QUIZ 30分

クイズの説明

Step 2「クラウドガバナンスを確立しよう」の理解度を確認します。ガバナンスフレームワーク、ポリシー設計、ランディングゾーン、コンプライアンス自動化について問います。

合格ライン: 80%(5問中4問正解)

問題

Q1. ガードレール型ガバナンス

ガードレール型ガバナンスの特徴として最も適切なものはどれですか?

  • A. すべてのクラウド操作に事前承認を必要とし、人的チェックで品質を担保する
  • B. ポリシーを技術的に実装し、自動チェックにより開発者の自律性を維持しながら統制する
  • C. 開発者の自由を最大化するため、ガバナンスルールを最小限にとどめる
  • D. セキュリティチームがすべてのリソース変更を手動でレビューする
答えを見る

正解: B

ガードレール型ガバナンスは、ポリシーを技術的に実装(SCP、Config Rules等)し、自動チェックにより開発者の自律性を維持しながら統制する方式です。事前承認(A)はゲートキーパー型で、承認者がボトルネックになります。ルールを最小限に(C)するのはガバナンスの放棄であり、手動レビュー(D)はスケールしません。ガードレールは「道路から落ちないようにしつつ、スピードは出せる」仕組みです。

Q2. マルチアカウント戦略

マルチアカウント戦略において、本番環境と開発環境を別アカウントに分離する最も重要な理由はどれですか?

  • A. AWSの請求書を環境ごとに分けるため
  • B. セキュリティ境界を明確にし、開発環境での操作が本番環境に影響しないようにするため
  • C. 各環境で異なるAWSリージョンを使うため
  • D. アカウントごとにAWSサポートプランを変えるため
答えを見る

正解: B

マルチアカウント戦略の最も重要な目的は、セキュリティ境界(Blast Radius)の最小化です。AWSアカウントはIAMの境界であり、開発環境での誤操作やセキュリティ侵害が本番環境に波及しません。請求分離(A)は副次的なメリットであり、リージョン(C)はアカウントに依存しません。サポートプラン(D)はアカウント分離の主な理由ではありません。

Q3. ランディングゾーン

ランディングゾーンのセキュリティベースラインとして、全アカウントで必須ではないものはどれですか?

  • A. CloudTrailの全リージョン有効化
  • B. GuardDutyの有効化
  • C. GPU インスタンスの起動許可
  • D. S3 Block Public Accessの有効化
答えを見る

正解: C

GPUインスタンスの起動許可(C)はセキュリティベースラインではなく、コスト管理の観点からむしろ制限すべき項目です。CloudTrail(A)は監査証跡として必須、GuardDuty(B)は脅威検出として必須、S3 Block Public Access(D)は意図しないデータ公開の防止として必須です。セキュリティベースラインは「すべてのアカウントで最低限有効にすべき防御策」です。

Q4. コンプライアンス自動化

Policy as Codeのアプローチにおいて、コンプライアンスチェックを実施する最も適切なタイミングはどれですか?

  • A. 年次監査の時だけチェックする
  • B. 設計時、デプロイ時、稼働時、監査時の4フェーズすべてでチェックする
  • C. 本番デプロイの直前にのみチェックする
  • D. インシデントが発生した後にチェックする
答えを見る

正解: B

Policy as Codeでは、設計時(IaCコードレビュー)、デプロイ時(CI/CDパイプライン内チェック)、稼働時(リアルタイム/定期スキャン)、監査時(レポート生成)の4フェーズすべてでチェックを行います。年次のみ(A)では日常的な違反を見逃します。デプロイ前のみ(C)では稼働後のドリフトを検出できません。事後のみ(D)では予防にならず被害が拡大します。多層的なチェックにより「漏れのないコンプライアンス」を実現します。

Q5. タグ付け戦略

クラウドリソースのタグ付けポリシーにおいて、必須タグが付与されていないリソースへの最も適切な対応はどれですか?

  • A. 即座にリソースを削除する
  • B. 作成者に通知し、一定期間後も未対応の場合は段階的にエスカレーション・制限する
  • C. タグの付与は任意とし、強制しない
  • D. セキュリティチームが手動で全リソースにタグを付与する
答えを見る

正解: B

タグ未付与への対応は段階的に行うべきです。即時削除(A)は本番環境に重大な影響を与える可能性があります。任意(C)ではコスト配賦やセキュリティ管理が機能しません。手動対応(D)はスケールしません。適切な対応は、まず作成者に自動通知し、24時間後にマネージャーに通知、72時間後に「non-compliant」タグを付与、7日後に非本番リソースを停止、という段階的なエスカレーションです。

結果

合格(4問以上正解)

Step 2の内容をよく理解しています。クラウドガバナンスのフレームワーク、ポリシー設計、ランディングゾーン、コンプライアンス自動化の考え方を身につけました。次のStep 3「FinOps文化を組織に根付かせよう」に進みましょう。

不合格(3問以下正解)

Step 2の内容を復習しましょう。特に以下のポイントを重点的に確認してください:

  • ガードレール型ガバナンス — ゲートキーパー型との違い、3種類のガードレール
  • マルチアカウント戦略 — アカウント分離の目的とOU構造
  • ランディングゾーン — セキュリティベースラインの要素
  • Policy as Code — 4フェーズのコンプライアンスチェック

推定所要時間: 30分