【AWS SAA対策】ALB配下のWebアプリをDDoS以外から守るための選択

AWS SAA（Solutions Architect – Associate）で頻出の
「公開Webアプリ × 不正アクセス検知 × セキュリティ監視」
に関する重要問題です。

今回のポイントは、

DDoS対策は既にできている前提で、
それ以外の不正アクセスや意図しないネットワーク露出を
どう検知・把握するか

という点です。

早速、問題を見ていきましょう

【問題】

ある会社は、ALBの背後で実行される複数のAmazon EC2インスタンス上にホストされているWEBアプリケーションを運用しています。このアプリケーションはパブリックなアクセスを必要としているため、不特定多数からアクセスが可能な状態となっています。このアプリケーションに対してDDoS攻撃保護は既にできていますが、それ以外の不正なアクセスを防ぎ、意図しないネットワークのエクスポージャーに迅速に対応する仕組みを追加する必要があります。

この要件を満たす、ソリューションはどれでしょうか？（2つ選択してください。）

選択肢

Amazon Inspectorエージェントをインスタンスに追加して、不正なアクセスを確認する。
攻撃をモニタリングするために、Amazon GuardDutyを設定して、不正なアクセスを自動検知する。
AWS Shield Advancedを有効化して、不正なアクセスを自動検知する。
Compute Optimizerをインスタンスに適用して、不正なアクセスを確認する。
Amazon CloudWatchエージェントをインスタンスに追加して、不正なアクセスを確認する。

ここから先は 正解と解説 です。
まずは「DDoS以外の脅威には何を使うか」を考えてみてください。

【正解】

✅ Amazon Inspector を EC2 インスタンスに導入して、
意図しないネットワークエクスポージャーや脆弱性を検知する

✅ Amazon GuardDuty を有効化して、
不正アクセスを自動検知・モニタリングする

【イメージ図】

インターネット
      │
      ▼
     ALB
      │
 ┌────┴────┐
 ▼         ▼
EC2       EC2
│           │
Inspector   Inspector
│           │
└── GuardDuty（ログ解析・不正検知）

なぜこの2つが正解なのか？

この問題には 2種類のセキュリティ要件 が含まれています。

①「意図しないネットワークエクスポージャー」を検知したい

👉 Amazon Inspector

Amazon Inspector とは？

EC2 / コンテナ / Lambda の 脆弱性評価サービス
EC2 に エージェント（SSM 経由） を入れてチェック
以下を自動検知：
- 意図せず公開されているポート
- セキュリティグループ設定ミス
- 既知の脆弱性（CVE）

👉 「設定ミスに気づく」ためのサービス

②「DDoS以外の不正アクセスを検知したい」

👉 Amazon GuardDuty

Amazon GuardDuty とは？

フルマネージドな 脅威検知サービス
以下のログを自動分析：
- VPC フローログ
- CloudTrail
- DNS ログ
- EBS / RDS / Kubernetes ログなど

検知できる例

不審なIPからの通信
異常なポートスキャン
認証情報の不正利用
マルウェア通信

👉 「攻撃の兆候をリアルタイムで見つける」

❌ なぜ他の選択肢は不正解？

❌ AWS Shield Advanced

DDoS 攻撃専用の防御サービス
今回は DDoS 対策は既に実施済み

👉 要件外

❌ AWS Compute Optimizer

EC2 / EBS / Lambda の コスト最適化サービス
セキュリティ検知はしない

👉 完全に別物

❌ Amazon CloudWatch エージェント

OS レベルのメトリクス収集用
CPU / メモリ / ディスク監視が主

👉 不正アクセス検知ではない

🎯 試験での見抜き方（超重要）

問題文に次が出たら即反応してください。

キーワード	選ぶサービス
不正アクセス検知	GuardDuty
脆弱性 / 設定ミス	Inspector
DDoS対策	Shield
監視メトリクス	CloudWatch
コスト最適化	Compute Optimizer

👉 GuardDuty + Inspector

📌 まとめ

DDoS 以外の不正アクセス検知には GuardDuty、
EC2 の意図しないネットワーク露出や脆弱性検知には Inspector を使用する。

この問題は、

「セキュリティサービスの役割分担」

を正しく理解しているかを問う問題です。

Shield → 攻撃を防ぐ
GuardDuty → 攻撃を検知する
Inspector → 設定・脆弱性を見つける

この切り分けができていれば、
AWS SAA のセキュリティ問題は 確実に得点源 になります。

ここまで読んでいただき、ありがとうございます。もしこの記事の技術や考え方に少しでも興味を持っていただけたら、ネクストのエンジニアと気軽に話してみませんか。

選考ではありません
履歴書不要
技術の話が中心
所要時間30分程度
オンラインOK

エンジニアと話してみる

Recently

【問題】

【正解】

なぜこの2つが正解なのか？

①「意図しないネットワークエクスポージャー」を検知したい

Amazon Inspector とは？

②「DDoS以外の不正アクセスを検知したい」

Amazon GuardDuty とは？

検知できる例

❌ なぜ他の選択肢は不正解？

❌ AWS Shield Advanced

❌ AWS Compute Optimizer

❌ Amazon CloudWatch エージェント

🎯 試験での見抜き方（超重要）

📌 まとめ

Claude Code を VSCode に導入した後に必ず行うべき初期設定

【AWS SAA対策】不定期に発生する大容量ファイル処理を最も安価に実装する方法

【AWS SAA対策】状況に応じたAuto Scaling設計問題解説

AWS Instance SchedulerでEC2／RDSを夜間自動停止する方法

Topics

Categories

Recently

【AWS SAA対策】ALB配下のWebアプリをDDoS以外から守るための選択

【問題】

【正解】

なぜこの2つが正解なのか？

①「意図しないネットワークエクスポージャー」を検知したい

Amazon Inspector とは？

②「DDoS以外の不正アクセスを検知したい」

Amazon GuardDuty とは？

検知できる例

❌ なぜ他の選択肢は不正解？

❌ AWS Shield Advanced

❌ AWS Compute Optimizer

❌ Amazon CloudWatch エージェント

🎯 試験での見抜き方（超重要）

📌 まとめ

関連記事

Claude Code を VSCode に導入した後に必ず行うべき初期設定

【AWS SAA対策】不定期に発生する大容量ファイル処理を最も安価に実装する方法

【AWS SAA対策】状況に応じたAuto Scaling設計問題解説

AWS Instance SchedulerでEC2／RDSを夜間自動停止する方法