卒業クイズ：クラウドの頂を制覇しよう

ストーリー

「これが最後の関門だ。今月学んだ全ての内容から出題する」

山田先輩が言う。

「AWS の基本サービス、構築手順、IAM セキュリティ、VPC ネットワーク、 そしてマルチクラウドの視点。全てを問う総合クイズだ。 これに合格すれば、クラウドの頂を制覇したと認めよう」

「やってみます。」

「いい顔だ。自信を持って臨んでくれ」

クイズの説明

今月の全ステップから出題する総合クイズです。

• 全8問
• 合格ライン: 80%（7問正解）
• 不合格の場合は該当セクションを復習してから再挑戦してください

問題

Q1. オンプレミスからクラウドへの移行を検討する際、最も重要な判断基準はどれですか？

• A) クラウドの方が常に安い
• B) ビジネス要件（可用性、スケーラビリティ、コスト）に基づいて総合的に判断する
• C) 最新技術を使うことが最優先
• D) 他社がクラウドを使っているから

正解: B

クラウド移行の判断は、可用性要件、スケーラビリティの必要性、コスト比較、セキュリティ要件、コンプライアンスなど、ビジネス要件に基づいて総合的に行うべきです。クラウドが常に安いわけではなく、ワークロードによってはオンプレミスの方がコスト効率が良い場合もあります。

Q2. 以下の AWS アーキテクチャ構成で、単一障害点（SPOF）になっているのはどれですか？

インターネット → ALB → EC2 (AZ-a のみ1台) → RDS (マルチAZ)

• A) ALB
• B) EC2 インスタンス
• C) RDS
• D) インターネットゲートウェイ

正解: B

EC2 インスタンスが AZ-a に1台のみ配置されているため、この EC2 に障害が発生するとサービスが停止します。ALB は AWS が管理する高可用性サービスであり、RDS はマルチAZ で冗長化されています。EC2 を複数の AZ に配置し、Auto Scaling を設定することで SPOF を解消できます。

Q3. IAM ポリシーで、本番環境の EC2 インスタンスの削除（TerminateInstances）を禁止するために最も適切な方法はどれですか？

• A) 本番環境の EC2 へのアクセスを全て拒否する
• B) TerminateInstances アクションを、Environment=production タグの条件付きで明示的に Deny する
• C) セキュリティグループで EC2 へのアクセスをブロックする
• D) EC2 のパスワードを変更する

正解: B

明示的な Deny ポリシーを使って、ec2:TerminateInstances アクションを ec2:ResourceTag/Environment が production の場合に拒否するのが最適です。Deny は常に Allow より優先されるため、他のポリシーで Allow されていても確実に拒否されます。全てのアクセスを拒否すると運用に支障が出ます。

{
  "Effect": "Deny",
  "Action": "ec2:TerminateInstances",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "ec2:ResourceTag/Environment": "production"
    }
  }
}

Q4. VPC のプライベートサブネットにある EC2 インスタンスが、OS パッチをインターネットからダウンロードするために必要な構成はどれですか？

• A) インターネットゲートウェイをプライベートサブネットに直接アタッチする
• B) パブリックサブネットに NAT ゲートウェイを配置し、プライベートサブネットのルートテーブルに NAT GW へのルートを追加する
• C) セキュリティグループで全てのアウトバウンドを許可する
• D) EC2 にパブリック IP を割り当てる

正解: B

NAT ゲートウェイをパブリックサブネットに配置し、プライベートサブネットのルートテーブルで 0.0.0.0/0 → NAT GW のルートを設定します。これにより、プライベートサブネットからインターネットへのアウトバウンド通信（パッチのダウンロード等）が可能になりますが、インターネットからの直接のインバウンド通信はブロックされたままです。

Q5. S3 バケットに保存されたデータのライフサイクルを最もコスト効率よく管理する方法はどれですか？

• A) 全てのデータを S3 Standard に保存し続ける
• B) ライフサイクルポリシーで、アクセス頻度に応じて Standard → Standard-IA → Glacier に自動移行する
• C) 全てのデータを S3 Glacier に保存する
• D) 手動でストレージクラスを変更する

正解: B

ライフサイクルポリシーを設定して、日数の経過に応じてストレージクラスを自動的に移行するのが最もコスト効率の良い方法です。例えば、30日後に Standard-IA、90日後に Glacier に移行し、365日後に削除するといった設定ができます。全てを Standard に保存し続けるとコストが高く、全てを Glacier にすると取得に時間がかかります。

Q6. セキュリティグループとネットワーク ACL を組み合わせた多層防御で、セキュリティグループの特徴として正しいものはどれですか？

• A) サブネット単位で適用され、ステートレスである
• B) インスタンス単位で適用され、ステートフルである
• C) インスタンス単位で適用され、許可と拒否のルールを設定できる
• D) サブネット単位で適用され、ステートフルである

正解: B

セキュリティグループはインスタンス単位で適用されるステートフルなファイアウォールです。ステートフルであるため、許可したインバウンドトラフィックに対する応答は自動的に許可されます。許可ルールのみ設定可能で、拒否ルールは設定できません。ルールに一致しないトラフィックは暗黙的に拒否されます。

Q7. マルチクラウド環境でアプリケーションのポータビリティを高めるために、最も効果的な技術の組み合わせはどれですか？

• A) 各クラウドのマネージドサービスを最大限活用する
• B) Docker + Kubernetes + Terraform
• C) 全てのインフラを手動で構築する
• D) 単一のプログラミング言語で統一する

正解: B

Docker でアプリケーションをコンテナ化し、Kubernetes で統一的にオーケストレーションし、Terraform でインフラをコードとして管理することで、クラウド間のポータビリティが最も高まります。Docker イメージはどのクラウドでも動作し、Kubernetes は AWS EKS / GCP GKE / Azure AKS で統一的に管理でき、Terraform は複数のクラウドプロバイダに対応しています。

Q8. RDS のリードレプリカとマルチAZ の違いとして正しいものはどれですか？

• A) リードレプリカは高可用性のため、マルチAZ は読み取り性能向上のため
• B) リードレプリカは読み取り性能向上のため、マルチAZ は高可用性（自動フェイルオーバー）のため
• C) リードレプリカとマルチAZ は同じ機能
• D) リードレプリカは書き込み性能向上のため

正解: B

リードレプリカは非同期レプリケーションで読み取りトラフィックを分散し、読み取り性能を向上させるための機能です。マルチAZ は同期レプリケーションでスタンバイインスタンスを維持し、プライマリ障害時に約60秒で自動フェイルオーバーする高可用性のための機能です。目的が異なるため、本番環境では両方を併用することが推奨されます。

結果

7問以上正解の場合

合格です。おめでとうございます。

「クラウドの頂を制覇しよう」ミッション完了です。

6問以下の場合

もう少し復習しましょう。

ミッション完了

お疲れさまでした。「クラウドの頂を制覇しよう」ミッションを完了しました。

今月学んだこと

身についたスキル

• AWS の主要サービスを理解し、構築・運用できる
• IAM を使ったセキュアなアクセス制御を設計できる
• VPC を使った本番環境レベルのネットワーク設計ができる
• AWS/GCP/Azure を比較し、適切なクラウドを選択できる
• クラウド移行計画を立案できる

次月の予告

L1 月7 では、これまでに学んだクラウド知識をさらに発展させ、 より高度なアーキテクチャ設計とクラウドネイティブなアプリケーション開発に取り組みます。

推定所要時間: 90分