tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWSベストプラクティス
約20分
上級+
8/10
2025年7月22日

AWS SCS-C02 対策 AWS Config コンフォーマンスパックを活用した組織管理

AWS Configコンフォーマンスパックを活用した規制要件対応、自動修復メカニズム、マルチアカウント環境での一元管理を実践問題で完全攻略。

この記事のポイント

  • 1
    コンフォーマンスパックによる規制要件の統一管理手法を理解する
  • 2
    EventBridge+Lambdaによる自動修復メカニズムの実装方法を習得する
  • 3
    マルチアカウント環境での委任管理者を活用したConfig運用を把握する

目次

AWS Config コンプライアンスチェックの基本

AWS Configコンプライアンスチェックは、リソース設定の継続的な監視と評価を通じて組織の規制要件やセキュリティ基準への準拠を自動化する仕組みです。Configルールでリソース設定を評価し、コンフォーマンスパックで複数ルールを統一管理することが特徴です。

コンフォーマンスパック:規制要件の統一管理

コンフォーマンスパックは、関連するConfigルールと修復アクションをテンプレートとしてパッケージ化し、組織全体で一貫したコンプライアンス管理を実現します。金融業界のSOX法、医療業界のHIPAA、製造業の品質管理記録など、業界固有の規制要件に対応できます。

業界標準コンフォーマンスパック

PCI DSS、NIST、CIS Controls等の規制要件を満たすConfigルールセットが提供済み。カスタマイズも可能で組織固有の要件にも対応。

マルチアカウント一括適用

委任管理者アカウントから組織全体にワンクリックで展開。新規アカウント作成時も自動適用で運用負荷を最小化。

コンプライアンス状況の可視化

ダッシュボードで組織全体の準拠状況を一元監視。監査時の証跡提供や継続的な改善活動をサポート。

自動修復メカニズム

Config違反検出から自動修正までの流れの理解が重要です。EventBridgeとLambdaを組み合わせることで、非準拠リソースの迅速な修正を実現できます。

Config違反の自動修復フロー

Config違反の自動修復フロー

上図は、Config違反検出から自動修復完了までの一連の流れを示しています。この自動修復メカニズムでは、EventBridgeがConfig違反イベントを受信し、Lambda関数を呼び出して修復処理を実行します。

以下で、各ステップの詳細な動作を確認しましょう。

1
非準拠リソースの作成
開発者がS3バケットを非準拠設定で作成
2
設定変更の検出
AWS Configがリソース設定の変更を自動的に検出
3
Configルールによる評価
事前定義されたConfigルールでリソース設定を評価
4
コンプライアンス違反の検出
ルール評価の結果、NON_COMPLIANT状態として記録
5
EventBridgeへの違反イベント発行
Config違反イベントをEventBridgeに送信
Note:EventBridgeルールの設定が自動修復の成否を決定
6
Lambda関数の自動呼び出し
EventBridgeルールに基づいて修復用Lambda関数を呼び出し
7
自動修復処理の実行
Lambda関数がS3設定を自動修正(暗号化、パブリックアクセス禁止等)
8
準拠状態の確認
修復完了後、ConfigがCOMPLIANT状態への変更を確認
Note:人的介入なしで数分以内にセキュリティ違反を自動修正完了
判断基準

「迅速に修正」「自動修復」の要件がある場合、Config + EventBridge + Lambdaの組み合わせが適切なソリューションとなります。

マルチアカウント環境での運用

AWS Organizationsと連携したConfig運用では、役割分担が重要な学習ポイントです。管理アカウントと委任管理者アカウントで実行できる操作が異なります。

委任管理者の活用

Config委任管理者は、セキュリティ専門アカウントから組織全体のConfigルール管理を担当します。この権限分離により、セキュリティガバナンスを強化できます。

管理アカウント

役割
組織全体の基盤設定
Config有効化
StackSetsで全アカウント一括設定
コンフォーマンスパック展開
可能(権限あり)
Configルール管理
可能だが非推奨
集約・監視
可能

委任管理者

役割
セキュリティ専門の運用管理
Config有効化
権限なし(管理アカウントから実行)
コンフォーマンスパック展開
推奨(セキュリティ専門性活用)
Configルール管理
最適(専門チームによる運用)
集約・監視
推奨(セキュリティ監視に特化)

StackSetsとの連携

CloudFormation StackSetsは、組織全体への一括デプロイメントを実現します。特に新規アカウント作成時の自動設定では必須の選択肢です。

Config有効化の自動化

管理アカウントからStackSetsでConfig設定テンプレートを展開。新規アカウントも自動的にOrganizations統合が適用される。

IAMロールの統一設定

ConfigサービスロールやS3バケットポリシーなど、必要な権限設定を全アカウントで統一。セキュリティ設定の一貫性を確保。

実践問題で確認

ここまで学んだ理論を、実践問題で確認しましょう。各問題は異なるコンプライアンス要件でのConfig実装を扱っています。

AWS認定セキュリティ - 専門知識

練習問題

あるグローバル企業は単一のAWSリージョン内で複数アカウントのAWS環境を管理するためにAWS Organizationsを使用しています。組織の管理アカウント名は「management-01」です。この企業は組織内のすべてのアカウントでAWS Configを有効化しています。また、「security-01」という名前のアカウントをAWS Configの委任管理者として指定しています。 すべてのアカウントはAWS Config集約機能を使用して、各アカウントのルールのコンプライアンス状態をAWS Config委任管理者アカウントに報告しています。各アカウント管理者は、アカウント固有のコンプライアンス要件を処理するために、自分のアカウントのAWS Configルールを設定および管理できます。 セキュリティエンジニアは、10個のAWS Configルールセットを既存および将来のすべてのAWSアカウントに自動的にデプロイするソリューションを実装する必要があります。また、アカウント作成時にAWS Configを自動的に有効化する必要もあります。 これらの要件を満たすために、どの組み合わせのステップを実行すべきですか?(2つ選択してください)

AWS認定セキュリティ - 専門知識

練習問題

大手金融グループは、AWS Organizationsを使用して複数アカウントのAWS環境を単一のAWSリージョンで管理しています。組織の管理アカウントは「management-prod」という名前です。グループはすべてのアカウントでAWS Configを有効化しており、「security-prod」という名前のアカウントをAWS Configの委任管理者として指定しています。 各アカウントは、AWS Config アグリゲーターを使用して、各アカウントのルールのコンプライアンス状態をAWS Config委任管理者アカウントに報告しています。現状では、各アカウント管理者が、各アカウント固有のコンプライアンス要件を処理するために、アカウント独自のAWS Configルールを設定・管理できます。 最近、監査部門から以下の要件が提示されました: 1. 組織内の全既存および将来のAWSアカウントに対して、金融規制に準拠するための15個のAWS Configルールを自動的にデプロイする 2. 新しいアカウント作成時にAWS Configを自動的に有効にする これらの要件を満たすため、セキュリティエンジニアはどのような組み合わせのステップを実施すべきですか?(2つ選択)

AWS認定セキュリティ - 専門知識

練習問題

ある製造業企業はAWS Organizationsを使用して複数のAWSアカウントを管理しています。この企業はPCI DSS(Payment Card Industry Data Security Standard)コンプライアンスの要件を満たすために、すべてのAmazon S3バケットが以下の条件を満たしていることを確認する必要があります: - パブリックアクセスがブロックされている - サーバーサイド暗号化が有効になっている - バケットポリシーで転送中の暗号化(HTTPS)が強制されている - バージョニングが有効になっている - アクセスログが有効になっている セキュリティチームは、非準拠のS3バケットを検出し、迅速に修正するためのソリューションを実装する必要があります。また、新しいS3バケットが作成された際にも、自動的にコンプライアンスチェックが行われる必要があります。 これらの要件を満たすために、セキュリティエンジニアが実装すべきソリューションはどれですか?

まとめ

AWS Configコンプライアンスチェックは、組織全体での一貫したセキュリティ基準の維持を自動化する強力な仕組みです。コンフォーマンスパックによる規制要件の統一管理と、自動修復メカニズムによる迅速な問題解決が特徴です。

業界固有の規制要件(PCI DSS、HIPAA、SOX法等)をConfigルールセットとしてパッケージ化。委任管理者アカウントから組織全体ワンクリック展開が可能。新規アカウント作成時も自動適用され、運用負荷を最小化。

Config + EventBridge + Lambdaの連携で非準拠リソースを即座に検出・修正。「迅速に修正」「自動修復」の要件に対する最適なソリューション。手動対応と比較して大幅な時間短縮とエラー削減を実現。

管理アカウント:StackSetsによるConfig有効化とサービス基盤設定。委任管理者:コンフォーマンスパック展開とセキュリティルール管理。この役割分担により効率的なガバナンスを確立。

これらのポイントを押さえることで、Config関連の実装を効率的に行えるようになります。特にアカウントの役割サービスの組み合わせを正確に判断することが重要です。

理解度チェック

コンフォーマンスパックのメリットと適用場面を説明できるか?

Config+EventBridge+Lambdaによる自動修復の仕組みを理解しているか?

管理アカウントと委任管理者アカウントの役割分担を把握しているか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する