T3-Q65: GuardDuty全アカウント自動有効化はSecurity HubではなくGuardDuty委任管理者でやる
GuardDutyとSecurity Hubの責務混同を、検出エンジン管理とfinding集約の違いから補強する。
AWS SCS-C03 GuardDuty Security Hub Organizations
対象誤答: T3 Q65 GUARDDUTY ORG ADMIN
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | Security Hubを管理アカウントで有効化し、Security Hubの委任管理者と自動有効化でGuardDuty検出結果を扱う。 |
| 正答 | 新しいアカウントをGuardDutyの委任管理者にし、既存アカウントをメンバーとして追加し、新規アカウントのGuardDuty自動有効化を設定する。 |
| 誤答の引力 | Security Hubがfindingを集約できるため、GuardDuty自体の有効化や管理もできると誤読している。 |
| 判断軸 | GuardDutyを全アカウントで有効化・中央管理する主役はGuardDutyのOrganizations統合と委任管理者。Security Hubは集約と標準管理の補助。 |
この問題の芯
T3-Q65 は、Organizations配下で今後50以上に増えるアカウントすべてに GuardDuty を有効化し、検出結果を中央管理し、新規アカウントでも自動有効化したい問題。あなたは Security Hub 主体の選択肢を選んだ。正答は GuardDuty の委任管理者アカウントを設定し、メンバー追加と自動有効化をGuardDuty側で行うこと。
GuardDutyとSecurity Hubの境界
| サービス | 主な責務 |
|---|---|
| GuardDuty | 脅威検出エンジン。VPC Flow Logs、CloudTrail、DNSログ等から疑わしい挙動を検出 |
| Security Hub | findings集約、セキュリティ標準、優先順位付け、組織横断ビュー |
Security HubはGuardDuty findingsを受け取れる。しかしGuardDutyを新規アカウントで自動的に有効化する主役ではない。
正しい組織設計
- GuardDuty用のセキュリティアカウントを作る
- OrganizationsでGuardDuty delegated administratorに設定する
- 既存アカウントをメンバーにする
- 新規アカウントのauto-enableをGuardDuty側で設定する
- 必要ならSecurity Hubへfindingを連携し、集約・標準評価に使う
次回の秒殺ルール
「GuardDutyを有効化」「新規アカウントも自動有効化」「GuardDutyを中央管理」なら GuardDuty delegated administrator。
「複数サービスのfindingを集約」「標準コントロール」なら Security Hub。
仕上げの一問一答
- この問題の主語は何か: Organizations
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。