セキュアなアーキテクチャの設計応用問題
企業がAWS CloudTrailを有効にしており、CloudTrailのログをS3バケットに保存しています。セキュリティ担当者がCloudTrailログの改ざんを検知するために「ログファイルの整合性検証(Log File Integrity Validation)」を有効にしていました。攻撃者がS3バケット内のCloudTrailログファイルを直接削除した場合、どうなりますか?
A.CloudTrailが自動的に削除されたログを復元し、整合性の問題は発生しない
✗ CloudTrailに自動復元機能はありません。整合性検証は検知のみで復元は行いません。
B.ログの削除自体はS3のバージョニングが有効でない限り防げないが、整合性検証により「ログが削除・改ざんされた」ことを検知できる← 正解
✓ 正解です。整合性検証はダイジェストファイルによりログの削除・改ざんを検知できますが、削除自体を防ぐ機能ではありません。
C.ログファイルの整合性検証が有効な場合、S3バケットへの直接削除操作がブロックされるため削除は失敗する
✗ 整合性検証は削除操作をブロックする機能ではなく、あくまで検知のための機能です。
D.CloudTrailはログ削除を検知すると自動的にSNS通知を送信し、管理者にアラートを発する
✗ 整合性検証は自動SNS通知機能を持ちません。別途CloudWatch EventsやSNSの設定が必要です。