242-AWS SAP AWS 「理論・実践・一問道場」資格情報の漏洩

 

理論

セキュリティにおけるAWS IAM資格情報の管理

  1. IAMユーザー資格情報のセキュリティ
      • シークレットアクセスキーアクセスキーIDは、セキュリティ上重要な情報であり、ソースコードにハードコーディングすることは危険です。これが漏洩すると、悪用されるリスクが高まります。
  1. AWS CodeCommitとトリガー
      • CodeCommitは、AWSのGitリポジトリサービスで、コードの管理に使用されます。セキュリティポリシーに基づいて、コードのコミットやプッシュ時にLambda関数をトリガーして、コミット内容をスキャンし、脆弱性(例えば、資格情報の漏洩)を検出することが可能です。
  1. Lambda関数の活用
      • Lambda関数は、サーバーレスでコードを実行できるAWSのサービスです。CodeCommitでコードが更新されるとLambda関数が自動的に実行され、コードの内容をリアルタイムでチェックして、問題があれば即座に対応します。
  1. セキュリティの自動化
      • 自動化されたセキュリティチェックアラートシステムを実装することで、手動での対応を最小限に抑え、迅速に脅威を検出し、対策を講じることができます。これにより、セキュリティ運用の負担が軽減され、リスクが減少します。

実践

一問道場

質問 #242

トピック 1
監査中に、セキュリティチームは開発チームがIAMユーザーのシークレットアクセスキーをコード内に埋め込み、そのコードをAWS CodeCommitリポジトリにコミットしていることを発見しました。セキュリティチームは、このセキュリティ脆弱性を自動的に発見し修正したいと考えています。
どのソリューションが、資格情報を適切に自動で保護することを保証しますか?
A. AWS Systems Manager Run Commandを使用してスクリプトを毎晩実行し、開発インスタンス内で資格情報を検索します。発見した場合は、AWS Secrets Managerを使用して資格情報を回転させます。
B. 定期的にAWS Lambda関数を使用してCodeCommitからアプリケーションコードをダウンロードし、スキャンします。資格情報が見つかった場合は、新しい資格情報を生成し、AWS KMSに保存します。
C. Amazon Macieを設定してCodeCommitリポジトリ内の資格情報をスキャンします。資格情報が見つかった場合は、AWS Lambda関数をトリガーして資格情報を無効化し、ユーザーに通知します。
D. CodeCommitトリガーを設定してAWS Lambda関数を呼び出し、新しいコードの提出を資格情報スキャンします。資格情報が見つかった場合は、AWS IAMでそれを無効化し、ユーザーに通知します。

解説

この問題は、AWS CodeCommitリポジトリにコミットされたIAMユーザーのシークレットアクセスキーを自動的に検出し、修正するソリューションを求めています。以下に選択肢ごとの説明を示します。
A. AWS Systems Manager Run Command
  • インスタンス内の資格情報を検索し、Secrets Managerで資格情報を回転する方法です。
  • 問題点: これはインスタンス内のコードを対象としており、CodeCommitリポジトリ内のコードを監視していません
  • 不適切
B. 定期的にLambdaを実行してCodeCommitをスキャン
  • 定期的にLambda関数を使用してCodeCommitリポジトリのコードをスキャンするアプローチです。
  • 問題点: Lambdaのスキャンがリアルタイムではなく、資格情報がすぐに悪用されるリスクを防げません。また、KMSは資格情報を管理するための直接的なサービスではありません。
  • 不適切
C. Amazon Macieを使用してCodeCommitをスキャン
  • Macieはデータの検出や機密情報の特定には有用ですが、現在のところCodeCommitリポジトリ内のスキャンを直接サポートしていません。また、Lambdaをトリガーする仕組みが明確でない点も課題です。
  • 不適切
D. CodeCommitトリガーとLambdaを使用
  • CodeCommitトリガーを設定することで、新しいコードのコミットが発生した際にリアルタイムでAWS Lambdaを呼び出します。Lambdaは資格情報をスキャンし、IAMで資格情報を無効化してユーザーに通知します。
  • このアプローチは、リアルタイム性が高く、リポジトリのスキャンを自動化する最適な方法です。
  • 適切

正解: D

理由
  • CodeCommitトリガーとLambdaを使用することで、新しいコードの提出を自動的に監視し、即座に対応できます。
  • IAM資格情報を無効化し、ユーザーに通知することでセキュリティリスクを最小限に抑えます。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
243-AWS SAP AWS 「理論・実践・一問道場」S3 Access Points240-AWS SAP AWS 「理論・実践・一問道場」3層アプリケーション
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%