートする。
44
企業の企業ポリシーでは、Web アプリにエンド ツー エンドの HTTPS 通信が必要です。 Elastic Load Balancer を使用しており、証明書は AWS Certificate Manager (ACM) を使用して管理されています。ロードバランサー リスナーは https トラフィックのみを受信するように設定されており、ACM 証明書はリスナー用に設定されています。実行する必要がある追加の手順は何ですか?
A.ロードバランサーからウェブサーバーへの通信が暗号化し、ウェブサーバーの自己署名証明書を使用する。
Discussion