■ 問題
ある企業のセキュリティ部門はAWSアカウントを利用することで自社リソースを保護する方法を検討しています。 セキュリティ要件として、保管中およびAWSに転送中のデータを保護するための方策を取る必要があります。
この要件を満たすサービスはどれでしょうか(3つ選択してください)。
■ 選択肢
- EC2インスタンスにアタッチされた全てのEBSボリュームを暗号化する。
- S3においてSSE-S3を実施する。
- 自社リソースをプライベートサブネットに移行して、ネットワークACLによるアクセス制御を実施する。
- EBSのIOPSボリュームを利用して、暗号化を実現する。
- SSL(HTTPS)プロトコルを利用してELBに接続する。
これより先は正解と解説になります。
■ 正解
✅ EC2インスタンスにアタッチされた全てのEBSボリュームを暗号化する。
✅ S3においてSSE-S3を実施する。
✅ SSL(HTTPS)プロトコルを利用してELBに接続する。
■ 構成イメージ
ユーザー
│ HTTPS(暗号化通信)
▼
ELB(SSL/TLS)
│
▼
EC2
┌────────────────────────────┐
│ EBS(暗号化) │
│ └ KMS連携 │
└────────────────────────────┘
│
▼
S3
┌────────────────────────────┐
│ SSE-S3(保存時暗号化) │
└────────────────────────────┘■ 全体的な説明
✔ オプション1(正解)
EC2インスタンス側の暗号化には、EBSボリュームの暗号化を有効化する必要があります。
EBS暗号化
→ 保存データ保護(at rest)
→ KMS連携👉 EC2のディスクデータを保護
✔ オプション2(正解)
S3のデータ保護にはサーバーサイド暗号化を利用します。
SSE-S3
→ 自動暗号化
→ 運用最小👉 S3保存データの暗号化
✔ オプション5(正解)
HTTPS(SSL/TLS)
→ 通信の暗号化(in transit)👉 クライアント〜AWS間の通信保護
■ 暗号化の分類(超重要)
保存時(at rest)
→ EBS / S3転送時(in transit)
→ HTTPS / SSL
■ 不正解の理由
❌ オプション3(NACL)
アクセス制御
≠ 暗号化
👉 セキュリティではあるが目的が違う
❌ オプション4(IOPS)
IOPS = 性能
👉 暗号化とは無関係
■ 試験ポイントまとめ
保存 → EBS / S3
通信 → HTTPS■ 一発で覚える
データ守る3点セット
① EBS暗号化
② S3暗号化
③ HTTPS通信■ まとめ
AWSにおけるデータ保護は「保存時暗号化(EBS / S3)」と「転送時暗号化(HTTPS)」を組み合わせることで実現する。
この問題は
👉 「at rest と in transit のセット問題」
として超頻出です。
ここまで読んでいただき、ありがとうございます。もしこの記事の技術や考え方に少しでも興味を持っていただけたら、ネクストのエンジニアと気軽に話してみませんか。
- 選考ではありません
- 履歴書不要
- 技術の話が中心
- 所要時間30分程度
- オンラインOK
