AWS認定資格 無料問題集

解答

正しい解答：Ｂ. Amazon GuardDuty

　URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

　Amazon EC2（Elastic Compute Cloud）インスタンスのネットワーク・トラフィックを記録して、不正アクセスを検知するサービスは、Amazon GuardDuty です。VPC Flow Logs により、Amazon EC2 インスタンスの仮想NICでトラフィックをキャプチャすることができ Amazon GuardDuty を使用することにより、そのキャプチャしたログを監視して、不正アクセスを検知することができます。Amazon GuardDuty は悪意のある操作や不正な動作を継続的に監視して、脅威を検出するマネージド型のサービスです。脆弱性診断ではなく、ログを監視・分析して脅威の存在を検出する仕組みです。既知の悪質なドメインやIPアドレスとの通信を検出して、異常な動作を特定することができます。Amazon GuardDuty は、VPC Flow Logs の他、AWS CloudTrail のログや、DNS Logs から脅威分析することができます。一方、注意点として、Amazon GuardDuty 自体はログの取得・保存を行うサービスではなく、これらの既存のログを用いて脅威を検出する分析サービスであることを理解しておきましょう。

　その他の選択肢は、インスタンスの仮想NICでのトラフィックをキャプチャして、不正アクセスを検知するサービスではありません。Amazon CloudWatch は、インスタンスのメトリクス（対象サービスのリソース情報）やネットワークの通信状態、アプリケーションを監視する統合監視サービスです。VPC Flow Logs により取得したログを CloudWatch Log に出力することは可能です。また、AWS IAM（Identity and Access Management） Access Analyzer は、IAM ポリシーを検査して、他の AWS アカウントや外部（Internet）からのアクセスが可能となっている設定を検出・可視化するツールです。外部公開されている Amazon S3 バケットや IAM ロールなどの不正アクセスを分析することができます。
　なお、上述の通り、仮想NICでトラフィックをキャプチャすることができるため、「ネットワーク・トラフィックを記録することはできない」 の選択肢も誤りです。基本的には、出来ないことをあえて問題にすることはありません。

Step Up！
　Amazon GuardDuty は、2022年7月に Amazon EC2インスタンスのマルウェアスキャン機能が追加されました。C＆C サーバとの通信などマルウェア感染が疑われる挙動が検出された際に、ディスク領域の Amazon EBS 内のファイルをスキャンして、不審なファイルを特定することができます。