問題271-問題280 (SAP)

【SCS-271】あるセキュリティエンジニアが AWS からメールを受け取りました。
メッセージによると、セキュリティエンジニアの AWS アカウントで実行されている Amazon EC2 インスタンスがフィッシングメールを送信しているとのことです。
このEC2 インスタンスは、本番環境にデプロイされているアプリケーションの一部です。
このアプリケーションは、Application Load Balancer の背後にある多くの EC2 インスタンスで実行されます。
インスタンスは、複数のサブネットと複数のアベイラビリティーゾーンにまたがる Amazon EC2 Auto Scaling グループで実行されます。
インスタンスは通常、HTTP、HTTPS、および MySQL プロトコルを介してのみ通信します。
調査の結果、セキュリティエンジニアは、電子メールメッセージがポート 587 経由で送信されていることを発見しました。
他のすべてのトラフィックは正常です。
セキュリティエンジニアは、侵害された EC2 インスタンスを含むソリューションを作成し、分析のためにフォレンジック証拠を保存し、アプリケーションのダウンタイムを最小限に抑える必要があります。
これらの要件を満たすためにセキュリティエンジニアが実行する必要がある手順は何ですか? （3つ選んでください。)

【SCS-272】ある企業は、AWS上に展開された内部ユーザー向けのサーバーレスアプリケーションを運用しています。このアプリケーションは、フロントエンドとビジネスロジックにAWS Lambdaを使用しています。Lambdaの関数は、VPC内のAmazon RDSデータベースにアクセスしています。同社は、データベース認証情報を格納するためにAWS Systems Manager Parameter Storeを使用しています。最近のセキュリティレビューでは、次の問題が検出されました。
・Lambda関数はインターネットにアクセスできます
・リレーショナルデータベースは一般にアクセスできます
・データベース認証情報は暗号化された状態で格納されていません

企業はセキュリティ問題を解決する為に、次のどの組み合わせを検討すべきでしょうか(3つ選択)

【SCS-273】ある会社で、Amazon EC2 インスタンスのキーペアの 1 つが侵害されました。
セキュリティエンジニアは、侵害されたキーペアを使用してデプロイした Linux EC2 インスタンスを特定する必要があります。
これをどのように達成できますか?

【SCS-274】ある会社は、どのAmazon EC2セキュリティグループもCIDRブロック0.0.0.0/0からのSSHアクセスを許可してはならないという要件があります。
会社はこの要件が遵守されているかを常に監視したいと考えており、セキュリティグループが準拠していない場合はほぼリアルタイムの通知を受け取りたいと思っています。
セキュリティエンジニアはAWS Configを設定し、セキュリティグループを監視するために制限付きssh管理ルールを使用する予定です。
セキュリティエンジニアは、これらの要件を満たすため、次にどのような行動を取るべきですか？

【SCS-275】ある企業の公開ウェブサイトは、Application Load Balancer (ALB)、ALB の背後でステートレスアプリケーションを実行する一連の Amazon EC2 インスタンス、およびアプリケーションがデータを読み取る Amazon DynamoDB テーブルで構成されています。
同社は、悪意のあるスキャンと DDoS 攻撃を懸念しています。
この会社は、各クライアント IP アドレスが 5 分間に 3 回だけデータを読み取ることができるという制限を課したいと思っています。
最小限の労力でこの要件を満たすソリューションはどれですか?

【SCS-276】ある企業には、AWS KMS（AWS Key Management Service）のCMKを管理するセキュリティチームがあります。
セキュリティチームのメンバーは、唯一CMKを管理できる存在である必要があります。
会社のアプリケーションチームは、時折CMKに一時的にアクセスする必要があるソフトウェアプロセスを持っています。
セキュリティチームは、アプリケーションチームのソフトウェアプロセスにCMKへのアクセスを提供する必要があります。
どの解決策をとることで、最も少ないオーバーヘッドでこれらの要件を満たすことができますか？

ある企業が、オンライン小売プラットフォーム用に大規模な商品カタログを定期的に処理しており、その商品のインデックス付けとメタデータの抽出が必要とされています。
これらは一括して処理され、Amazon Mechanical Turkサービスを使用して処理する小規模なチームに送られます。
ソリューションアーキテクトは、複数のMechanical Turk処理を同時に行うためのワークフローオーケストレーションプロセスを設計し、結果評価プロセスや失敗したジョブの再処理に対応することが課題となっています。

次のうち、最も少ない労力ですべてのワークフローの状態を可視化し、管理することができるソリューションはどれでしょうか。

【SCS-278】ある会社は、AWSアカウント内の単一のVPC内で複数のアプリケーションをホストしています。
アプリケーションは、AWS WAFのWeb ACLに関連付けられたALBの背後で実行されています。
会社のセキュリティチームは、複数のポートスキャンがインターネット上の特定の範囲のIPアドレスから発信されていることを確認しました。
セキュリティエンジニアは、問題のあるIPアドレスからのアクセスを拒否する必要があります。
どの解決策がこれらの要件を満たしますか？

【SCS-279】ある大企業の会計部門は、コストを最適化するために自社のAWSアカウントを監視するためにサードパーティ企業である中小企業を傘下に置くことを決定しました。
自社のセキュリティエンジニアは、中小企業に必要な自社のAWSリソースへのアクセス権を提供するという業務があります。
エンジニアはIAMロールを作成し、中小企業のAWSアカウントにこのロールを引き受ける許可を与えました。
顧客が中小企業に連絡するとき、検証のため、中小企業は自身のロールARNを提供しています。
エンジニアは、中小企業の他の顧客のだれかが自社のロールARNを推測して、潜在的に会社のアカウントを危険にさらす可能性があることを懸念しています。
エンジニアはこの危機を回避する為にどのようなステップを踏む必要が有りますか?

【SCS-280】ある企業は、Amazon EC2 ベースのアプリケーションを移行して、Instance Metadata Service バージョン 2 (IMDSv2) を使用しています。
セキュリティエンジニアは、EC2 インスタンスのいずれかがまだ Instance Metadata Service Version 1 (IMDSv1) を使用しているかどうかを判断する必要があります。
セキュリティエンジニアは、IMDSv1 エンドポイントが使用されなくなったことを確認するために何をする必要がありますか?