Udemy講師クーポン配布中。詳しくはこちら(AIP問題集追加しました)

【無料】AWS SCS-C03練習問題10問|図解解説付き|Udemy講師作成

AWS SCS無料問題集です。正解と解説を確認する際は右側のボタンを押下してください。

問題集の完全版は以下Udemyにて発売しているためお買い求めください。問題集への質問はUdemyのQA機能もしくはUdemyのメッセージにて承ります。Udemyの問題1から10問抜粋しております。

多くの方にご好評いただき、講師評価 4.5/5.0 を獲得できております。ありがとうございます。

特別価格: 通常2,600円1,500円

講師クーポン適用で42%OFF

講師クーポン(C03アップデート済)【全網羅+詳細解説】SCS-C03実践問題 (Security Specialty)

(C03アップデート済)【全網羅+詳細解説】SCS-C03実践問題 (Security Specialty)

問題文:
ある物流企業は Amazon GuardDuty を全てのAWSリージョンで有効にし、セキュリティ監視の一環として使用しています。
この企業の VPC内のAmazon EC2インスタンス では、提携する運送会社向けの FTPサーバー を運用しており、多数の運送パートナーが異なる拠点からこのFTPサーバーに接続して配送データをアップロード しています。 しかし、GuardDutyはこの高頻度の接続を「ブルートフォース攻撃」として誤検知し、警告を出しています。
企業はこの警告を 「誤検知(False Positive)」 としてフラグを立てましたが、GuardDutyは引き続きこの問題を報告し続けています。 セキュリティエンジニアは、企業の可視性を損なうことなく、ノイズを減らし、より有意義なアラートを受け取るようにする必要があります。
この要件を満たすには、どの解決策を導入すべきでしょうか?

選択肢:
A. GuardDutyの FTPルール を、FTPサーバーが配置されているリージョンで無効化する。
B. FTPサーバーのIPアドレスを「信頼済みIPリスト(Trusted IP List)」に追加し、GuardDutyに適用することで通知を停止する。
C. GuardDutyの 抑制ルール(Suppression Rule) を作成し、指定した条件に一致する新しい検出結果を自動でアーカイブする。
D. AWS Lambda関数 を作成し、適切な権限を持たせ、GuardDutyが新しい検出結果を報告するたびに自動で削除する。

正解:C

A. GuardDutyの FTPルール を、FTPサーバーが配置されているリージョンで無効化する。

不正解 GuardDutyの特定のルール(この場合はFTP関連の検知ルール)を無効にすると、FTPに関する 全ての異常な振る舞いの検知ができなくなる ため、セキュリティ上のリスクが生じます。

例えば、実際のブルートフォース攻撃や不正アクセスが発生した場合も検知できなくなるため、この方法は適切ではありません。

B. FTPサーバーのIPアドレスを「信頼済みIPリスト(Trusted IP List)」に追加し、GuardDutyに適用することで通知を停止する。

不正解 GuardDutyの「信頼済みIPリスト(Trusted IP List)」は、外部からの通信元IPアドレス を除外するためのものであり、内部のEC2インスタンス には適用できません。

このケースでは、問題の原因は FTPサーバー自身が受信する接続数が多いこと なので、Trusted IP Listを設定しても解決にはなりません。

C. GuardDutyの 抑制ルール(Suppression Rule) を作成し、指定した条件に一致する新しい検出結果を自動でアーカイブする。

正解 GuardDutyの「抑制ルール(Suppression Rule)」を作成 することで、特定の条件に一致するアラートを自動的にアーカイブ できます。

これにより、実際の脅威が発生していない誤検知を減らしつつ、他の異常な動作の検出を継続できる ため、最も適切な解決策です。

D. AWS Lambda関数 を作成し、適切な権限を持たせ、GuardDutyが新しい検出結果を報告するたびに自動で削除する。

不正解 AWS Lambda関数を使って GuardDutyのアラートを削除するのは根本的な解決策ではなく、適切な方法ではありません。 Lambdaで単純に削除するのではなく、GuardDutyの抑制ルールを活用することで、特定の条件を満たした場合にのみ適切にフィルタリングする方が望ましい です。

全体的な説明

問われている要件

この問題では、GuardDutyの誤検知(False Positive)を適切に管理する方法 を問われています。 解決策を選ぶ際のポイントは以下の通りです。

  1. 企業の可視性(Visibility)を損なわずに、ノイズを減らすこと
  • すべてのFTP関連の警告を無効化すると、本当に危険なアクティビティを見逃す可能性があるため、適切なフィルタリングが必要。
  1. 誤検知を抑制しつつ、本当の脅威は検知できるようにすること
  • たとえば、通常のFTP接続による大量のトラフィックは問題ではないが、異常なIPアドレスや短時間での異常な試行回数は検知すべき。
  1. 手動での対応を減らし、自動化する方法を選ぶこと
  • 例えば、GuardDutyのアラートを都度手動で無視するのではなく、適切なルールを設定して 自動的に不要なアラートをフィルタリングする 方法が望ましい。

前提知識

  • Amazon GuardDuty とはAWSのマネージド型脅威検知サービス。
  • 異常なトラフィックや不正アクセスの試行などを自動で検出 し、セキュリティアラートを発行する。

GuardDutyの抑制ルール(Suppression Rule)

  • 特定の条件(アカウント、IPアドレス、リージョン、リソースID など)を指定し、一致するアラートを自動的にアーカイブする ことができる。
  • 脅威検知の可視性を保ちつつ、不要なアラートを減らす ための機能。

Trusted IP List(信頼済みIPリスト)

  • 企業の 既知の安全な外部IPアドレス を登録し、そのIPからのアクティビティはGuardDutyのスキャン対象外にする。
  • 内部のEC2インスタンスのアクティビティには適用できない。

解くための考え方

  1. 問題の本質を理解する
  • 誤検知(False Positive)を減らしつつ、重要な異常検知は維持する必要がある。
  1. GuardDutyの機能を適切に活用する
  • 抑制ルール(Suppression Rule) を活用すれば、特定の条件に一致するアラートのみをフィルタリングできる。
  1. 他の選択肢と比較する
  • GuardDutyのルールを無効化する→ セキュリティリスクが高い
  • Trusted IP Listを使う→ 内部のEC2インスタンスには適用できない
  • Lambdaで削除する→ 適切な対応ではなく、根本的な解決にならない
  • 抑制ルールを使う→ 誤検知を減らしつつ、他の異常検知は継続できる(最適)

参考資料

目次

スポンサーリンク

以下スポンサーリンクです。

この記事がお役に立ちましたら、コーヒー1杯分(300円)の応援をいただけると嬉しいです。いただいた支援は、より良い記事作成のための時間確保や情報収集に活用させていただきます。

目次