すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

2024 SCS-C02試験対策:模擬試験&学習教材, AWS Certified Security - Specialty | SPOTO

SPOTOの総合模擬試験と学習教材で2024年度SCS-C02試験の準備を効率的に進めましょう。AWS Certified Security - Specialty認定試験受験者は、AWSセキュリティソリューションについての理解を深め、習得することを目的とした弊社の最新リソースを利用できます。当社の試験準備資料には、試験問題、サンプル問題、試験ダンプなどの幅広いリソースが含まれており、すべて試験目的に沿って綿密に作成されています。無料のクイズや試験資料にアクセスして、知識と準備態勢を強化します。SPOTOの試験シミュレータを使用すると、実際の試験シナリオをシミュレートし、試験問題と解答を練習し、改善点を特定するために自分のパフォーマンスを評価することができます。弊社のプラットフォームはあなたの試験練習をサポートするように設計されていますので、あなたがSCS-C02認定試験で優れた成績を収めることを保証いたします。
他のオンライン試験を受ける
質問 #1
あるセキュリティエンジニアが、VPCのフローログに、Auto Scalingグループ内の1つのAmazon EC2インスタンスから発信された大量のREJECTトラフィックが記録されていることに気づいた。セキュリティエンジニアは、このEC2インスタンスが危険にさらされているのではないかと懸念している。セキュリティエンジニアは直ちにどのような措置を取るべきか?セキュリティエンジニアはどのような緊急措置を取るべきか?
A. AutoSeatingグループから私のインスタンスを削除してください。 解析を実行するために、1つのフォレンジックPアドレスからのイングレスのみをクローズしてください。
B. AutoSeatingグループから私のインスタンスを削除する 1つのフォレンジックIPアドレスからのトラフィックのみを許可するようにネットワークACLルールを変更し、en分析を実行する 他のすべてのトラフィックを拒否するルールを追加する。
C. そのIAMアカウントでAmazon GuardDutyを有効にする Amazon Inspectorエージェントをインストールし、疑わしいEC 2インスタンスでスキャンを実行する。
D. 疑わしいEC2インスタンスのスナップショットを取る
E. 分析を実行するために、1つのフォレンジックIPアドレスからのイングレスのみを持つクローズドセキュリティグループで、私のスナップショットから新しいEC2インスタンスを作成する。
回答を見る
正解: C
質問 #2
IAM KMSのカスタマーマスターキー(CMK)を使用してIAM CloudTrailログの暗号化を自動化する最も効率的な方法は次のうちどれですか?
A. CloudTrailログが生成されるたびに、ログデータに対してKMS直接暗号化機能を使用します。
B. CloudTrailのログを暗号化・復号化するために、S3が管理するキーを使用したデフォルトのAmazon S3サーバー側暗号化を使用する。
C. CloudTrailのログを暗号化および復号化するために、KMSが管理するキーを使用してサーバー側で暗号化を使用するようにCloudTrailを構成する。
D. すべての IAM API 呼び出しが、暗号化された API 呼び出しからの TLS 証明書を使用して暗号化された CloudTrail ログエントリを生成するように、暗号化された API エンドポイントを使用します。
回答を見る
正解: BC
質問 #3
ある企業が、機密文書をオンプレミスのデータセンターからAmazon S3に移行することにした。現在、データ暗号化に関するコンプライアンス要件を満たすため、ハードディスクは暗号化されている。CISOは、単一の鍵ではなく、異なる鍵を使用して各ファイルを暗号化することで、セキュリティを向上させたいと考えている。異なるキーを使用することで、単一の公開キーによるセキュリティへの影響を抑えることができます。このアプローチを実装する際に、最も少ない量の構成が必要なのはどれか。
A. 各ファイルを異なるS3バケットに置く
B. 各バケットのデフォルトの暗号化を、異なるIAM KMS顧客管理キーを使用するように設定する。
C. すべてのファイルを同じS3 buckeに置く
D. S3イベントをトリガーとして、異なるIAM KMSデータキーを使用して追加される各ファイルを暗号化するIAM Lambda関数を記述する。
E. S3暗号化クライアントを使用して、S3が生成したデータキーを使用して各ファイルを個別に暗号化する。
F. G
回答を見る
正解: B
質問 #4
あるグローバル企業は、レイヤー3、4、7でDDoS攻撃を緩和し、対応しなければならない。同社のIAMアプリケーションはすべて、Amazon CloudFrontとAmazon Route 53を使用してAmazon S3にホストされた静的コンテンツを持つサーバーレスである。
A. IAM BusinessサポートプランへのアップグレードでIAM WAFを使用する
B. オリジンアクセスアイデンティティで構成されたアプリケーションロードバランサーでIAM Certificate Managerを使用する。
C. IAM Shield Advancedを使用する
D. IAM KMS で暗号化された IAM Lambda ファンクションを保護するために IAM WAF を使用し、すべての Ingress トラフィックを制限する NACL を使用する。
回答を見る
正解: A
質問 #5
ある企業が、Amazon EC2 のキーペアの1つが漏洩した。セキュリティエンジニアは、どのLinux EC2インスタンスがデプロイされ、漏洩したキーペアを使用しているかを特定しなければならない。このタスクはどのように達成できるか。
A. Amazon EC2に直接問い合わせ、インスタンスのリストを取得する:IAM ec2 describe-instances--fi1ters "Name=key-name,Values=KEYNAMEHERE"。
B. IAM 管理コンソールからキーペアのフィンガープリントを取得し、Amazon Inspector のログでフィンガープリントを検索します。
C. EC2インスタンスのメタデータの出力を取得する。
D. IAMマネジメントコンソールからキーペアのフィンガープリントを取得し、Amazon CloudWatch Logsでそのフィンガープリントを検索する:IAM logs filter-log- events
回答を見る
正解: BDF
質問 #6
ある会社には、IAM組織の一部である複数のIAMアカウントがあります。会社のセキュリティチームは、会社のIAMアカウントにフルアクセスできる管理者でさえ、会社のAmazon S3バケットにアクセスできないようにしたいと考えています。
A. SCPの利用
B. Amazon S3へのアクセスを拒否する権限境界を追加し、すべてのロールに添付します。
C. S3バケットポリシーを使用する
D. Amazon S3用のVPCエンドポイントを作成し、Amazon S3へのアクセスを拒否します。
回答を見る
正解: A
質問 #7
ある会社では、IAM上に社内ユーザー向けのサーバーレスアプリケーションをデプロイしている。このアプリケーションはフロントエンドとビジネスロジックにIAM Lambdaを使用している。Lambda関数はVPC内のAmazon RDSデータベースにアクセスし、IAM Systems Manager Parameter Storeをデータベース認証情報の保存に使用しています。最近のセキュリティレビューで、以下の問題が浮き彫りになった。 Lambda関数がインターネットにアクセスできる。リレーショナルデータベースが一般にアクセス可能である。データベースの認証情報が暗号化された状態で保存されていない。W
A. VPC内のRDSデータベースへのパブリックアクセスを無効にする
B. 全てのLambda関数をVPC内に移動する。
C. Lambdaがインターネットアクセスを制限するために使用するIAMロールを編集します。
D. システム管理用のVPCエンドポイントを作成する
E. 認証情報を文字列パラメータとして格納する
F. パラメータタイプを詳細パラメータに変更します。G
回答を見る
正解: ABE
質問 #8
ある企業が、Amazon EC2インスタンスのブートストラップに、機密情報を含むユーザーデータスクリプトを使用している。セキュリティエンジニアが、この機密情報をアクセスすべきでない人が閲覧可能であることを発見した。インスタンスのブートストラップに使用される機密情報を保護する最も安全な方法は何か。
A. AMIにスクリプトを保存し、IAM KMSを使用して機密データを暗号化する。 インスタンス・ロール・プロファイルを使用して、データの復号化に必要なKMSキーへのアクセスを制御する。
B. 暗号化された文字列パラメータを使用してIAM Systems Manager Parameter Storeに機密データを保存し、EC2インスタンスロールにGetParameters権限を割り当てる。
C. ブートストラップスクリプトをAmazon S3に外部化し、IAM KMを使用して暗号化する。
D. インスタンスからスクリプトを削除し、インスタンスの構成後にログを消去します。
E. IAMポリシーを使用して、EC2インスタンスのメタデータサービスへのユーザーアクセスをブロックする。
F. すべてのスクリプトを削除し、実行後にログを消去する。
回答を見る
正解: CE
質問 #9
ある企業の情報セキュリティ・チームは、Amazon EC2のパフォーマンスと使用統計について、ほぼリアルタイムの異常検知を行いたいと考えている。ログの集約はセキュリティ・エンジニアの責任である。この調査を行うには、エンジニアは会社のすべてのIAMアカウントからログを一箇所に集める必要がある。セキュリティ・エンジニアはこれをどのように行うべきか。
A. 各アカウントに1日4回ログインし、IAM CloudTrailのログデータをフィルタリングし、コピー先アカウントのAmazon S3バケットにログをコピー&ペーストする。
B. Amazon CloudWatchをセットアップして、各ソースアカウントのAmazon S3バケットにデータをストリーミングする。
C. 各ソースアカウントに対して、セキュリティエンジニアが所有する集中バケットへのバケットレプリケーションを設定する。
D. IAM Config aggregatorをセットアップして、複数のソースからIAM構成データを収集する。
E. 各アカウントのサブスクリプションでAmazon CloudWatchクロスアカウントログデータ共有を設定する
F. セキュリティエンジニアのアカウントでAmazon Kinesis Data Firehoseにログを送信する。
回答を見る
正解: D
質問 #10
ある企業は最近、IAM環境の年次セキュリティ評価を実施した。評価の結果、監査ログが90日以上利用できないこと、IAMポリシーの不正な変更が検知されずに行われていることがわかった。セキュリティエンジニアは、これらの問題をどのように解決すべきでしょうか?
A. 90日後にIAM CloudTrailトレイルログをAmazon S3 GlacierにアーカイブするAmazon S3ライフサイクルポリシーを作成する。
B. リソースのポリシーが変更されたときに通知を提供するようにAmazon Inspectorを設定する。
C. IAM CloudTrail ログをアーカイブするように IAM Artifact を構成する リソースにポリシー変更が行われたときに通知を提供するように IAM Trusted Advisor を構成する。
D. Amazon S3にロググループをエクスポートするようにAmazon CloudWatchを構成する。IAM CloudTrailを構成して、リソースにポリシー変更が行われたときに通知を提供する。
E. Amazon S3に監査ログを保存するIAM CloudTrailトレイルを作成する。IAM Configルールを構成して、リソースにポリシー変更が行われたときに通知を提供する。
回答を見る
正解: A
質問 #11
あるセキュリティエンジニアが、Amazon Elastic Container Service(Amazon ECS)で稼働しているDockerコンテナとクライアントの間でエンドツーエンドの暗号化を提供するソリューションを設計しています。このソリューションは、不安定なトラフィックパターンにも対応します。 どのソリューションが最もスケーラビリティが高く、レイテンシが最も低いでしょうか?
A. ネットワークロードバランサーを構成して、TLSトラフィックを終了させ、コンテナへのトラフィックを再暗号化する。
B. アプリケーションロードバランサーを構成し、TLSトラフィックを終了させ、コンテナへのトラフィックを再暗号化する。
C. TCPリスナーを持つネットワークロードバランサーを構成し、コンテナへのTLSトラフィックを通過させる。
D. コンテナにトラフィックを送信するために、マルチバリューアンサールーティングを使用するようにAmazon Route 53を設定する。
回答を見る
正解: B
質問 #12
ある水道事業会社は、水質を監視する2,000台のモノのインターネット(IoT)フィールドデバイスの更新を管理するために、多数のAmazon EC2インスタンスを使用している。これらのデバイスには、それぞれ固有のアクセス認証情報があります。運用上の安全性ポリシーでは、特定の認証情報へのアクセスが独立して監査可能であることが要求されています。クレデンシャルのストレージを管理する最もコスト効率の良い方法は何でしょうか?
A. IAM Systems Manager を使用して、資格情報を Secure Strings Parameter として保存する。
B. IAM KMS キーを使用してセキュアにする。
C. IAM 鍵管理システムを使用して、クレデンシャルの暗号化に使用するマスター鍵を保存する。
D. 暗号化された認証情報は Amazon RDS インスタンスに保存されます。
E. IAM Secrets Manager を使用して資格情報を保存する。
F. サーバ側で暗号化して、Amazon S3上のJSONファイルに認証情報を保存する。
回答を見る
正解: AE
質問 #13
開発者が、複数のアカウントを含むIAM組織単位(OU)内の新しいアカウントにサインインしました。Amazon S3 サービスへのアクセスは、次の SCP で制限されています。
A. SCPをOrganizationsのルートOUに移動し、Amazon S3へのアクセス制限を解除する。
B. 開発者にS3アクセスを許可するIAMポリシーを追加する。
C. S3へのアクセスを制限するSCPを適用せずに、新しいOUを作成する。
D. 開発者アカウントをこの新しいOUに移動する。
E. S3サービスのDeveloperアカウントに許可リストを追加する。
回答を見る
正解: D
質問 #14
ある企業が、Amazon CloudFrontを使って、HTTP Live Streaming (HLS)を使い、ライブ動画コンテンツを有料会員にストリーミングしている。HLS は動画コンテンツをチャンクに分割し、ユーザがさまざまな条件に基づいて適切なチャンクをリクエストできるようにします。動画イベントは数時間続くため、動画全体は何千ものチャンクで構成されます。
A. CloudFrontキー・ペアを使用して、ユーザーがコンテンツにアクセスするために使用する署名付きURLを作成するアプリケーションを開発する。
B. CloudFront キーペアを使用して、ユーザーがコンテンツにアクセスするために使用する署名付き Cookie を設定するアプリケーションを開発する。
C. Lambda@Edge がコンテンツへのアクセスを認証および承認するために受け取るセキュリティトークンを発行するアプリケーションを開発する。
D. CloudFront URLをアプリケーション内で暗号化しておき、ユーザーが認証された後にIAM KMSを使用してURLをオンザフライで解決する。
回答を見る
正解: B
質問 #15
セキュリティエンジニアが Amazon Cognito ユーザープールを作成しました。エンジニアは、トラブルシューティングのために、アプリケーションから送信された ID とアクセストークンを手動で検証する必要があります。
A. IDトークンのペイロードからサブジェクト(sub)、オーディエンス(aud)、cognito:usernameを抽出する ユーザープールで、サブジェクトとオーディエンスのユーザー名を手動でチェックする
B. トークヘッダ内の鍵IDと一致する鍵IDを持つ公開鍵を検索する。
C. 次に、JSON Web Token (JWT) ライブラリを使用して、トークンの署名を検証し、有効期限などの値を抽出します。
D. トークンの有効期限が切れていないか確認する
E. 次に、Amazon Cognitoのtoken_use claim関数を使用して、キーIDを検証します。
F. JSON Web Token (JWT) を JSON ドキュメントとしてコピーする。 公開 JSON Web Key (JWK) を取得し、pem ファイルに変換する。
回答を見る
正解: A
質問 #16
あるセキュリティ・エンジニアが、同じAmazon VPCで、別々のアベイラビリティ・ゾーンにある2つのAmazon EC2インスタンスを起動した。各インスタンスはパブリックIPアドレスを持ち、インターネット上の外部ホストに接続できる。2つのインスタンスはプライベートIPアドレスを使用して互いに通信できますが、パブリックIPアドレスを使用すると互いに通信できません。パブリックIPアドレスでの通信を許可するために、セキュリティエンジニアが取るべき行動はどれか。
A. インスタンスを同じセキュリティグループに関連付ける。
B. インスタンスセキュリティグループのイグレスルールに0
C. インスタンスIDをインスタンスセキュリティグループのイングレスルールに追加します。
D. インスタンスセキュリティグループのイングレスルールにパブリックIPアドレスを追加します。
回答を見る
正解: D
質問 #17
ある企業が、3台のAmazon EC2インスタンスを構成し、各インスタンスを個別のアベイラビリティゾーンに配置している。EC2インスタンスは、ポート80と443のアウトバウンド・インターネット・トラフィックの透過プロキシとして使用される。あるセキュリティ・エンジニアは以下を完了した:?EC2インスタンス上でプロキシソフトウェアをセットアップする。?プライベートサブネットのルートテーブルを変更し、プロキシEC2インスタンスをデフォールトとして使用する。
A. すべてのプロキシEC2インスタンスをクラスタ配置グループに入れる。
B. プロキシEC2インスタンスの送信元と送信先のチェックを無効にする。
C. プロキシEC2インスタンスセキュリティグループのすべてのインバウンドポートを開く。
D. VPCのDHCPドメイン名サーバーのオプションを、プロキシEC2インスタンスのIPアドレスに変更する。
回答を見る
正解: BC
質問 #18
ある企業が IAM で VPC に侵入検知システムを導入したいと考えている。彼らはシステムを完全に制御したいと考えています。次のうち、どれを実装するのが理想的でしょうか。選択してください:
A. IAM WAF を使用して、VPC 内のシステムで発生するすべての侵入を検知する。
B. IAM Marketplaceで利用可能なカスタムソリューションを使用する。
C. VPC Flowのログを使用して問題を検出し、それに応じてフラグを立てる。
D. IAM Cloudwatchを使ってすべてのトラフィックを監視する
回答を見る
正解: C
質問 #19
アプリケーションの潜在的な攻撃対象領域を最小化するものはどれか。
A. セキュリティグループを使用して、ハイパーバイザーレベルでAmazon EC2インスタンスにステートフルファイアウォールを提供する。
B. ネットワーク ACL を使用して、VPC レベルでステートフルファイアウォールを提供し、特定の IAM リソースへのアクセスを防ぎます。
C. プライベートサブネット内のEC2インスタンス間のセキュアな信頼接続には、IAM Direct Connectを使用する。
D. 脅威への迅速な対応を可能にするため、境界ネットワーク(DMZ、非武装地帯、選別サブネットとも呼ばれる)内の単一レイヤーでネットワークセキュリティを設計する。
回答を見る
正解: D
質問 #20
あるセキュリティエンジニアが、IAM CloudFormationテンプレートを使用してプライベートAMIから複数のAmazon EC2インスタンスを起動した。このエンジニアは、インスタンスが起動直後に終了することに気づきました。これらの終了の原因は何でしょうか?
A. これらのインスタンスを起動するIAMユーザーにec2:Runinstancesパーミッションがありません。
B. 暗号化された AMI が使用され、IAM が必要な IAM KMS 権限を持っていない。
C. EC2インスタンスで使用されているインスタンスプロファイルでは、インスタンスのメタデータを照会できない。
D. IAMは現在、同地域において十分なキャパシティを有していない。
回答を見る
正解: B
質問 #21
あるセキュリティエンジニアは、企業の ID プロバイダ(idp)において、何千人もの開発者に IAM リソースへの安全なアクセスを提供する責任を負っている。開発者は、IAM クレデンシャルを使って、企業構内から一連の IAM サービスにアクセスする。新しい IAM ユーザーのプロビジョニングに必要な時間が非常に長いため、アクセス許可の付与に時間が かかっている。セキュリティエンジニアは、プロビジョニングの遅れを避けるために、開発者が自分の IAM クレデンシャルを他の人と共有しているという報告を受ける。原因は以下のとおりである。
A. IAM CloudTrail イベント用の Amazon CloudWatch アラームを作成する 複数の開発者が同じ IAM 認証情報セットを使用した場合に通知を送信するメトリックフィルタを作成する
B. IAM と既存の企業 IdP との間にフェデレーションを作成する。 IAM ロールを活用して、IAM リソースへのフェデレートされたアクセスを提供する。
C. 企業構内と VPC の間に VPN トンネルを作成する 企業構内から発信された場合に限り、すべての IAM サービスへのアクセス許可を許可する。
D. 各 IAM ユーザーに複数の IAM ロールを作成する 同じ IAM クレデンシャルを使用するユーザーが、同時に同じ IAM ロールに就任できないようにする。
回答を見る
正解: A
質問 #22
ある従業員が、公開プレゼンテーション中に、誤ってIAMアクセスキーとシークレットアクセスキーを公開してしまった。会社のセキュ リティエンジニアは、すぐにそのキーを無効にした。エンジニアは、どのようにキーの公開の影響を評価し、認証情報が悪用されていないことを確認できますか。(2つ選んでください)。
A. IAM CloudTrailのアクティビティを分析する。
B. Amazon CloudWatch Logsのアクティビティを分析する。
C. IAM Trusted AdvisorからIAM使用レポートをダウンロードして分析する。
D. IAM Configのリソースインベントリを分析し、IAMユーザーのアクティビティを確認する。
E. IAM からクレデンシャル・レポートをダウンロードして分析する。
回答を見る
正解: A
質問 #23
あるセキュリティエンジニアが、1つのIPアドレスから異常に大量のトラフィックが発生していることに気づきました。これはアプリケーションロードバランサーのアクセスログを分析することで発見されました。セキュリティエンジニアは、IPアドレスをブロックすることなく、特定のIPアドレスからのリクエスト数を制限するにはどうすればよいでしょうか?
A. アプリケーションロードバランサーに、問題のIPアドレスから発信されるトラフィックをルーティングし、静的なウェブページを表示するルールを追加する。
B. IAM WAFでレートベースルールを実装する
C. IAM Shieldを使用して、発信トラフィックのヒットレートを制限する。
D. Amazon Route 53にGeoLocation機能を実装する。
回答を見る
正解: C
質問 #24
EC2 Linuxインスタンスにログインする安全な方法は、次のうちどれですか?選択してください:
A. IAMユーザー名とパスワード
B. 鍵ペア
C. IAM アクセス・キー
D. IAM SDK キー
回答を見る
正解: D
質問 #25
Amazon EC2インスタンスが、復号化アクションに使用される新しく作成されたIAM KMS CMKへのアクセスを拒否された。この環境には以下の構成がある:インスタンスは、すべてのリソースのIAMロールでkms:Decryptアクションを許可されている IAM KMS CMKのステータスが有効に設定されている インスタンスは、設定されたVPCエンドポイントを使用してKMS APIと通信できる 何が問題を引き起こしているのか?
A. EC2インスタンスのIAMロールにkms:GenerateDataKeyパーミッションがない。
B. CMKのARNタグに、インスタンスのARNではなくEC2インスタンスのIDが含まれている。
C. EC2のIAMロールにkms:Encryptパーミッションがない。
D. IAMユーザーパーミッションを有効にするKMS CMKキーポリシーがありません。
回答を見る
正解: A
質問 #26
あるセキュリティ・エンジニアが、ユーザーが直接鍵に触れることなくAmazon S3のオブジェクトをシームレスに暗号化できるソリューションを実装している。このソリューションは、継続的な管理を必要とせず、高い拡張性を持たなければならない。さらに、組織は暗号化キーを直ちに削除できなければなりません。これらの要件を満たすソリューションはどれか。
A. IAM KMS と IAM 管理キーを使用し、ScheduleKeyDeletion API を PendingWindowInDays を 0 に設定して使用し、必要に応じてキーを削除する。
B. IAM インポートされたキーマテリアルで KMS を使用し、必要に応じて DeletelmportedKeyMaterial API を使用してキーマテリアルを削除する。
C. IAM CloudHSM を使用してキーを保存し、必要に応じて CloudHSM API または PKCS11 ライブラリを使用してキーを削除する。
D. Systems Manager Parameter Store を使用してキーを保存し、必要に応じてサービス API 操作を使用してキーを削除します。
回答を見る
正解: B
質問 #27
ある企業のセキュリティ・ポリシーでは、すべての VPC で VPC フロー・ログを有効にする必要があります。セキュリティエンジニアは、VPCリソースのコンプライアンス監査プロセスを自動化しようとしています。エンジニアはどのようなアクションの組み合わせを取るべきですか?(2つ選んでください)
A. 特定のVPCでフローログが有効になっているかどうかを判断するIAM Lambda関数を作成します。
B. 会社のIAMアカウントで、VPCごとにIAM Config構成項目を作成します。
C. リソースタイプがIAM:
D. IAM Configが発するイベントをトリガーするAmazon CloudWatch Eventルールを作成する。
E. IAM Configカスタムルールを作成し、評価ロジックを含むIAM Lambda関数と関連付ける。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.