AWS認定クラウドプラクティショナー(CLF-C02)「セキュリティとコンプライアンス」の練習問題9問です。責任共有モデル・IAM(ユーザー/グループ/ロール/ポリシー/最小権限/MFA/ルートユーザー保護)・暗号化(保管時・転送時/KMS)・AWS Artifact などの理解度を確認できます。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。
Q1. AWSの「責任共有モデル」の考え方として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
責任共有モデルは、AWSと利用者がセキュリティの責任を分担する考え方です。AWSは「クラウドそのもの(of the cloud)」、つまり物理的な施設やハードウェア、基盤となるインフラの安全を守ります。利用者は「クラウド内(in the cloud)」、つまり自分が置いたデータやアクセス権限の設定などの安全に責任を持ちます。
A と B は、どちらか一方だけが全責任を負う説明で誤りです。D のように担当がくじ引きで決まることはありません。
Q2. 責任共有モデルで「利用者(クラウド内のセキュリティ)」の責任にあたるものとして、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
利用者が担う「クラウド内(in the cloud)」のセキュリティには、IAMの権限設定や、保存するデータの暗号化の選択、ネットワークの設定などが含まれます。自分が置いたものや設定したものを守るのが利用者の役割です。
B の入退室管理、C のハードウェア保守、D の物理ネットワークの維持は、いずれも基盤を守るAWS側(クラウドそのもののセキュリティ)の責任です。
Q3. AWS IAMの「ロール」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
IAMロールは、必要なときに一時的に引き受けて権限を得る仕組みです。固定のパスワードを持たず、AWSのサービスや利用者に付与できます。たとえばサーバーに付与すると、そのサーバーが他サービスへ安全にアクセスできます。来客用の入館証を必要なときだけ貸し出すイメージに近いです。
A は固定パスワードの説明で一時的に引き受けるロールとは異なり、C は請求情報、D は暗号鍵の保管で、いずれもロールとは異なります。
Q4. IAMで推奨される「最小権限の原則」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
最小権限の原則は、各利用者やサービスに、業務に必要な最小限の権限だけを与える考え方です。余分な権限を持たせないことで、万が一アカウントが乗っ取られても被害を小さく抑えられます。必要な部屋の鍵だけを渡し、全部屋のマスターキーは配らない発想に近いです。
A は権限を与えすぎる例で原則と逆、B は業務が回らなくなるため誤りです。C の権限の共有は、誰が何をしたか追えなくなりセキュリティ上も望ましくありません。
Q5. AWSアカウントの「ルートユーザー」の扱い方として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
ルートユーザーはアカウント作成時にできる最上位の利用者で、ほぼあらゆる操作ができる強力な権限を持ちます。そのため日常作業には使わず、普段は権限を絞ったIAMユーザーを使い、ルートユーザーにはMFA(多要素認証)を有効にして厳重に保護することが推奨されます。
A は強力な権限を日常で使う点で危険、C は権限が弱いという誤りで共有も不適切です。D はルートユーザーが存在しないという前提が誤りです。
Q6. 「MFA(多要素認証)」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
MFA(多要素認証)は、パスワード(知っているもの)に加えて、スマホアプリが出すコードや専用デバイス(持っているもの)など、別の要素も使って本人確認を強める仕組みです。パスワードが漏れても、もう一つの要素がないとログインできないため、不正アクセスを防ぎやすくなります。鍵に加えて暗証番号も必要にするイメージです。
B はパスワードの長さだけの話、C は認証をなくす逆の発想、D はバックアップの話で、いずれもMFAとは異なります。
Q7. 「保管時の暗号化」と「転送時の暗号化」の違いとして、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
保管時の暗号化は、ストレージに保存されたデータ(保管中のデータ)を守ります。転送時の暗号化は、ネットワークを通って移動中のデータを守ります。たとえば金庫にしまった書類を守るのが保管時、配送中の荷物を封印するのが転送時のイメージです。両方を組み合わせると安全性が高まります。
A は別物のため誤り、B は保管時と転送時の説明が入れ替わっています。D は守る対象を特定の情報に限定する誤りです。
Q8. AWS KMS(Key Management Service)の主な役割として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
AWS KMS(Key Management Service)は、暗号化に使う鍵を作成・管理し、データの暗号化を支援するサービスです。鍵を安全に保管・管理する金庫の管理人のような役割で、多くのAWSサービスと連携して、保存データの暗号化をかんたんに行えます。
A はコード生成、B は料金の割引、C は台数の自動増減(オートスケーリング)の話で、いずれも鍵管理を担うKMSとは異なります。
Q9. AWS Artifact の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
AWS Artifactは、AWSのコンプライアンスに関する文書(第三者による監査レポートや認証情報など)を入手できるサービスです。利用者は、自社が法令や基準を満たしていることを示す資料として、これらの文書を活用できます。必要な証明書をまとめて取り出せる書庫のような役割です。
A の研修実施、C のパスワード変更、D の障害の自動復旧は、いずれもAWS Artifactの役割とは異なります。
試験全体の流れを俯瞰したい時は、AWS クラウドプラクティショナー 試験全体概要 に戻れます。