Amazon AWS Certified Security - Specialty (SCS-C02日本語版) - SCS-C02日本語 Exam Questions
QUESTION NO: 1
セキュリティ チームは、クラウド環境での AWS API 呼び出しアクティビティをレビューしてセキュリティ違反がないかを確認する責任があります。これらのイベントは、現在および将来の AWS リージョンの両方で一元化された場所に記録され、保持される必要があります。
これらの要件を満たす最も簡単な方法は何ですか?
セキュリティ チームは、クラウド環境での AWS API 呼び出しアクティビティをレビューしてセキュリティ違反がないかを確認する責任があります。これらのイベントは、現在および将来の AWS リージョンの両方で一元化された場所に記録され、保持される必要があります。
これらの要件を満たす最も簡単な方法は何ですか?
Correct Answer: A
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 2
ある会社のセキュリティ エンジニアは、他の IAM サービスへのアクセスを許可せずに、請負業者の IAM アカウントの会社の Amazon EC2 コンソールへのアクセスを制限するという任務を負っています。請負業者の IAM アカウントは、IAM グループのメンバーシップに基づいて追加の権限が割り当てられている場合でも、他の IAM サービスにアクセスできないようにする必要があります。セキュリティ エンジニアは、これらの要件を満たすために何をすべきでしょうか。
ある会社のセキュリティ エンジニアは、他の IAM サービスへのアクセスを許可せずに、請負業者の IAM アカウントの会社の Amazon EC2 コンソールへのアクセスを制限するという任務を負っています。請負業者の IAM アカウントは、IAM グループのメンバーシップに基づいて追加の権限が割り当てられている場合でも、他の IAM サービスにアクセスできないようにする必要があります。セキュリティ エンジニアは、これらの要件を満たすために何をすべきでしょうか。
Correct Answer: A
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 3
ある会社では、Amazon EC2 起動タイプを使用して、Amazon Elastic Container Service (Amazon ECS) で社内マイクロサービスを実行しています。この会社では、Amazon Elastic Container Registry (Amazon ECR) プライベートリポジトリを使用しています。
セキュリティエンジニアは、AWS Key Management Service (AWS KMS) を使用してプライベートリポジトリを暗号化する必要があります。また、セキュリティエンジニアは、コンテナイメージに共通する脆弱性と露出 (CVE) がないか分析する必要もあります。
これらの要件を満たすソリューションはどれでしょうか?
ある会社では、Amazon EC2 起動タイプを使用して、Amazon Elastic Container Service (Amazon ECS) で社内マイクロサービスを実行しています。この会社では、Amazon Elastic Container Registry (Amazon ECR) プライベートリポジトリを使用しています。
セキュリティエンジニアは、AWS Key Management Service (AWS KMS) を使用してプライベートリポジトリを暗号化する必要があります。また、セキュリティエンジニアは、コンテナイメージに共通する脆弱性と露出 (CVE) がないか分析する必要もあります。
これらの要件を満たすソリューションはどれでしょうか?
Correct Answer: B
QUESTION NO: 4
セキュリティエンジニアは、企業が Amazon S3 バケットに保存するデータに対して、Write-Once-Read-Many (WORM) モデルを実装する必要があります。同社は、すべての S3 バケットに S3 標準ストレージ クラスを使用しています。セキュリティ エンジニアは、AWS アカウントの root ユーザーを含むどのユーザーもオブジェクトを上書きしたり削除したりできないことを確認する必要があります。
これらの要件を満たすソリューションはどれですか?
セキュリティエンジニアは、企業が Amazon S3 バケットに保存するデータに対して、Write-Once-Read-Many (WORM) モデルを実装する必要があります。同社は、すべての S3 バケットに S3 標準ストレージ クラスを使用しています。セキュリティ エンジニアは、AWS アカウントの root ユーザーを含むどのユーザーもオブジェクトを上書きしたり削除したりできないことを確認する必要があります。
これらの要件を満たすソリューションはどれですか?
Correct Answer: C
QUESTION NO: 5
ある企業は、AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを活用したセキュアなソリューションを構築しています。AWS Lambda による KMS キーの使用を許可したい一方で、Amazon EC2 によるキーの使用は禁止したいと考えています。
これらの要件を満たすソリューションはどれでしょうか?
ある企業は、AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを活用したセキュアなソリューションを構築しています。AWS Lambda による KMS キーの使用を許可したい一方で、Amazon EC2 によるキーの使用は禁止したいと考えています。
これらの要件を満たすソリューションはどれでしょうか?
Correct Answer: C
QUESTION NO: 6
セキュリティ エンジニアは、Amazon EC2 インスタンスで実行されている従来の 3 層 Web アプリケーションを管理しています。このアプリケーションは、インターネットからの悪意のある攻撃の標的になるケースが増えています。
既知の脆弱性をチェックし、攻撃対象領域を制限するために、セキュリティ エンジニアはどのような手順を踏む必要がありますか?
(2つ選択してください。)
セキュリティ エンジニアは、Amazon EC2 インスタンスで実行されている従来の 3 層 Web アプリケーションを管理しています。このアプリケーションは、インターネットからの悪意のある攻撃の標的になるケースが増えています。
既知の脆弱性をチェックし、攻撃対象領域を制限するために、セキュリティ エンジニアはどのような手順を踏む必要がありますか?
(2つ選択してください。)
Correct Answer: A,C
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 7
ある会社には 2 つの AWS アカウントがあります。1 つのアカウントは開発ワークロード用です。もう 1 つのアカウントは本番ワークロード用です。コンプライアンス上の理由から、本番アカウントには、会社が暗号化に使用するすべての AWS Key Management Service (AWS KMS) キーが含まれています。
同社は、開発アカウントの AWS Lambda 関数に IAM ロールを適用して、AWS リソースへの安全なアクセスを許可しています。Lambda 関数は、Lambda 関数のデータを暗号化するために、本番アカウントに存在する特定の KMS カスタマー管理キーにアクセスする必要があります。
これらの要件を満たすために、セキュリティ エンジニアはどの組み合わせの手順を実行する必要がありますか? (2 つ選択してください。)
ある会社には 2 つの AWS アカウントがあります。1 つのアカウントは開発ワークロード用です。もう 1 つのアカウントは本番ワークロード用です。コンプライアンス上の理由から、本番アカウントには、会社が暗号化に使用するすべての AWS Key Management Service (AWS KMS) キーが含まれています。
同社は、開発アカウントの AWS Lambda 関数に IAM ロールを適用して、AWS リソースへの安全なアクセスを許可しています。Lambda 関数は、Lambda 関数のデータを暗号化するために、本番アカウントに存在する特定の KMS カスタマー管理キーにアクセスする必要があります。
これらの要件を満たすために、セキュリティ エンジニアはどの組み合わせの手順を実行する必要がありますか? (2 つ選択してください。)
Correct Answer: B,D
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 8
CTO は、IAM アカウントがハッキングされたと考えています。ハッカーが非常に高度な IAM エンジニアであり、痕跡を隠すためにあらゆる手段を講じていると仮定した場合、不正アクセスがあったかどうか、またハッカーが何を行ったかを確実に知る唯一の方法は何でしょうか。
選択してください:
CTO は、IAM アカウントがハッキングされたと考えています。ハッカーが非常に高度な IAM エンジニアであり、痕跡を隠すためにあらゆる手段を講じていると仮定した場合、不正アクセスがあったかどうか、またハッカーが何を行ったかを確実に知る唯一の方法は何でしょうか。
選択してください:
Correct Answer: D
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 9
開発チームは、シンプルで古い Web アプリケーションをテストするための実験環境を構築しました。プライベート サブネットとパブリック サブネットを持つ分離された VPC を構築しました。パブリック サブネットには、Application Load Balancer、NAT ゲートウェイ、およびインターネット ゲートウェイのみが含まれます。プライベート サブネットには、すべての Amazon EC2 インスタンスが含まれます。3 つの異なるタイプのサーバーがあります。各サーバー タイプには、必要な接続のみにアクセスを制限する独自のセキュリティ グループがあります。セキュリティ グループには、インバウンド ルールとアウトバウンド ルールの両方が適用されます。各サブネットには、必要な接続のみにアクセスを制限するために、インバウンド ネットワーク ACL とアウトバウンド ネットワーク ACL の両方が適用されます。サーバーがインターネットへのアウトバウンド接続を確立できない場合、チームは次のどれを確認する必要がありますか? (3 つ選択してください。)
開発チームは、シンプルで古い Web アプリケーションをテストするための実験環境を構築しました。プライベート サブネットとパブリック サブネットを持つ分離された VPC を構築しました。パブリック サブネットには、Application Load Balancer、NAT ゲートウェイ、およびインターネット ゲートウェイのみが含まれます。プライベート サブネットには、すべての Amazon EC2 インスタンスが含まれます。3 つの異なるタイプのサーバーがあります。各サーバー タイプには、必要な接続のみにアクセスを制限する独自のセキュリティ グループがあります。セキュリティ グループには、インバウンド ルールとアウトバウンド ルールの両方が適用されます。各サブネットには、必要な接続のみにアクセスを制限するために、インバウンド ネットワーク ACL とアウトバウンド ネットワーク ACL の両方が適用されます。サーバーがインターネットへのアウトバウンド接続を確立できない場合、チームは次のどれを確認する必要がありますか? (3 つ選択してください。)
Correct Answer: A,B,D
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 10
開発プロジェクトに使用される AWS アカウントには、2 つのサブネットを含む VPC があります。最初のサブネットの名前は public-subnet-1 で、CIDR ブロック 192.168.1.0/24 が割り当てられています。もう 1 つのサブネットの名前は private-subnet-2 で、CIDR ブロック 192.168.2.0/24 が割り当てられています。各サブネットには Amazon EC2 インスタンスが含まれています。
現在、各サブネットは VPC のデフォルトのネットワーク ACL を使用しています。これらのサブネット内の EC2 インスタンスが使用するセキュリティ グループには、必要に応じて各インスタンス間のトラフィックを許可するルールがあります。現在、これらのサブネットを使用している EC2 インスタンス間のすべてのネットワーク トラフィック フローは期待どおりに動作しています。
セキュリティ エンジニアは、デフォルト エントリを持つ、subnet-2-NACL という名前の新しいネットワーク ACL を作成します。セキュリティ エンジニアは、新しいネットワーク ACL を使用するようにすぐに private-subnet-2 を設定し、インフラストラクチャに他の変更を加えません。セキュリティ エンジニアは、public-subnet-1 と public-subnet-2 の EC2 インスタンスが相互に通信できないというレポートを受け取り始めます。
これら 2 つのサブネットで実行されている EC2 インスタンスが再び通信できるようにするには、セキュリティ エンジニアが実行する必要がある手順の組み合わせはどれですか? (2 つ選択してください。)
開発プロジェクトに使用される AWS アカウントには、2 つのサブネットを含む VPC があります。最初のサブネットの名前は public-subnet-1 で、CIDR ブロック 192.168.1.0/24 が割り当てられています。もう 1 つのサブネットの名前は private-subnet-2 で、CIDR ブロック 192.168.2.0/24 が割り当てられています。各サブネットには Amazon EC2 インスタンスが含まれています。
現在、各サブネットは VPC のデフォルトのネットワーク ACL を使用しています。これらのサブネット内の EC2 インスタンスが使用するセキュリティ グループには、必要に応じて各インスタンス間のトラフィックを許可するルールがあります。現在、これらのサブネットを使用している EC2 インスタンス間のすべてのネットワーク トラフィック フローは期待どおりに動作しています。
セキュリティ エンジニアは、デフォルト エントリを持つ、subnet-2-NACL という名前の新しいネットワーク ACL を作成します。セキュリティ エンジニアは、新しいネットワーク ACL を使用するようにすぐに private-subnet-2 を設定し、インフラストラクチャに他の変更を加えません。セキュリティ エンジニアは、public-subnet-1 と public-subnet-2 の EC2 インスタンスが相互に通信できないというレポートを受け取り始めます。
これら 2 つのサブネットで実行されている EC2 インスタンスが再び通信できるようにするには、セキュリティ エンジニアが実行する必要がある手順の組み合わせはどれですか? (2 つ選択してください。)
Correct Answer: C,D
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 11
セキュリティエンジニアは、AWS Key Management Service (AWS KMS) を使用して、機密データを含む Amazon Elastic Block Store (Amazon EBS) ボリュームセットのキー管理ソリューションを設計する必要があります。ソリューションでは、キーマテリアルが 90 日後に自動的に期限切れになるようにする必要があります。
どのソリューションがこれらの基準を満たしていますか?
セキュリティエンジニアは、AWS Key Management Service (AWS KMS) を使用して、機密データを含む Amazon Elastic Block Store (Amazon EBS) ボリュームセットのキー管理ソリューションを設計する必要があります。ソリューションでは、キーマテリアルが 90 日後に自動的に期限切れになるようにする必要があります。
どのソリューションがこれらの基準を満たしていますか?
Correct Answer: A
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 12
ある会社では、サードパーティのアプリケーションを使用して、暗号化されたデータを Amazon S3 に保存しています。この会社は、アプリケーション間の職務の分離を確実にするために、別のサードパーティのアプリケーションを使用して Amazon S3 からのデータを復号化します。セキュリティ エンジニアは、Amazon EC2 インスタンスにアタッチされた IAM ロールを使用して権限を分離するよう警告しています。この会社は、ネイティブの IAM サービスを使用することを好みます。
これらの要件を満たす暗号化方法はどれですか?
ある会社では、サードパーティのアプリケーションを使用して、暗号化されたデータを Amazon S3 に保存しています。この会社は、アプリケーション間の職務の分離を確実にするために、別のサードパーティのアプリケーションを使用して Amazon S3 からのデータを復号化します。セキュリティ エンジニアは、Amazon EC2 インスタンスにアタッチされた IAM ロールを使用して権限を分離するよう警告しています。この会社は、ネイティブの IAM サービスを使用することを好みます。
これらの要件を満たす暗号化方法はどれですか?
Correct Answer: A
QUESTION NO: 13
ある会社が新しい IAM アカウントに新しいアプリケーションを実装しています。アプリケーション用に VPC とサブネットが作成されています。アプリケーションは、データベース アクセス用に同じ IAM リージョン内の別のアカウントの既存の VPC にピアリングされています。Amazon EC2 インスタンスはアプリケーション VPC で定期的に作成および終了しますが、TCP ポート 1521 経由でピアリングされた VPC 内のデータベースにアクセスする必要があるのは、その一部だけです。セキュリティ エンジニアは、データベースへのアクセスが必要な EC2 インスタンスだけがネットワーク経由でデータベースにアクセスできるようにする必要があります。
セキュリティ エンジニアはこのソリューションをどのように実装できますか?
ある会社が新しい IAM アカウントに新しいアプリケーションを実装しています。アプリケーション用に VPC とサブネットが作成されています。アプリケーションは、データベース アクセス用に同じ IAM リージョン内の別のアカウントの既存の VPC にピアリングされています。Amazon EC2 インスタンスはアプリケーション VPC で定期的に作成および終了しますが、TCP ポート 1521 経由でピアリングされた VPC 内のデータベースにアクセスする必要があるのは、その一部だけです。セキュリティ エンジニアは、データベースへのアクセスが必要な EC2 インスタンスだけがネットワーク経由でデータベースにアクセスできるようにする必要があります。
セキュリティ エンジニアはこのソリューションをどのように実装できますか?
Correct Answer: D
QUESTION NO: 14
監査の結果、ある会社の Amazon EC2 インスタンス セキュリティ グループが、無制限の着信 SSH トラフィックを許可することで会社のポリシーに違反していることが判明しました。セキュリティ エンジニアは、このような違反を管理者に通知する、ほぼリアルタイムの監視および警告ソリューションを実装する必要があります。
どのソリューションが最も運用効率が高く、これらの要件を満たすでしょうか?
監査の結果、ある会社の Amazon EC2 インスタンス セキュリティ グループが、無制限の着信 SSH トラフィックを許可することで会社のポリシーに違反していることが判明しました。セキュリティ エンジニアは、このような違反を管理者に通知する、ほぼリアルタイムの監視および警告ソリューションを実装する必要があります。
どのソリューションが最も運用効率が高く、これらの要件を満たすでしょうか?
Correct Answer: A
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
QUESTION NO: 15
開発者が会社の開発アカウントで AWS Lambda 関数を作成しました。Lambda 関数では、会社のセキュリティチームが管理するセキュリティアカウントにある AWS Key Management Service (AWS KMS) カスタマー管理キーを使用する必要があります。開発者は、開発アカウントの以前の Lambda 関数から KMS キーの ARN を取得します。以前の Lambda 関数は、KMS キーで正常に動作していました。
開発者が ARN を使用して新しい Lambda 関数をテストすると、セキュリティ アカウントの KMS キーへのアクセスが拒否されたことを示すエラー メッセージが表示されます。開発者は、同じ KMS キーを使用する以前の Lambda 関数をテストし、以前の Lambda 関数が引き続き期待どおりにデータを暗号化できることを発見します。
セキュリティ エンジニアは、開発アカウントの新しい Lambda 関数がセキュリティ アカウントの KMS キーを使用できるように、問題を解決する必要があります。
これらの要件を満たすために、セキュリティ エンジニアはどの組み合わせの手順を実行する必要がありますか? (2 つ選択してください。)
開発者が会社の開発アカウントで AWS Lambda 関数を作成しました。Lambda 関数では、会社のセキュリティチームが管理するセキュリティアカウントにある AWS Key Management Service (AWS KMS) カスタマー管理キーを使用する必要があります。開発者は、開発アカウントの以前の Lambda 関数から KMS キーの ARN を取得します。以前の Lambda 関数は、KMS キーで正常に動作していました。
開発者が ARN を使用して新しい Lambda 関数をテストすると、セキュリティ アカウントの KMS キーへのアクセスが拒否されたことを示すエラー メッセージが表示されます。開発者は、同じ KMS キーを使用する以前の Lambda 関数をテストし、以前の Lambda 関数が引き続き期待どおりにデータを暗号化できることを発見します。
セキュリティ エンジニアは、開発アカウントの新しい Lambda 関数がセキュリティ アカウントの KMS キーを使用できるように、問題を解決する必要があります。
これらの要件を満たすために、セキュリティ エンジニアはどの組み合わせの手順を実行する必要がありますか? (2 つ選択してください。)
Correct Answer: B,E
Explanation: Only visible for Pass4Test members. You can sign-up / login (it's free).
