SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-291】金融 SaaS 企業は AWS Organizations 配下に 30 アカウントを保有し、月間請求額が直近 3 か月で 3,000 USD 増加した。
監査では「14 日以上アタッチされていない EBS ボリューム／未使用 Elastic IP／0.0.0.0/0 を許可する Security Group」がコスト超過と攻撃対象領域拡大の要因と判明した。
CISO は
①運用負荷を極小化し
②全アカウント横断で毎週の一覧レポートを取得し
③是正優先度を可視化する仕組みを求めている。
最適なアプローチはどれか。

AWS Organizations で Trusted Advisor Priority を有効化し、全アカウントのコスト最適化・セキュリティチェックを EventBridge で収集し、S3 と Athena で週次レポートを自動生成する
各アカウントにカスタム Lambda 関数を CDK で展開し、週次で CLI を実行して未使用リソースを一覧化し、SNS トピック経由で手動集計する
全アカウントの AWS Config ルールと GuardDuty 検知を Security Hub に統合し、Cost Explorer の月次 CSV を手動で突合してレポートを作成する
CloudTrail ログを Amazon QuickSight の SPICE に取り込みダッシュボード化し、未使用 Elastic IP はタグ判定と IAM ポリシーで運用部門に委任する

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-292】大手フィンテック企業は 30 の AWS アカウントを AWS Organizations で運用している。
経営層は
①未使用リソースによる月次コスト 10% 削減、
②全アカウントのセキュリティギャップと異常コストを発生から 24 時間以内に検知・通知、
③担当者 3 名での運用負荷最小化を要求している。
同社は Business Support プランを保持し、追加のサードパーティ製品の導入は禁止されている。
最も効率的なアプローチはどれか。

AWS Organizations で Trusted Advisor 組織ビューと Cost Anomaly Detection を有効化し、Security Hub に連携して集中ダッシュボードと自動通知を構成する。
各アカウントで Cost Explorer および Compute Optimizer を個別に確認し、四半期ごとに Well-Architected Tool レビューを実施し結果をスプレッドシートで集約する。
CloudTrail と Config のログを中央 S3 に集約し、Athena クエリで未使用リソースを抽出後、SNS で手動通知する運用手順書を作成する。
各アカウントに Lambda でスケジュールされたスクリプトを配置し、Describe API でリソース一覧を取得して QuickSight に可視化し、隔週で確認会議を行う。

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-293】K社は暗号資産交換業を営み、200の AWS アカウントを Organizations で運用している。
総EBS容量は1200TiB、平均I/Oは15%だが月次請求は想定より30%高い。
CISO は
①攻撃対象領域を減らすためのセキュリティギャップを組織横断で定量化し、
②1日以内に利用率20%未満のリソースを検知して Slack に通知し、
③追加コストを月500USD以内に抑える仕組みを要求した。
現在 CloudTrail は各アカウントで個別保存され IAM 設定のばらつきが多い。
RTO は4時間、同時管理者ログインは最大50名。
スクリプト運用の削減と CI/CD 整合も必須条件である。
要件を満たす最も効率的な構成はどれか。
2つ選べ。

AWS Well-Architected Tool を全アカウントで使い API 経由で結果を S3 に集約し、Athena と QuickSight でスコアを共有する構成を採用する
Cost Explorer の Cost Anomaly Detection と Rightsizing レポートを有効化し、SNS と Chatbot で利用率20%未満を Slack へ24時間以内に通知する構成を採用する
各アカウントに常時稼働の EC2 管理ノードを配置し、CloudWatch Agent でメトリクスを取得し、日次シェルで EBS 低利用をメール配信する構成を採用する
GuardDuty と Security Hub を全リージョンで有効化し、EventBridge から Lambda で Well-Architected スコアを再計算し、Slack へ通知する構成を採用する
Trusted Advisor 全チェックを Organizations で有効化し、結果を S3 に蓄積後 Athena で SQL し、運用チームが月次で手動レビューする構成を採用する

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-294】金融 SaaS 企業は、1 か月前から NAT Gateway の DataProcessing コストが日次平均 30 GB から 500 GB に急増した。
全社で 120 台の EC2 を使用するが CPU 使用率 5% 未満のインスタンスが 25 台ある。
CFO は「コストとセキュリティの両面で異常を早期検知し、未使用リソースを自動的に洗い出して週次でレポートしてほしい。
追加開発は最小限とし、AWS ネイティブサービスのみを用いること」と指示した。
最も適切な対応はどれか。

AWS Cost Explorer のコスト異常検出と AWS Trusted Advisor を有効にし、Security Hub で両サービスの検出結果を集約して週次レポートを自動送信する
Amazon GuardDuty を有効化し、異常検知イベントを EventBridge で CloudWatch Dashboards に転送し、毎週 CSV を手動で抽出する
CloudWatch Billing アラームで月額しきい値を設定し、休止状態の EC2 をスクリプトでタグ付けし、Lambda で週次レポートをメール送信する
AWS Cost and Usage Report を S3 に保存し、Athena でクエリを行い、Trusted Advisor は使わずに QuickSight で可視化ダッシュボードを日次共有する

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-295】オンラインゲームを運営するG社は、組織内120のAWSアカウントを8リージョンで利用し、月額約2億円のコストが発生している。
CISOは
①未使用EBSやElastic IPを検出し月次で15%削減、
②公開S3バケットや過剰IAM権限を同時可視化、
③検出から48時間以内にSlack通知、
④運用負荷を最小化し統合ダッシュボードを継続提供することを要求している。
マルチアカウントで最も適切なアーキテクチャはどれか。

Cost Explorerと各アカウントのTrusted Advisorを担当者がCSV出力し手動統合、SNSで週次メール通知しExcelピボットでレポートを作成する
OrganizationsでSecurity HubとTrusted Advisor Priorityを委任管理し全アカウントへ自動展開、EventBridgeで検出イベントを集約しAWS ChatbotでSlackへ即時通知、Cost Explorer RightsizingレポートをS3に格納しQuickSightでダッシュボードを提供する
各アカウントでAWS Configルールのみを個別有効化し、SNSトピック経由で管理アカウントへ転送、コストは月1回Athenaで手動集計しQuickSightで可視化する
Well-Architected Toolでワークロードを1件登録しチェックリスト回答だけを更新、PDFレポートを役員へ配布し継続監視や自動通知を行わない

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-296】金融SaaS企業は3アカウントで計500台のt3.mediumをAuto Scaling運用している。
EBSスナップショットと未使用NLBが増え、月次コストが15%超過した。
担当者は1名でカスタムコードは保守したくない。
全アカウント横断で
①暗号化されていないRDSスナップショット
②30日以上未アタッチのEBS
③アイドルNLBを週次検出し、結果を中央S3に90日保存して経営陣と共有したい。
最も運用負荷が低く、セキュリティギャップとコストの無駄を同時に可視化できる方法はどれか。

各アカウントにAWS ConfigルールとAWS Budgetsアラートを実装し、EventBridgeでLambdaへ転送してDynamoDBに集約し、週次レポートを手動生成する
AWS OrganizationsでTrusted Advisorパススルーアクセスを有効化し、Security Hubと統合して全結果をEventBridgeで中央S3へエクスポートし、週次で共有する
各アカウントのCURをS3に保存し、AthenaとQuickSightでダッシュボードを作成して不要リソースを表計算で抽出する
全インスタンスにSSM Agentを導入し、AWS InspectorとCost ExplorerのRI推奨を組み合わせて週次の不要リソース一覧を作成する

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-297】フィンテック企業A社は15アカウントをAWS Organizationsで一括管理し、計500台のAmazon EC2を常時稼働している。
平日昼の平均CPU使用率は40%、深夜は5%で、パブリックIP付きENIが120個存在する。
CISOは
①未使用リソースとその月額コストを毎月1回自動集計し、
②公開不要なENIを特定して攻撃対象領域を削減し、
③運用者の手動作業をゼロにすることを指示した。
最小の追加構成で要件を満たす方法はどれか。

AWS Cost ExplorerのSavings Plansレコメンデーションを有効化し、AWS Trusted Advisorの全チェックを週次でメール送信し、不要ENIの情報を手動で集計する。
AWS Cost and Usage ReportをOrganizationsの委任管理アカウントに集約し、Athenaクエリでコストを抽出、AWS Security Hub標準コントロールで公開ENIを検出し、EventBridgeで月次レポートを自動送信する。
AWS CloudTrailログをS3に統合し、GlueでETL後QuickSightに可視化、GuardDutyの検出結果を基にLambdaでENIを削除し、コストは手動で確認する。
CloudWatchメトリクスストリームをKinesis Data Firehose経由でAmazon OpenSearch Serviceに送り、KibanaでCPU未使用率を手動分析し、0.0.0.0/0を許可したセキュリティグループでENIを制御する。

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-298】FinTech 企業 ABC は AWS Organizations 配下に 20 アカウントを持つ。
直近 3 か月で EC2 と送信転送料のコストが月次で 30% 増加し、平均 CPU 使用率 5% 未満の t3.large が 150 台あると推定される。
監査では「未関連の Elastic IP が 80 個、公開 S3 バケットが 3 件」とも指摘された。
追加運用負荷を最小としつつ攻撃対象領域を縮小し、過剰コストとセキュリティギャップを継続的に特定・可視化する推奨アプローチを 2 つ選べ。

AWS Organizations 管理アカウントで Trusted Advisor 組織ビューと Cost Explorer を有効化し、使用率 5% 未満の EC2 と未使用 Elastic IP を検出して Security OU の S3 に自動レポートを保存する
全アカウントで Compute Optimizer と IAM Access Analyzer を有効化し、EventBridge で Security Hub に Findings を集約し、コストと公開リソースの異常を一元監視する
GuardDuty と Detective を全リージョンで有効化し、CloudWatch Contributor Insights に転送してコスト異常を可視化する
社内エンジニアが AWS CLI を週次実行して describe 出力を取得し、Excel で一覧を作成して配布する手順を runbook 化する
AWS Marketplace の外部 CSPM SaaS を契約し、各アカウントをスキャンさせ月次 PDF レポートを受領する運用とする

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-299】FinTech 企業 F 社は AWS Organizations 配下に 12 アカウントを保有している。
セキュリティ担当者は次を 30 日以内に開始する必要がある。
(1) 停止中 EC2 30 台と EBS スナップショット 500 点を特定し月次で 20% コスト削減を図る。
(2) 0.0.0.0/0 を許可する SG や IAM ポリシー逸脱を継続検出し役員ダッシュボードへ集約。
(3) Well-Architected Security Pillar のギャップを常時監査。
最適な方法はどれか。

管理アカウントに Cost Explorer Rightsizing と Budgets を有効化し、四半期ごとに Well-Architected Tool を手動実行し、結果 CSV をメール送信する。
各アカウントで Config managed rule を展開し Security Hub へ統合、Cost Anomaly Detection を有効化、Well-Architected Tool を毎月 API 更新し、AWS Artifact でレポートを取得する。
Organizations 全体で Trusted Advisor Priority と Security Hub を統合し、Cost Explorer Rightsizing 推奨を CUR 経由で S3 に出力、QuickSight ダッシュボードを自動更新する。
Amazon Inspector を有効化し、S3 Storage Lens でスナップショット容量を分析、各アカウントの Cost Explorer を四半期ごとに手動確認し、結果を PowerPoint で共有する。

カテゴリ: SCS-6.4アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する。

1
2
3

【SCS-300】FinTech 企業 A 社は PCI DSS 準拠の決済 API を AWS 上で運用している。
ECS Fargate 80 タスクと RDS MySQL に加え、直近 3 か月で 500 GB 分の不要 EBS スナップショットと 30 個の Elastic IP が放置され、月次コストが予算を 20 % 超過した。
CISO は攻撃対象領域を削減しつつコストを予算内 (±10 %) に戻すため、未使用リソースと設定不備を継続的に検出し、優先度付きの修正提案を PDF として経営層へ自動配信したい。
最小運用負荷で実現できるアプローチはどれか。

AWS Organizations で Trusted Advisor 全項目と Cost Explorer のコスト異常検出を有効化し、Security Hub と統合、EventBridge で週次 PDF レポートを作成し SES で経営層へ送信する
全リソースを AWS Config で記録し、Athena と QuickSight で未使用 EBS と EIP を可視化、運用チームが毎週ダッシュボードを手動 PDF 出力してメール送信する
管理用 EC2 で cron スクリプトを走らせ AWS CLI でスナップショットと Elastic IP を列挙し、CSV を S3 に保存後 SNS トピックで通知、必要に応じて担当者が削除する
各サービスで Compute Optimizer と AWS Well-Architected Tool を実行し、四半期ごとにコンソールで結果を確認してスプレッドシートに転記、改善アクションを手動で計画する