T1-Q16: 緊急パッチはPatch NowだけでなくSecurity分類のベースラインを先に作る
Patch Managerの即時適用問題を、デフォルトベースライン、Security分類、自動承認0日、S3証跡で整理する。
AWS SCS-C03 Systems Manager Patch Manager EC2
対象誤答: T1 Q16 PATCH MANAGER BASELINE
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | Patch Nowでスキャン&インストールを実行し、適用ログの保存先としてS3バケットを指定する。 |
| 正答 | Security分類・自動承認0日の新しいパッチベースラインを作成し、Amazon Linux 2のデフォルトにしてからPatch Nowを実行し、S3にログを残す。 |
| 誤答の引力 | 即時適用だけに反応してPatch Nowを選んでいる。何を即時適用するかを決めるベースラインが抜けている。 |
| 判断軸 | Patch Managerはベースラインに承認されたパッチを適用する。緊急セキュリティ対応ならSecurity分類、自動承認0日、対象OSのデフォルト化まで必要。 |
この問題の芯
T1-Q16 は、Amazon Linux 2 の EC2 群に、インシデント発生時すぐセキュリティパッチを適用し、中央管理の証拠も残したい問題。あなたは Patch Now + S3ログだけを選んだ。正答は、Security分類の新しいベースラインを作り、自動承認0日にしてデフォルト化し、その上でPatch Nowを実行する組み合わせ。
Patch Nowは実行ボタンであって方針ではない
Patch Manager は「ベースラインで承認されたパッチ」を Scan または Install する。だから Patch Now だけでは、どの分類・深刻度・承認遅延でパッチを入れるかの要件が満たせない。
緊急対応で必要な考え方はこう。
- 対象OSを Amazon Linux 2 にする
- Classification を Security にする
- Auto approval delay を 0日にする
- そのベースラインを Amazon Linux 2 のデフォルトにする
- Patch NowでScan & installを実行する
- 適用ログをS3に保存し、中央証跡にする
次回の秒殺ルール
Patch Manager問題では「実行」と「承認基準」を分ける。
Patch Nowは実行。Patch baselineは何を入れてよいかのルール。
緊急セキュリティパッチなら、自動承認0日のSecurityベースラインが必要。
仕上げの一問一答
- この問題の主語は何か: Patch Manager
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。