AWS模擬問題集:ランサムウェアから守る!セキュアな構成ベストプラクティスとは?
投稿更新日: 2025/6/13
仮想のAWS認定試験を解きつつ、実務に役立つクラウドコンピューティングの知識を身に付けられるという企画です。今回は、先日ネタにしたランサムウェアを元に考えてみました。
問題:
- あなたの会社は、重要な業務データを Amazon EC2 上で稼働するアプリケーションと Amazon EFS(Elastic File System)に保存しています。最近ランサムウェアの被害が業界で増加しているため、EC2 インスタンスやストレージのデータをランサムウェアから守るための対策を強化したいと考えています。 次のうち、AWS のベストプラクティスに従い、ランサムウェア対策として最も効果的な構成はどれですか?
A. EFS にファイルを保存し、EC2 インスタンスに管理者権限(root)を付与して、アプリケーションで自由に読み書きさせる。
B. EBS ボリュームに保存し、日次で EC2 からシェルスクリプトでバックアップを取得し、S3 に保存する。
C. EFS アクセスポイントを用い、アプリケーションに必要な最小権限のみを付与し、EFS バックアップ機能で自動バックアップを有効化する。
D. EC2 インスタンスにパブリック IP を付与し、SSH で外部から常時アクセスできるようにしておく。
正解:
- C. EFS アクセスポイントを用い、アプリケーションに必要な最小権限のみを付与し、EFS バックアップ機能で自動バックアップを有効化する。
解説:
- この問題は、AWSのセキュリティベストプラクティスとストレージサービスの特徴を理解しているかを問うものです。特に、ランサムウェア対策として有効な構成管理とバックアップの重要性がポイントです。
🔍 なぜ C が正解なのか?
-
EFS アクセスポイントを使うことで、ファイルシステムへのアクセスをIAM ポリシーや POSIX 権限で制御できます。
- アプリケーションには**最小権限(Least Privilege)**の原則で読み書きを限定することで、ランサムウェアの被害を最小限に抑えられます。
-
EFS バックアップ機能(AWS Backup を利用)を有効化することで、定期的なスナップショットを自動取得し、万一の感染時にもクリーンな状態へリストア可能になります。
他の選択肢の問題点:
-
A: root 権限を持つアプリケーションは、ランサムウェアに感染した場合に全ファイルが暗号化されるリスクが高いです。
-
B: 自作のバックアップスクリプトは管理が煩雑で、人為的なミスや漏れの原因に。また、EBS にはファイル共有機能がないため、EFS の代替としては適切ではありません。
-
D: パブリック IP で常時 SSH アクセス可能な状態は、脆弱性スキャンやブルートフォース攻撃の対象となりやすく、非常に危険です。
AWSサービス深堀り:EFS アクセスポイントと AWS Backup
🔐 EFS アクセスポイントとは?
-
複数のアプリケーションやユーザーが EFS にアクセスする場合、それぞれに適切なアクセス権限を設定できる「入り口」です
-
NFS を使ってマウントされますが、POSIX ユーザー/グループ設定や IAM ベースのアクセス制御が可能。
✅ ポイント:アプリケーションが root としてファイルにアクセスするのではなく、>指定した UID/GID に制限することで安全性が高まります。
🛡 AWS Backup + EFS の連携
-
AWS Backup は、EFS を含むさまざまなサービス(RDS, DynamoDB, EBS など)のバックアップ管理を一元化できるサービス。
-
スケジュールバックアップやライフサイクル管理が可能で、ランサムウェア攻撃時にも迅速な復旧ができます。
実務にも役立つ豆知識 💡
-
バックアップは、クロスアカウントで保管するのがさらに安全。攻撃者が同一アカウントに侵入しても、バックアップにはアクセスできません。
-
EFS のバックアップは、暗号化とリージョン間コピーも設定可能。災害対策としても有効です。
まとめ
- AWS 認定試験の学習を通して、現実のセキュリティ課題にどう向き合うかを学ぶことができます。特にランサムウェアのような被害は対岸の火事ではありません。AWS が提供するアクセス制御や自動バックアップといった機能を活用して、堅牢なインフラを設計しましょう!
この記事をシェアする
合同会社raisexでは一緒に働く仲間を募集中です。
ご興味のある方は以下の採用情報をご確認ください。