この記事でわかること
▪️「AWS Certified Security - Specialty」問題にて、
IAMの情報(アクセスキーなど)が侵害された場合の解き方を説明しています。
▪️今回使用した問題は基本です。
これを難しくした問題が本試験では出てきます。
まずは問題の解き方の考えを復習する為に記事にまとめました。
問題と解答の理解手順の流れ
以下は、この記事で解説する手順です。
手順1_問題文の意図をイメージする(問題の解き方の考え有り)
↓
手順2_重要なキーワードに注目する
↓
手順3_正解の分割解説
↓
手順4_不正解の解説
AWS Certified Security - Specialty問題
企業のセキュリティ管理者は、IAM ユーザーのアクセスキーが侵害された可能性があるという
AWS Abuse 通知を受け取りました。
レガシーアプリケーションがその IAM ユーザーを使用しています。
セキュリティ管理者は、可能な限りアプリケーションのダウンタイムを少なくして、
侵害の可能性を修復しなければなりません。
これらの要件を満たすソリューションを選択してください。
A(正解)
IAM ユーザーの新しいアクセスキーを作成します。
新しいアクセスキーを使用するには、アプリケーションの最新バージョンを更新します。
侵害されたアクセスキーを無効にします。
B(不正解)
IAM ユーザーのアクセスキーをすぐに削除します。
新しいアクセスキーを作成して、レガシーアプリケーションで更新します。
手順1_問題文の意図をイメージする
▪️例え話
オフィスの鍵が盗まれた可能性がある場合、すぐに鍵を無効化すると、
従業員が入室できなくなり業務が止まります。
そこで、新しい鍵を用意し、それに対応した鍵穴を変更してから、
古い鍵を無効化することでスムーズに対応するのと同じです。
▪️例を問題に置き換えると
「侵害されたアクセスキーを適切に対処しつつ、
アプリケーションのダウンタイムを最小限に抑えること」です。
アクセスキーを無効化するだけでは、レガシーアプリケーションが
動作しなくなるため、業務に支障をきたします。
そのため、適切な手順を踏んで新しいアクセスキーを発行し、
アプリケーションを移行した上で古いキーを無効化する方法を考える必要があります。
※補足
abuse(アビュース)は、英語で「不正使用」の意味です。
手順2_重要なキーワードに注目する
▪️ 「IAM ユーザーのアクセスキーが侵害された可能性」
→ すぐに対応が必要なセキュリティリスクです。
▪️ 「レガシーアプリケーションがその IAM ユーザーを使用」
→ 変更が難しい、またはダウンタイムを発生させたくないシステム。
▪️ 「アプリケーションのダウンタイムを少なくする」
→ サービス継続性を重視しながら対処する必要がある。
▪️ 上記のキーワードを元に、最も適切な手順を考えます。
「新しいアクセスキーを作成し、アプリケーションに適用してから古いキーを無効化する」
※補足
参考サイトに手順があります。
手順3_正解の分割解説
▪️ IAM ユーザーの新しいアクセスキーを作成する
→ すぐに新しいキーを発行し既存アプリケーションが利用できるよう準備を進めます。
新しい鍵を発行することで、アプリケーションの継続性を確保するためです。
▪️ 新しいアクセスキーを使用するようにアプリケーションを更新する
→ 既存アプリケーションを停止させる事なく、新しいキーを適用できるよう調整します。
この過程で、アプリケーションの設定変更やデプロイ作業が発生する場合があります。
▪️ 侵害されたアクセスキーを無効にする
→ 新しいキーが適用された事を確認して、旧キーを無効にして不正アクセスを防ぎます。
これにより、侵害された可能性のあるキーの悪用リスクを排除できます。
手順4_不正解の解説
「IAM ユーザーのアクセスキーをすぐに削除する」方法は、
アプリケーションが停止してしまうため適切ではありません。
正しい手順を踏むことで、セキュリティと業務継続性を両立させることができます。
参考文献
参考部分
公開されているアカウントアクセスキーをローテーションして削除する。
1_新しい AWS アクセスキーを作成します。
2_新しいアクセスキーを使用するようアプリケーションを変更します。
3_元のアクセスキーを非アクティブ化します。
(重要: 元のアクセスキーはまだ削除しないでください。
元のアクセスキーは非アクティブ化するだけです。)
4_アプリケーションに問題がないことを確認します。
問題がある場合は、元のアクセスキーを一時的に再アクティブ化して問題を修正します。
5_元のアクセスキーを非アクティブ化にしてもアプリケーションが完全に機能するのであれば、
元のアクセスキーを削除します。
6_不要になった、または作成しなかった AWS アカウントのルートユーザーアクセスキーを
削除します。
この記事を書いた理由
これまで以下のAWS資格を取得し、2024年12月から2社目のIT会社に転職成功。
更に「AWS Certified Security - Specialty」を最近取得し、
その内容の復習とアウトプットを兼ねて作成しました。
AWS試験取得を行なっている方に少しでも役立てば幸いです。
既に合格済のAWS資格
2024年04月11日「AWS Certified Cloud Practitioner」
2024年06月27日「AWS Certified Solutions Architect - Associate」
2024年08月13日「AWS Certified Sysops Administrator - Associate」
2024年11月19日「AWS Certified Solutions Architect - Professional」
2025年03月01日「AWS Certified Security - Specialty」