AWS Security Specialty 問題集
的中予想問題
日本語版
243設問数
PDF版
AWS Security Specialty問題集はベンダー試験の過去の出題傾向を踏まえて作成されています。
IT認定試験は大多数が4択形式の設問となっています。
一般の公式テキスト、参考書、赤本などでは網羅されていない過去問を効果的に学習することにより、極めて短期間で資格認定試験に合格が可能になります。
一般の書店の書籍とことなり、本問題集はお支払い後、すぐにダウンロードしていただき、学習を開始していただけます。
紙媒体とことなり、本問題集は電子フォーマットとなっておりますので、PCラップトップ、タブレット、スマートフォンなど、時・場所に左右されることなく学習ができます。
多くの方から本番試験の合格のご報告を頂戴しています。
無料模擬試験問題
出題:1
セキュリティチームは、元従業員が特定されたアクセスキーを使用して、過去3か月のいずれかの時点でAWSリソースへの不正アクセスを取得した可能性があると考えています。セキュリティチームは、元従業員がAWS内で何をした可能性があるかを知るためにどのようなアプローチを使用しますか?
(A). AWS CloudTrailコンソールを使用して、ユーザーアクティビティを検索します。
(B). Amazon CloudWatch Logsコンソールを使用して、CloudTrailデータをユーザーでフィルタリングします。
(C). AWS Configを使用して、ユーザーが実行したアクションを確認します。
(D). Amazon Athenaを使用して、AmazonS3に保存されているCloudTrailログをクエリします。
解答:A
出題:2
セキュリティエンジニアは、10 TBのデータに対して新しいボールトロックポリシーを実装し、12時間前にinitiate-vault-lockを呼び出しました。監査チームは、ボールトへの誤ったアクセスを許可しているタイプミスを特定しました。これを修正するための最も費用効果の高い方法はどれですか?
(A). abort-vault-lock操作を呼び出し、タイプミスを修正して、initiate-vault-lockを再度呼び出します。
(B). ボールトデータをAmazonS3にコピーし、ボールトを削除して、データを使用して新しいボールトを作成します。
(C). ボールトロックを所定の位置に維持しながら、ポリシーを更新します。
(D). ポリシーを更新し、initiate-vault-lockを再度呼び出して、新しいポリシーを適用します
解答:A
出題:3
企業は、既存のMicrosoft Active Directoryで定義されているIDとグループを使用して、AWSリソースへのアクセスを制御することを検討しています。AWSサービスのパーミッションをActiveDirectoryユーザー属性にマッピングするには、会社はAWSアカウントに何を作成する必要がありますか?
(A). AWSIAMグループ
(B). AWSIAMユーザー
(C). AWSIAMの役割
(D). AWSIAMアクセスキー
解答:C
出題:4
ある会社がサードパーティと契約して、いくつかのAWSアカウントを監査しています。監査を有効にするために、監査の対象となる各アカウントにクロスアカウントIAMロールが作成されています。監査人は、一部のアカウントへのアクセスに問題があります。次のうちどれがこの問題を引き起こしている可能性がありますか?(3つ選択してください。)
(A). 監査人が使用する外部IDが欠落しているか、正しくありません。
(B). 監査人が間違ったパスワードを使用しています。
(C). 監査人には、宛先アカウントの役割に対してsts:AssumeRoleが付与されていません。
(D). 監査人が使用するAmazonEC2ロールは、宛先アカウントロールに設定する必要があります。
(E). 監査人が使用する秘密鍵が欠落しているか、正しくありません。
(F). 監査人が使用する役割ARNが欠落しているか、正しくありません。
解答:C、E、F
出題:5
コンプライアンス要件では、会社のオンプレミスホストとEC2インスタンス間のすべての通信は転送中に暗号化されると規定されています。ホストは通信にカスタム独自のプロトコルを使用します。可用性を高めるには、EC2インスタンスの前にロードバランサーを配置する必要があります。次のソリューションのどれがこれらの要件を満たしますか?
(A). SSLターミネーションをClassicLoad BalancerのSSLリスナーにオフロードし、ロードバランサーとEC2インスタンス間でTCP接続を使用します。
(B). すべてのトラフィックをClassicLoad BalancerのTCPリスナー経由でルーティングし、EC2インスタンスでTLS接続を終了します。
(C). Application Load Balancerを使用してHTTPSリスナーを作成し、そのロードバランサーを介してすべての通信をルーティングします。
(D). Application Load Balancerを使用してSSLターミネーションをSSLリスナーにオフロードし、ロードバランサーとEC2インスタンス間の再スポーンとSSL接続を行います。
解答:B
出題:6
アプリケーションは現在、ネットワークアクセス制御リストとセキュリティグループを使用して保護されています。Webサーバーは、Application Load Balancer(ALB)の背後にあるパブリックサブネットに配置されています。アプリケーションサーバーはプライベートサブネットにあります。Amazon EC2インスタンスを攻撃から保護するために、エッジセキュリティをどのように強化できますか?(2つ選択してください。)
(A). すべてのインバウンドトラフィックにNATゲートウェイを使用するようにアプリケーションのEC2インスタンスを設定します。
(B). WebサーバーをパブリックIPアドレスのないプライベートサブネットに移動します。
(C). ALBにDDoS攻撃保護を提供するようにAWSWAFを設定します。
(D). プライベートサブネット内の要塞ホストを経由してルーティングするために、すべてのインバウンドネットワークトラフィックを要求します。
(E). AWS DirectConnect接続を介してルーティングするためにすべてのインバウンドおよびアウトバウンドネットワークトラフィックを要求します。
解答:B、C
出題:7
セキュリティ管理者は、会社のrootユーザーアカウントの機能を制限しています。同社はAWS組織を使用しており、統合請求を含むすべての機能セットでAWS組織を有効にしています。トップレベルのアカウントは、AWSリソースの運用目的ではなく、請求と管理の目的で使用されます。管理者は、組織全体でメンバーのrootユーザーアカウントの使用をどのように制限できますか?
(A). 組織のrootでrootユーザーアカウントの使用を無効にします。各組織メンバーアカウントのrootユーザーアカウントの多要素認証を有効にします。
(B). IAMユーザーポリシーを構成して、各組織のメンバーアカウントのrootアカウント機能を制限します。
(C). rootユーザーの使用を制御するサービス制御ポリシーを使用して、組織に組織単位(OU)を作成します。すべての運用アカウントを新しいOUに追加します。
(D). AWS CloudTrailをAmazonCloudWatch Logsと統合するように設定してから、RootAccountUsageのメトリックスフィルターを作成します。
解答:C
出題:8
システムエンジニアは、Simple Email Service(SES)を介した送信メールの構成を担当しており、現在のTLS標準に準拠する必要があります。メールアプリケーションは、次のエンドポイントと対応するポートのどれに接続するように構成する必要がありますか?
(A). email.us-east-1.amazonaws.com over port 8080
(B). email-pop3.us-east-1.amazonaws.com over port 995
(C). email-smtp.us-east-1.amazonaws.com over port 587
(D). email-imap.us-east-1.amazonaws.com over port 993
解答:C
出題:9
脅威の評価により、内部の従業員がAWS内で実行されている本番ホスト(アカウント1)から機密データを盗み出す可能性があるリスクが特定されました。脅威は次のように文書化されています。脅威の説明:悪意のある攻撃者は、制御するAWSアカウント(アカウント2)の認証情報を構成し、制御内のAmazon S3バケットにデータをアップロードすることで、サーバーXから機密データをアップロードできます。サーバーXには、プロキシサーバーを介して構成されたアウトバウンドインターネットアクセスがあります。アプリケーションが暗号化されたファイルをS3バケットにアップロードできるようにするには、S3への正当なアクセスが必要です。サーバーXは現在IAMインスタンスロールを使用しています。プロキシサーバーは、TLS暗号化のため、サーバー通信を検査できません。次のオプションのどれが脅威を軽減しますか?(2つ選択してください。)
(A). プロキシをバイパスし、アカウント1内の特定のS3バケットのみをホワイトリストに登録するポリシーでS3VPCエンドポイントを使用します。
(B). プロキシサーバー上のパブリックS3エンドポイントへのアウトバウンドアクセスをブロックします。
(C). S3エンドポイントへのアクセスを拒否するようにサーバーXでネットワークACLを設定します。
(D). 正当なバケットのS3バケットポリシーを変更して、アプリケーションサーバーに関連付けられたパブリックIPアドレスからのアクセスのみを許可します。
(E). IAMインスタンスロールをアプリケーションサーバーから削除し、APIアクセスキーを信頼できる暗号化されたアプリケーション構成ファイルに保存します。
解答:A、C
出題:10
企業は、「機密」、「機密」、「制限付き」のデータ分類スキームに基づいて、機密文書を3つのAmazonS3バケットに保存します。セキュリティソリューションは、次のすべての要件を満たす必要があります。各オブジェクトは、一意のキーを使用して暗号化する必要があります。「制限付き」バケットに保存されているアイテムは、復号化のために2要素認証が必要です。
•AWSKMSは、暗号化キーを毎年自動的にローテーションする必要があります。次のうちどれがこれらの要件を満たしていますか?
(A). データ分類タイプごとにカスタマーマスターキー(CMK)を作成し、毎年ローテーションできるようにします。「制限付き」CMKの場合、キーポリシー内でMFAポリシーを定義します。S3SSE-KMSを使用してオブジェクトを暗号化します。
(B). EnableKeyRotationとMultiFactorAuthPresentをtrueに設定して、データ分類タイプごとにCMK許可を作成します。S3は、許可を使用して、一意のCMKで各オブジェクトを暗号化できます。
(C). データ分類タイプごとにCMKを作成し、CMKポリシー内で、毎年ローテーションを有効にして、MFAポリシーを定義します。次に、S3はDEKグラントを作成して、S3バケット内の各オブジェクトを一意に暗号化できます。
(D). データ分類タイプごとに一意のインポートされたキーマテリアルを使用してCMKを作成し、それらを毎年ローテーションします。「制限付き」キー品目については、キーポリシーでMFAポリシーを定義します。S3SSE-KMSを使用してオブジェクトを暗号化します。
解答:A
出題:11
組織は、アプリケーションサーバーがAmazonEC2インスタンスで実行される3層のWebアプリケーションをデプロイすることを検討しています。これらのEC2インスタンスは、Amazon RDSDBインスタンスへのSQL接続を認証するために使用する認証情報にアクセスする必要があります。また、AWS Lambda関数は、同じデータベース認証情報を使用してRDSデータベースにクエリを発行する必要があります。EC2インスタンスとLambda関数がアクセスできるように、認証情報を保存する必要があります。他のアクセスは許可されていません。アクセスログには、資格情報にいつ誰がアクセスしたかを記録する必要があります。これらの要件を満たすために、セキュリティエンジニアは何をするべきですか?
(A). データベースの認証情報をAWSKey Management Service(AWS KMS)に保存します。ロールの信頼ポリシーでEC2およびLambdaサービスプリンシパルを使用して、AWSKMSにアクセスできるIAMロールを作成します。EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスにアタッチします。実行に新しいロールを使用するようにLambdaを設定します。
(B). データベースの認証情報をAWSKMSに保存します。ロールの信頼ポリシーでEC2およびLambdaサービスプリンシパルを使用して、KMSにアクセスできるIAMロールを作成します。EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスとLambda関数にアタッチします。
(C). データベースの認証情報をAWSSecretsManagerに保存します。ロールの信頼ポリシーでEC2およびLambdaサービスプリンシパルを使用して、SecretsManagerにアクセスできるAMロールを作成します。EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスとLambda関数にアタッチします。
(D). データベースの認証情報をAWSSecretsManagerに保存します。ロールのトラストポリシーでEC2およびLambdaサービスプリンシパルを使用して、SecretsManagerにアクセスできるIAMロールを作成します。EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスにアタッチします。実行に新しいロールを使用するようにLambdaを設定します。
解答:D
出題:12
会社には、インポートされたキーマテリアルを含むカスタマーマスターキー(CMK)があります。会社のポリシーでは、すべての暗号化キーを毎年ローテーションする必要があります。上記のポリシーを実装するために何ができますか?
(A). CMKの自動キーローテーションを毎年有効にします。
(B). AWSコマンドラインインターフェースを使用してAWSLambda関数を作成し、既存のCMKを毎年ローテーションします。
(C). 新しいキーマテリアルを既存のCMKにインポートし、CMKを手動で回転させます。
(D). 新しいCMKを作成し、それに新しいキーマテリアルをインポートし、キーエイリアスが新しいCMKを指すようにします。
解答:D
出題:13
水道事業会社は、多数のAmazon EC2インスタンスを使用して、水質を監視する2,000台のモノのインターネット(IoT)フィールドデバイスの更新を管理しています。これらのデバイスにはそれぞれ固有のアクセス資格情報があります。運用上の安全ポリシーでは、特定の資格情報へのアクセスを個別に監査できる必要があります。資格情報のストレージを管理するための最も費用効果の高い方法はどれですか?
(A). AWS Systems Managerを使用して、認証情報をセキュアストリングスパラメーターとして保存します。AWSKMSキーを使用してセキュリティで保護します。
(B). AWS Key Management Systemを使用して、認証情報の暗号化に使用されるマスターキーを保存します。暗号化された認証情報は、AmazonRDSインスタンスに保存されます。
(C). AWS SecretsManagerを使用して認証情報を保存します。
(D). サーバー側の暗号化を使用して、AmazonS3のJSONファイルに認証情報を保存します。
解答:A
出題:14
組織は、Linux AmazonEC2インスタンスにデプロイされたエージェントでAmazonCloudWatchLogsを使用しています。エージェント構成ファイルがチェックされ、プッシュされるアプリケーションログファイルが正しく構成されています。レビューにより、特定のインスタンスからのログが欠落していることが確認されました。問題のトラブルシューティングを行うには、どの手順を実行する必要がありますか?(2つ選択してください。)
(A). EC2 runコマンドを使用して、「awslogs」サービスがすべてのインスタンスで実行されていることを確認します。
(B). エージェントが使用する権限がロググループ/ストリームの作成とログイベントの配置を許可していることを確認します。
(C). /var/cwlogs/rejects.logを確認して、無効なタイムスタンプが原因でアプリケーションログエントリが拒否されたかどうかを確認します。使用方法
(D). 信頼関係により、サービス「cwlogs.amazonaws.com」にオブジェクトをAmazonS3ステージングバケットに書き込む権限が付与されていることを確認します。
(E). アプリケーションサーバーのタイムゾーンがUTCであることを確認します。
解答:B、C
出題:15
セキュリティエンジニアは、セキュリティインシデントが発生した場合に、インシデント対応チームがユーザーのIAM権限の変更を監査できるようにするソリューションを設計する必要があります。これはどのように達成できますか?
(A). AWS Configを使用して、インシデントの前後にユーザーに割り当てられたIAMポリシーを確認します。
(B). AWS CLIを介してGenerateCredentialReportを実行し、監査の目的で出力をAmazonS3に毎日コピーします。
(C). AWS CloudFormationテンプレートをS3にコピーし、テンプレートからの変更を監査します。
(D). Amazon EC2 Systems Managerを使用してイメージをデプロイし、AWSCloudTrailログで変更を確認します。
解答:A