A不正解
Amazon Macie
Macie はS3 内の機密データを検出・分類するサービスです。
ソフトウェアの脆弱性をスキャンする役割ではないため不正解です。
EC2 インスタンスやコンテナイメージに既知のソフトウェア脆弱性が含まれていないかを自動でスキャンし、リスクを評価したい場合、最も適したサービスはどれですか。
1 / 1
回答を選択してください
正解C
解説
脆弱性スキャン・評価サービスを選ぶ問題。
- 1「既知のソフトウェア脆弱性」CVE などの既知の脆弱性が対象
- 2「自動でスキャン」継続的に検査する=Inspector
- 3「リスクを評価」検出した脆弱性の重大度を評価する
B不正解
AWS Security Hub
AWS Security Hub は、Inspector や GuardDuty などの セキュリティ検出結果を集約し、基準への準拠状況を一覧表示する サービスです。
検出結果を 集めて整理する側 であり、EC2 やコンテナイメージの脆弱性を 自らスキャンするわけではない ため不正解です。
C正解
Amazon Inspector
正解。Amazon Inspector はEC2 インスタンス、コンテナイメージ(ECR)、Lambda 関数を継続的にスキャンし、既知の脆弱性(CVE)や意図しないネットワーク露出を自動で検出してリスクを評価するサービスです。脆弱性管理を自動化できます。
D不正解
Amazon GuardDuty
Amazon GuardDuty は、CloudTrail・VPC フローログ・DNS ログなどを分析して 不審なアクティビティ(脅威)を検知する サービスです。
対象は 実行中の振る舞いや通信 であり、ソフトウェアの 既知の脆弱性そのものをスキャンする役割ではない ため不正解です。
ポイント
『脆弱性スキャン』『EC2/コンテナイメージ/Lambda の評価』は Amazon Inspector。機密データは Macie、脅威検知は GuardDuty、検出結果の集約は Security Hub。名前と役割の対応を固める。