AWS 認定SysOpsアドミニストレーター – アソシエイトとは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

AWS 認定SysOpsアドミニストレーター – アソシエイトとは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

AWS認定SysOpsアドミニストレーター – アソシエイト（AWS Certified SysOps Administrator – Associate）は、世界的なクラウドサービスプロバイダーであるAmazon Web Services社が主催している、AWSに関する専門知識とスキルを評価し、証明するための国際的な認定資格です。この試験は、単にAWSの各サービスを知っているかだけでなく、クラウド環境のデプロイ、管理、そして監視といった、クラウドエンジニアの基礎的なスキルを客観的に測ることに重点を置いています。

この資格を取得することで、ご自身のAWS管理者としてのスキルが国際的な基準を満たしていることを証明できます。履歴書に記載して就職活動や転職活動でアピールしたり、企業内でのスキル評価に利用されたりすることがあります。特に、多くの企業がクラウド移行を進めている現代において、この資格は世界中で高い評価を受けています。

資格の位置づけと他のAWS認定資格との関係

AWS認定資格は、スキルレベルに応じてFoundational、Associate、Professional、Specialtyの4つのカテゴリに分かれています。AWS認定SysOpsアドミニストレーター – アソシエイトは、その中でも中級レベルであるAssociateに位置づけられています。

• AWS認定クラウドプラクティショナー：AWSの基本的な概念を理解しているかを問う入門レベルの資格です。
• AWS認定SysOpsアドミニストレーター – アソシエイト：クラウドプラクティショナーの知識を土台として、AWSの環境を運用・管理する専門的なスキルを証明する中級レベルの資格です。
• AWS認定ソリューションアーキテクト – プロフェッショナル：SysOpsアドミニストレーターの知識を前提として、より高度なクラウドソリューションを設計する専門家向けの最高峰の資格です。

AWS認定SysOpsアドミニストレーターは、AWSの基礎知識がある方を対象に、より実践的な運用・管理スキルを問う資格です。まずはクラウドプラクティショナーで土台を築き、次にこの資格を目指すのが一般的な流れとなります。

試験の傾向と出題形式はどうなっていますか？

試験の傾向を知ることは、効率的な学習を進める上で非常に重要です。AWS認定SysOpsアドミニストレーター – アソシエイト試験は、出題範囲が非常に広く、現実のシナリオに基づいた問題が出題されるのが特徴です。

出題形式の特徴

AWS認定SysOpsアドミニストレーター – アソシエイト試験は、選択式の問題が中心となりますが、単に4択から選ぶだけでなく、以下のような形式の問題も出題されます。

• 複数選択問題：複数の選択肢から、正解をすべて選ぶ形式の問題です。単純な知識の暗記だけでなく、それぞれの選択肢がなぜ正解（または不正解）なのかを正確に理解していないと、正解にたどり着くのが難しい場合があります。
• シナリオ問題：試験では、架空の企業のビジネス要件や技術的な制約が詳細に記された「シナリオ」が提示されます。そのシナリオに基づいて、最適なAWSサービスや設定を提案する問題が複数出題されます。これは、単なる知識の暗記だけでなく、それを現実の課題に適用する能力を測るためのものです。

これらの問題形式に慣れておくことが、合格のためには非常に重要です。

試験の主要な出題範囲

AWS認定SysOpsアドミニストレーター – アソシエイトの試験範囲は、以下のようなカテゴリに分かれています。

1. モニタリング、ロギング、トラブルシューティング：CloudWatch, CloudTrail, X-Rayといったサービスを使って、AWS環境のパフォーマンスを監視し、問題を特定・解決する能力が問われます。
2. 可用性、耐障害性、パフォーマンス：Auto Scaling, Elastic Load Balancing, Amazon Route 53といったサービスを使って、高可用性で信頼性の高いシステムを設計・運用する能力が求められます。
3. デプロイとプロビジョニング：CloudFormation, AWS CDK, AWS Systems Managerといったサービスを使って、インフラストラクチャの自動化と管理を行うスキルが出題されます。
4. セキュリティ、コンプライアンス、ガバナンス：IAM, AWS WAF, Security Hubといったサービスを使って、AWS環境のセキュリティを確保し、コンプライアンス要件を満たすための知識が問われます。
5. ストレージとデータベース：Amazon S3, Amazon EBS, Amazon RDSといったサービスを使って、ストレージやデータベースの運用・管理を行うスキルが求められます。
6. ネットワーキング：VPC, Subnet, NACL, Security Groupといった、AWSのネットワークサービスに関する専門的な知識が問われます。

このように、AWS認定SysOpsアドミニストレーター – アソシエイトは、クラウド環境の構築・運用・保守といった、クラウドエンジニアの仕事で必要となる、まさに「かゆいところに手が届く」知識を網羅しているのが特徴です。

過去問は役に立ちますか？具体的な対策方法も教えてください

過去問や問題集は学習において非常に有効なツールです。特に、AWS認定SysOpsアドミニストレーター – アソシエイトのような広範囲にわたる資格では、過去問を活用することで効率的に学習を進めることができます。しかし、ただ過去問を解くだけでなく、どのように活用するかが大切です。

過去問の活用法

過去問や問題集を解くことには、主に二つの大きなメリットがあります。

1. 出題形式や傾向を把握できる：過去問を解くことで、どのような形式で問題が出されるのか、どの分野から頻繁に出題されるのかといった傾向を掴むことができます。これにより、効率的に学習する分野を絞り込むことが可能になります。特に、シナリオ問題の形式に慣れておくことは、本番での戸惑いをなくす上で非常に重要です。
2. 自分の弱点を見つけられる：過去問を解いてみて、間違えた問題や理解に時間がかかった問題を分析することで、自分自身がどの分野を苦手としているのかを明確にできます。例えば、特定のAWSサービスの特性が曖昧、ネットワークの設定がよくわからないなど、具体的な弱点を見つけたら、そこを重点的に復習することで、より確実に実力を伸ばすことができます。

過去問は、ただ答えを丸暗記するのではなく、「なぜこのサービスを選ぶのが最適なのか」「なぜこの設定が必要なのか」を深く考えることが重要です。間違えた問題については、解説を読み込むだけでなく、実際にAWS環境でサービスを触ってみるなど、能動的に学習を進めていくことをおすすめします。

AWS認定SysOpsアドミニストレーター – アソシエイト試験の具体的な対策

対策のポイント

1. 公式教材や認定トレーニングを活用する：AWSが提供している公式の学習教材や、認定パートナーが開催するトレーニングコースを利用することは、試験範囲を効率的に網羅する上で非常に有効です。
2. ハンズオンで実践経験を積む：アソシエイトレベルの試験では、実践的なスキルが問われます。AWSの無料枠を活用したり、Qwiklabsのようなハンズオンラボサービスを利用したりして、実際にAWSの各サービスを触ってみることが大切です。
3. コマンドラインツールの使い方に慣れる：AWSの操作は、Webコンソールだけでなく、AWS CLIやAWS PowerShellといったコマンドラインツールでも行えます。コマンドラインを使った操作は、試験でも出題される可能性があるため、普段から触っておくことが大切です。
4. ベストプラクティスを学ぶ：AWSの公式サイトやブログには、各サービスのベストプラクティス（最善の方法）が多数公開されています。これらの情報をこまめにチェックして、AWSの思想や運用管理の考え方を深く理解しておくことが大切です。
5. AWS認定クラウドプラクティショナー認定資格を取得しておく：SysOpsアドミニストレーター – アソシエイトは、クラウドプラクティショナーの知識を前提としています。まずはクラウドプラクティショナーを取得して、AWSの基礎知識を固めておくことが、合格への近道となります。

この資格はどのような仕事に役立ちますか？

AWS認定SysOpsアドミニストレーター – アソシエイトの資格は、クラウドに関連する多岐にわたる仕事で役立ちます。この資格は、ITインフラの根幹をなすクラウドの基礎知識を証明するものです。

• クラウドエンジニア：AWS環境の設計、構築、運用、そしてトラブルシューティングを行う専門職です。この資格は、クラウドエンジニアとして働く上での土台となります。
• Web開発者：Webアプリケーションをクラウド環境にデプロイする際、AWSの知識は不可欠です。Web開発者として働く上でも、クラウドの基礎知識を持つことは大きな強みとなります。
• システム管理者：企業のサーバーをオンプレミスからクラウドに移行する際、クラウドの知識は必須です。この資格は、クラウド環境の運用・管理を行う上で役立ちます。
• ITサポート・ヘルプデスク：ユーザーから寄せられるIT関連のトラブルの多くは、クラウド環境に起因するものです。クラウドの知識があれば、問題の原因を素早く特定し、解決することができます。
• データアナリスト：AWSのデータサービス（Amazon Redshiftなど）を使ってデータを分析する際、クラウドの基礎知識を持つことで、より効率的に作業を進められます。

この資格は、これらの分野で働く上で、ご自身の知識やスキルを証明する有効な手段となります。

転職時には有利になりますか？

AWS認定SysOpsアドミニストレーター – アソシエイトの資格は、転職活動において、ご自身のクラウドスキルを客観的に示すための非常に強力な武器となり得ます。

有利になる点

1. 世界的な権威性の証明：AWS認定資格は世界中で広く認知されており、この資格を持っていることは、クラウドエンジニアとしての基礎スキルを持っていることの証明になります。
2. 学習意欲のアピール：IT業界は常に新しい技術が登場するため、継続的な学習が不可欠です。この資格取得に向けて努力したことは、企業に対して「この人は自ら学ぶ意欲が高い」という良い印象を与えます。
3. 選考の最初のステップを突破しやすくなる：多くの応募者がいる中で、履歴書に記載された資格は、選考担当者の目に留まりやすくなります。特にクラウドを重視する企業では、この資格を持っていることが、面接に進むためのきっかけとなる可能性が高まります。
4. 未経験者でもアピールしやすい：IT業界未経験者でも、この資格を取得することで、クラウドに関する基礎知識があることを証明できます。これは、他の未経験者との差別化を図る上で、非常に有効な手段となります。

資格だけで全てが決まるわけではありません

AWS認定SysOpsアドミニストレーター – アソシエイトは、クラウドの基礎知識を証明する資格であり、合格している時点で、かなりの実践経験を持っているとみなされます。しかし、資格はあくまでスキルを証明する「きっかけ」であり、面接では、これまでの実務経験や、どのような課題を解決してきたかといった、具体的な話が求められます。

そのため、これまでのプロジェクトでどのような役割を担い、どのような貢献をしてきたのかを、この資格の知識と結びつけて具体的に説明できるように準備しておくことが非常に重要ですです。

AIに奪われる可能性は？これからも必要とされますか？

現代において、AI技術は驚くべき速さで進化しています。AIがクラウドの設定や運用の一部を自動化する時代が到来しつつある中で、「クラウドエンジニアの仕事はAIに奪われるのでは？」と心配される方もいらっしゃるかもしれません。

しかし、結論から申し上げますと、クラウドエンジニアの需要は今後もなくなることはなく、AWS認定SysOpsアドミニストレーターのような基礎知識は、今後も変わらず必要とされると考えられています。

SysOpsアドミニストレーターの知識がこれからも必要とされる理由

1. AIはクラウドの「利用者」：AIや機械学習のモデルは、多くの場合、クラウド環境上で動作します。AIが効率的に動作するためには、安定したクラウド環境が不可欠であり、その環境を設計・運用するのは、依然として人間の専門家の仕事です。AIが進化すればするほど、そのAIをより良く活用するための、クラウドの専門家である人間の役割はますます重要になります。
2. システムの「設計者」としての役割：AIは単純な設定作業や、一般的な設計を自動化してくれるかもしれませんが、顧客の複雑なビジネス要件を深く理解し、最適なクラウドアーキテクチャを考えたり、予期せぬトラブルが発生した際に原因を特定して解決したりする「思考力」は、人間の専門家の役割です。
3. 新しい技術への対応：クラウド技術は日々進化しており、新しいサービスや機能が常に登場します。そうした新しい技術に対し、柔軟に対応し、最適なソリューションを設計・構築するのは、人間の専門家であるクラウドエンジニアの役割です。
4. AIの限界：AIは、あくまで過去のデータやベストプラクティスに基づいて学習します。そのため、予期せぬトラブルや、新しいタイプのビジネス要件に対して、AIが完璧に対応するのは難しい場合があります。そうした状況で、最終的な判断を下すのは人間の専門家です。

このように、AWS認定SysOpsアドミニストレーターの知識は、AI時代においても、ITインフラを支える上で不可欠な役割を担い続けるでしょう。AIの進化は、クラウドの仕事を奪うのではなく、むしろ私たちがより高度で創造的な仕事に集中できるような「強力なツール」として、私たちの仕事の仕方をより良いものに変えていくと考えられます。

まとめ

AWS認定SysOpsアドミニストレーター – アソシエイトは、クラウドの分野でキャリアを築きたい方にとって、非常に価値のある国際的な資格です。

• どのような資格？：AWSの運用・管理スキルを証明する中級レベルの国際的な資格です。
• 傾向は？：選択式の問題と、現実のビジネスシナリオに基づいた問題が組み合わされて出題されます。
• 対策は？：公式教材や認定トレーニングを活用し、実際にAWS環境を触って、実践力を高めることが大切です。
• 転職に有利？：はい、未経験者にとってはスキルをアピールする強力な武器となりますが、資格取得と合わせて実践的な経験を積むことも重要です。
• 将来性は？：AI時代においても、クラウドの専門家はITインフラを支える上で不可欠な存在であり、その需要は今後も安定していると考えられます。

もし、クラウドの世界に興味を持っていただけたのでしたら、ぜひこの資格を目標にしてみてください。ご自身の努力が形となり、自信となって、未来のキャリアを切り拓く力になるはずです。

AWS 認定SysOpsアドミニストレーター – アソシエイト試験：予想問題（AI作成）

問題 1

運用中のEC2（EBS起動、単一AZ）が「システムステータスチェック失敗」を頻発。自動で同一インスタンスを復旧したい。最適な方法はどれか。
A CloudWatch アラームでSNS通知のみ
B CloudWatch アラームのEC2アクション「Recover this instance」を設定
C Auto Scalingでスケールアウト
D Systems Managerで定期再起動

回答

B

解説

Recoverアクションはシステムステータス異常時に基盤を再配置し、同じインスタンスIDとEBSを維持して自動復旧する。SNS通知だけでは復旧できず、ASGはインスタンス置換は可能だがIDは変わる。定期再起動は根本対処にならないため不適切。

問題 2

S3バケットで誤公開を防止したい。既存のパブリックACLやポリシーの影響をまとめて遮断する設定はどれか。
A バケットバージョニング有効化
B S3パブリックアクセスブロック
C S3オブジェクトロック
D サーバーサイド暗号化

回答

B

解説

S3のパブリックアクセスブロックはアカウントやバケット単位で公開ACLやバケットポリシー由来の公開を包括的に遮断できる。バージョニングや暗号化は公開可否には影響しない。オブジェクトロックはWORM保持で削除や上書きを制御する機能であり誤公開対策ではない。

問題 3

運用チームはAWSアカウント内のリソース変更履歴を証跡として保存・検索したい。最も適切なサービスはどれか。
A CloudWatch Logs
B AWS Config
C CloudTrail
D Trusted Advisor

回答

C

解説

CloudTrailはAPIコールの記録と証跡管理に最適で、だれがいつ何を実行したかの監査が可能。Configはリソース構成とコンプライアンス評価、CloudWatch Logsはログ集約基盤、Trusted Advisorはベストプラクティス診断でありAPI監査の一次機能ではない。

問題 4

社内IPからのみALB配下の社内ツールにアクセスさせたい。最小作業で実現する方法はどれか。
A ALBにセキュリティグループで社内IPのみ許可
B NACLで拒否設定
C Route 53のレコードをプライベートに変更
D WAFでBOTのみ許可

回答

A

解説

ALBは受信側SGで許可元を制御でき、社内固定IPのCIDRを登録すれば即時反映される。NACLはサブネット単位で冗長な設定となり双方向記述が必要。Route 53の可視性変更はアクセス制御ではない。WAFも可能だがSGで十分かつシンプルでコストも低い。

問題 5

RDS MySQLの障害時にもエンドポイントを変えずに短時間で復旧したい。適切な構成はどれか。
A 単一AZ、手動スナップショット
B マルチAZ配置
C 読み取りレプリカのみ
D Auto Scaling

回答

B

解説

RDSマルチAZは同期スタンバイを保持し、プライマリ障害時に自動フェイルオーバーでエンドポイントを維持できる。読み取りレプリカは非同期でフェイルオーバー自動化は目的外。手動スナップショットからの復旧は時間がかかる。Auto ScalingはEC2向けでRDSには適用しない。

問題 6

コスト最適化。1年常時起動のEC2ワークロードに最適なのはどれか。
A スポット
B オンデマンド
C Savings Plans（ComputeまたはEC2）
D Dedicated Host

回答

C

解説

常時稼働が見込める場合は1年または3年のSavings Plansが最も割引効果が高い。スポットは中断リスクがあり常時稼働向けではない。オンデマンドは柔軟だが高コスト。Dedicated Hostは物理占有の要件がなければ不要でコストも高くなる。

問題 7

VPC内のプライベートサブネットからS3へインターネットを経由せずにアクセスしたい。最適な手段はどれか。
A NATゲートウェイ経由
B S3ゲートウェイ型VPCエンドポイント
C VPCピアリング
D Direct Connect

回答

B

解説

S3のゲートウェイ型VPCエンドポイントを使えば、プライベートルートでS3に到達でき、NATを介さないためコストや帯域の面でも有利。NATはインターネット経由となる。ピアリングはVPC間通信向け。Direct Connectは専用線で別要件のため過剰。

問題 8

CloudWatchメトリクスからログ内のエラーカウントを可視化したい。適切な機能はどれか。
A メトリクスストリーム
B メトリクスフィルター
C Contributor Insights
D アラームアクション

回答

B

解説

CloudWatch Logsのメトリクスフィルターはログパターンに一致した件数をメトリクス化できる。Contributor Insightsは寄与度分析。メトリクスストリームは外部転送用途。アラームアクションは通知や自動操作でありメトリクス生成機能ではない。

問題 9

EC2の運用でSSH鍵配布をやめ、踏み台なしで安全にログイン操作したい。最も適切なのはどれか。
A Systems Manager Session Manager
B EC2 Instance Connectのみ
C パブリックIPを全開放
D 自作エージェント

回答

A

解説

Session ManagerはエージェントとIAMで管理され、ポート開放や鍵配布不要で監査ログをCloudWatch/ S3に残せる。Instance Connectは一時鍵だがポート開放が前提になる場合が多い。全開放は危険。自作は保守負荷とリスクが高い。

問題 10

S3に保管するログの改ざん防止と法令遵守を担保したい。適切な機能はどれか。
A バージョニングのみ
B オブジェクトロック（コンプライアンス）
C サーバーサイド暗号化
D ライフサイクル移行

回答

B

解説

S3オブジェクトロックのコンプライアンスモードは保持期間中の削除や上書きを防ぎWORMを実現する。暗号化やライフサイクルは改ざん防止ではない。バージョニングは復元には有効だが改ざん自体は防げず、旧版削除のリスクも残るため要件に不足する。

問題 11

CloudFrontのエッジで特定パスのみブロックしたい。最適なサービスはどれか。
A AWS Shield Standard
B WAFのルール
C Security Group
D NACL

回答

B

解説

CloudFrontのアクセス制御はWAF統合が標準的で、パスやクエリ、IPなどに基づく高度な遮断が可能。ShieldはDDoS緩和であり細かなルールには向かない。SGやNACLはL3/4でエッジのアプリレイヤ制御には適さない。

問題 12

Route 53で東西リージョンに同一アプリを展開。遅延の少ないリージョンへ自動誘導したい。
A 加重ルーティング
B フェイルオーバー
C レイテンシー・ベース・ルーティング
D 位置情報ルーティング

回答

C

解説

レイテンシー・ベース・ルーティングはDNS応答を利用者から各リージョンへの測定遅延に基づき選択する。加重は比率で分散、フェイルオーバーは主従切替、位置情報は地理的ロケーションであり、遅延最小化には直接結びつかない。

問題 13

VPCフローログを長期保管して解析したい。費用最適化の観点で推奨される格納先はどれか。
A CloudWatch Logsのみ
B S3にエクスポート
C RDSに保存
D DynamoDBに保存

回答

B

解説

フローログはS3に保存すると低コストで長期保管でき、AthenaやGlueでのクエリ解析も容易。CloudWatch Logsも可だが長期では費用が嵩みやすい。RDSやDynamoDBはスキーマやコストの面で適さない。

問題 14

EBSスナップショットを別アカウントと共有したい。適切な手順はどれか。
A AMIを共有する
B スナップショットの共有許可を付与する
C S3にエクスポートして配布
D KMSキーの自動共有のみ

回答

B

解説

EBSスナップショットは「スナップショットの共有設定」で対象アカウントを指定する。暗号化済みならKMSキーの共有も必要。AMI共有では基盤スナップショットの共有が結局必要になる。S3エクスポートは手間とコストが増える。

問題 15

CloudWatchアラーム通知が多すぎて運用が疲弊。関連する複数アラームの状態をまとめて判定したい。
A すべて削除
B コンポジットアラームを使う
C サンプリング間隔を長くする
D ダッシュボードだけ監視

回答

B

解説

コンポジットアラームは複数アラームのブール条件を組み合わせて一つの通知に集約でき、ノイズを削減する。間隔伸長や削除は検知遅延や漏れを生む。ダッシュボードは能動監視が必要で自動通知の代替にならない。

問題 16

EC2の定期パッチ適用を自動化し、レポートしたい。適切なサービスはどれか。
A Systems Manager Patch Manager
B CloudFormation
C CodePipeline
D OpsWorks

回答

A

解説

Patch ManagerはメンテナンスウィンドウでOSパッチ適用を自動化し、準拠レポートも提供する。CloudFormationはリソース構築、CodePipelineはCI/CD、OpsWorksはChef/Puppetベース構成管理でパッチ専用ではない。

問題 17

新入社員が誤って本番で強権を発動しないよう、タスク実行前に上長承認を必須にしたい。
A IAMグループから外す
B IAMポリシーに条件で承認ワークフローを組む（Permissions boundary）
C AWS Organizations SCPで拒否し、承認時のみ例外解除
D CloudTrailで事後監査

回答

C

解説

SCPで本番操作をデフォルト拒否し、必要時に管理側で一時的に許可するのが組織的なガードレールとして有効。Permissions boundaryは個別権限の上限だが承認フロー自体は提供しない。事後監査は未然防止にならない。

問題 18

RDSのバックアップから特定時点へ復元したい。必要な設定はどれか。
A 手動スナップショットのみ
B 自動バックアップとPITR保持期間の設定
C 読み取りレプリカ
D ストレージタイプgp3

回答

B

解説

RDSは自動バックアップを有効にし保持期間を設定することで、ポイントインタイムリカバリが可能になる。手動スナップショットだけでは任意時刻への復元はできない。レプリカやストレージ種別はPITRの前提ではない。

問題 19

S3に保存された機密データのキー管理責任を自社に持たせたい。最も適切な暗号化方式はどれか。
A SSE-S3
B SSE-KMS（カスタマー管理キー）
C SSE-C（顧客提供キー）
D クライアント側暗号化のみ

回答

B

解説

SSE-KMSのCMKはキーのポリシーやローテーション、監査を自社管理でき、運用性と責任分担のバランスが良い。SSE-Cは完全持ち込みだが実装・運用負荷が高い。SSE-S3はAWS管理キーで管理責任はAWS側が大きい。クライアント暗号化のみではS3機能連携が制限される。

問題 20

Auto ScalingグループでCPU平均60%を目標に台数自動調整したい。適切なスケーリング方式はどれか。
A ステップスケーリング
B ターゲット追跡スケーリング
C 予約スケーリング
D 手動スケーリング

回答

B

解説

ターゲット追跡は目標メトリクス（例：平均CPU 60%）に収束するよう自動調整する。ステップは閾値超過量に応じた固定加減算。予約は時間帯固定のスケジュール。手動は自動化要件に合わない。

問題 21

VPC間通信が必要。相互のCIDRが重複しない前提で最も簡便な方法はどれか。
A VPCピアリング
B Transit Gateway必須
C Site-to-Site VPN
D Direct Connect

回答

A

解説

小規模なVPC間接続ならピアリングが手軽で低コスト。多対多や複雑なトポロジにはTransit Gatewayが有利。VPNやDirect Connectはオンプレ接続の用途が主で要件外か過剰となる。

問題 22

EC2のアプリログを一元収集しメトリクス化・アラートも行いたい。最適な構成はどれか。
A CloudWatch AgentでLogsへ送信しメトリクスフィルターとアラーム
B S3にファイルコピーのみ
C ローカルに保存
D RDSに挿入

回答

A

解説

CloudWatch AgentはログをLogsに集約し、メトリクスフィルターで可観測性を高め、アラームで検知が可能。S3のみでは監視即時性が弱い。ローカル保存は分散し分析困難。RDSはスキーマや容量面で不適切。

問題 23

CloudTrail証跡の改ざんリスクを最小化したい。推奨はどれか。
A S3に保存し、バージョニングとMFA Delete、オブジェクトロック活用
B CloudWatch Logsのみ
C ローカルにダウンロード
D 暗号化しない

回答

A

解説

CloudTrailのS3保存時にバージョニングとMFA Delete、さらにオブジェクトロックを用いるとWORM保持で改ざん耐性が高まる。LogsのみではWORM化が難しい。ローカル保存はリスクが高く、暗号化なしはNG。

問題 24

オンプレからAWSに安定した専用帯域で接続し、BGPで冗長化もしたい。選択肢はどれか。
A Site-to-Site VPNのみ
B Direct Connect単回線
C Direct Connect + 冗長構成、必要に応じてバックアップVPN
D インターネットVPN二重

回答

C

解説

Direct Connectは専用線で高信頼。冗長回線やロケーション冗長を構成し、バックアップとしてVPNを併用すると可用性が高い。単回線やインターネットVPNのみは要件の「専用帯域・冗長」に満たない。

問題 25

EBS gp2からgp3へ移行しコスト削減したい。最も停止影響の少ない方法はどれか。
A スナップショットから新規ボリューム作成して差し替え
B その場でボリュームタイプ変更
C AMI再作成必須
D RAID再構築

回答

B

解説

EBSは多くのタイプでオンラインにタイプ変更が可能で、gp2→gp3は代表例。スナップショット差し替えも可能だが作業が増える。AMI再作成やRAIDは不要。変更後は必要に応じてスループットやIOPSを個別に設定する。

問題 26

IAMユーザーの長期アクセスキーを廃止し、EC2上のアプリに一時的認証を付与したい。
A ユーザーポリシー強化
B インスタンスプロファイル（IAMロール）を付与
C 環境変数にキー埋め込み
D キーを毎日ローテーション

回答

B

解説

EC2にはインスタンスプロファイルでIAMロールをアタッチし、STSの一時クレデンシャルを自動取得させるのがベストプラクティス。環境変数や手動ローテは漏洩・運用負荷が高い。ユーザーポリシー強化は根本解決にならない。

問題 27

DynamoDBのスパイクに追従しつつコスト最適化したい。
A 固定プロビジョンド
B オンデマンドキャパシティーモード
C グローバルテーブル
D トランザクション有効化

回答

B

解説

オンデマンドモードはリクエストに応じて自動でスループットが拡張し、アイドル時の費用を抑えられる。固定プロビジョンドはスパイクでスロットリングを招く可能性。グローバルテーブルやトランザクションは別の要件であり費用最適化の主目的ではない。

問題 28

ECS Fargateでコンテナの異常終了を自動で再起動し、最小稼働数を維持したい。
A Auto Scalingグループ
B デプロイメントの最小正常タスク数を設定
C CloudFormationのUpdatePolicy
D Lambdaで手動復旧

回答

B

解説

ECSのサービスはデプロイ設定とDesired countで最小稼働数を担保し、異常終了時にタスクを自動再スケジュールする。ASGはEC2起動タイプ向け。UpdatePolicyはCFn更新時の挙動。Lambdaでの手動復旧は不要で信頼性が低い。

問題 29

Systems Manager Parameter Storeに機密値を保持し、KMSで暗号化したい。必要なのはどれか。
A SecureStringタイプとKMSキー指定
B Stringタイプ
C 暗号化不要
D S3に保存

回答

A

解説

機密値はSecureStringで保存し、KMS CMKを指定して暗号化する。Stringでは平文となる。暗号化なしは要件不一致。S3保存は本件のサービス要件外で、アクセスポリシーやフォーマット設計が別途必要になる。

問題 30

異常検知を機械学習で行い、メトリクスの予期しない逸脱をアラートしたい。
A CloudWatch アラームのアノマリ検出バンド
B Trusted Advisor
C GuardDuty
D Configルール

回答

A

解説

CloudWatchのアノマリ検出は学習したメトリクスの通常範囲からの逸脱を自動検知する。Trusted Advisorはコストやセキュリティの静的チェック、GuardDutyは脅威検出、Configは構成準拠評価でメトリクス異常の検出用途ではない。

問題 31

S3の大量小オブジェクトに対し、コストを抑えつつ低遅延配信をしたい。
A CloudFront + S3 オリジン
B EFSに移行
C RDSに格納
D DynamoDBに格納

回答

A

解説

静的コンテンツ配信はCloudFrontとS3の組み合わせが最適で、エッジキャッシュにより遅延とオリジン転送量を削減できる。EFSやRDS、DynamoDBはストレージ用途が異なり配信最適化には向かない。

問題 32

RDSのパフォーマンス問題解析でSQL待機イベントや上位クエリを確認したい。
A Enhanced Monitoring
B Performance Insights
C CloudWatch基本メトリクスのみ
D VPCフローログ

回答

B

解説

Performance InsightsはDB負荷、上位SQL、待機イベントを可視化し、ボトルネック特定に有用。Enhanced MonitoringはOSレベルのメトリクス。CloudWatch基本メトリクスだけではSQL詳細は見えない。フローログはネットワーク観点で用途が違う。

問題 33

Route 53ヘルスチェックに基づきDRサイトへ自動切替したい。
A 加重ルーティング
B フェイルオーバールーティング
C マルチバリュールーティング
D エイリアス無効化

回答

B

解説

フェイルオーバーはプライマリのヘルスチェックが不良時にセカンダリへ自動で切り替える設計。加重は比率分散、マルチバリューは可用性向上だが本質は異なる。エイリアス設定の有無は切替ロジックとは直接関係しない。

問題 34

CloudWatch Logsの保存コストを自動で抑えたい。適切な対策はどれか。
A 保存期間を無期限に設定
B ロググループの保持期間を適切な日数に設定
C 取り込みを停止
D 別リージョンへコピー

回答

B

解説

ロググループごとに保持期間を設定すると古いログが自動削除され費用を抑えられる。無期限はコスト増。取り込み停止は監視欠落につながる。別リージョンへのコピーは冗長化目的でコスト削減には直結しない。

問題 35

S3からAthenaでクエリするための最適な形式と圧縮の組み合わせはどれか。
A CSV + zip
B Parquet + 列指向圧縮
C JSON + gzipのみ
D 生のテキスト

回答

B

解説

Parquetは列指向でスキャン量が少なく、列単位圧縮によりAthenaの課金対象データ量が減る。CSVや生テキストは冗長。JSON+gzipも改善するがスキーマ推論や列スキャン効率でParquetが有利。

問題 36

EKSクラスターの監査ログやコントロールプレーンログを収集したい。
A CloudTrailのみ
B EKSのコントロールプレーンログ出力を有効化してCloudWatch Logsへ
C ノード内syslogへ出力
D S3へ直接出力のみ

回答

B

解説

EKSはAPIサーバ、監査、コントローラ、スケジューラなどのログをCloudWatch Logsへ送信可能。CloudTrailはAWS API監査でKubernetes内部ログは対象外。syslogやS3直接出力は標準機能外で運用負荷が高い。

問題 37

アカウント全体のコスト急増を即時検知したい。
A Cost Explorerの手動確認
B AWS Budgetsのコスト予算とアラート
C Trusted Advisorのみ
D 請求書到着待ち

回答

B

解説

AWS Budgetsはしきい値や予測に基づくアラートを送れるため、急増検知に適する。Cost Explorerは分析に有用だが手動。Trusted Advisorは一部コスト最適化指摘はするが即時アラート用途には限定的。請求書待ちは対応が遅い。

問題 38

SQSを使うバッチで、一度に最大件数を取り出して処理効率を上げたい。
A Long pollingを0秒
B ReceiveMessageのMaxNumberOfMessagesを10に設定
C VisibilityTimeoutを1秒
D キューをFIFOに変更

回答

B

解説

SQSは1回の受信で最大10件まで取得できるためMaxNumberOfMessages=10が効率的。Long pollingは待機でAPI回数削減に有益だが件数上限は変わらない。VisibilityTimeout 1秒は重複配信を招く。FIFO化は順序保証目的で効率化とは別。

問題 39

ALB配下のEC2でヘルスチェックに失敗。調査の第一歩として適切なのはどれか。
A セキュリティグループのインバウンドでALBのSGを許可
B NACLを全許可
C CloudTrailでAPIを確認
D Route 53を再作成

回答

A

解説

ターゲットのSGでALBのSGからのヘルスチェックポートを許可するのが基本。NACL全許可は不要かつ危険。CloudTrailは構成変更の監査で初動としては遠回り。DNS再作成は原因ではないことが多い。

問題 40

CloudWatch AgentでEC2のメモリ使用率を取得したい。必要な対処はどれか。
A 追加設定不要
B エージェントの設定ファイルでmemメトリクスを有効化
C OS再起動
D VPCエンドポイント必須

回答

B

解説

EC2標準メトリクスにはメモリがないため、CloudWatch Agentの設定でメモリ収集を有効化し、IAM権限と通信経路を整える必要がある。再起動は通常不要。VPCエンドポイントはオプションで必須ではない。

問題 41

Aurora MySQLでリーダーエンドポイントの用途として正しいのはどれか。
A 書き込み専用
B 読み取り専用で複数リーダーに分散
C フェイルオーバー用のみ
D バックアップ用のみ

回答

B

解説

リーダーエンドポイントは読み取り専用で接続を複数のリーダーに自動分散し、スケールアウトに寄与する。書き込みはクラスタエンドポイント。フェイルオーバーやバックアップ専用ではない。

問題 42

CloudWatch EventBridgeで定時の運用ジョブを実行したい。
A スケジュール式（cronまたはrate）でターゲットにLambdaやStep Functionsを設定
B CloudTrailで起動
C Route 53で起動
D S3イベントで起動

回答

A

解説

EventBridgeはcronやrate式のスケジュールで任意ターゲットを起動でき、運用自動化に最適。CloudTrailはイベント監査、Route 53はDNS、S3イベントはオブジェクト操作トリガで定時実行の仕組みではない。

問題 43

EBSスナップショットを別リージョンへ自動コピーしたい。
A Data Lifecycle Managerでスナップショットポリシー
B S3レプリケーション
C Lambda手作りのみ
D CLI手動

回答

A

解説

DLH/ DLMのスナップショットライフサイクルポリシーで定期的な作成とクロスリージョンコピーを自動化できる。S3レプリケーションはS3専用。Lambdaや手動は保守負荷が高く、標準機能を使うのが望ましい。

問題 44

NATゲートウェイ費用が高い。プライベートサブネットからのS3/ DynamoDB通信のみ必要。
A NATを縮退
B ゲートウェイ/インターフェイス型VPCエンドポイントを活用
C IGWを追加
D プロキシ自作

回答

B

解説

S3はゲートウェイ型、DynamoDBはゲートウェイ型、他多くのサービスはインターフェイス型エンドポイントを使えばNATを経由せず到達でき、転送料やNAT時間課金を削減できる。IGWは公開になる。自作プロキシは運用コストが高い。

問題 45

CloudFormationで本番と検証の設定差分を安全に適用したい。
A 直接更新
B Change Setを作成して影響を確認後に実行
C テンプレートをメールで共有
D 手動でコンソール変更

回答

B

解説

Change Setは適用前に差分を可視化し、意図しない変更を防げる。直接更新や手動操作はリスクが高い。メール共有は統制にならない。インフラはIaCで変更の事前可視化が重要である。

問題 46

GuardDutyで脅威検出を有効にしたが、結果の集約と自動対応を実装したい。
A 結果を無視
B EventBridgeでGuardDuty findingを受け、SNS/ Lambdaへ連携
C CloudTrailへ送る
D Configへ送る

回答

B

解説

GuardDutyのFindingはEventBridgeに出力され、ルールでSNS通知やLambda自動修復と連携できる。CloudTrailやConfigは目的が異なる。無視は論外。自動対応でMTTRを短縮するのが運用ベストプラクティス。

問題 47

ELBからのアクセスログを分析して不審IPを遮断したい。
A ALBアクセスログをS3に出力し、Athenaで集計、WAFにブロックルール反映
B CloudTrailで確認し遮断
C NACLで全拒否
D 何もしない

回答

A

解説

ALB/NLBのアクセスログをS3に保存しAthenaで分析するのが定石。悪性IPはWAFルールでブロック可能。CloudTrailはELB経由のL7アクセス内容は記録しない。NACL全拒否は正規も遮断する。対策なしは不適切。

問題 48

S3からGlacier Deep Archiveへ自動移行し長期保管したい。
A バージョニング
B ライフサイクルルールでストレージクラスを移行
C バケットポリシーで移行
D 手動コピー

回答

B

解説

S3ライフサイクルでオブジェクトの経過日数に応じて安価なアーカイブクラスへ自動移行できる。バケットポリシーはアクセス制御であり移行はできない。手動コピーは運用負荷が高い。バージョニングは別機能。

問題 49

VPC NACLの特徴として正しいのはどれか。2つ選べ。
A ステートフル
B サブネット単位で適用
C デフォルト許可ルールがある
D ルールは評価順序がある

回答

B, D

解説

NACLはサブネット単位で適用され、評価は番号の若い順に行われるステートレスのフィルタ。ステートフルはセキュリティグループの特性。デフォルトは明示的に許可・拒否を設定し、ルールがなければ暗黙拒否に近い動作となる点に注意。

問題 50

事例: 本番ASGが急増し費用が悪化。リクエストは瞬間的スパイクが多い。平均負荷は低い。最適化として適切なのはどれか。
A 常に最大数を維持
B ターゲット追跡 + スケジュールドスケーリングの併用
C 手動のみ
D 監視を停止

回答

B

解説

スパイク吸収にはターゲット追跡で自動調整しつつ、時間帯パターンがある場合はスケジュールドで事前に台数を上げ下げすると過剰な滞留を抑え費用最適化できる。常に最大は高コスト。手動や監視停止は運用品質を下げるだけで解決にならない。

問題 51

複数アカウントでCloudTrailを集中管理し、証跡を1つのS3バケットへ集約したい。最も適切な方法はどれか。
A 各アカウントで別々のS3へ保存
B 組織の証跡を有効化し、集中S3に保存
C CloudWatch Logsのみに保存
D すべてのリージョンで証跡を無効化

回答

B

解説

Organizationsの証跡を使うと、メンバーアカウントのAPIイベントを自動的に収集し、中央のS3へ集約できる。ガバナンスや改ざん耐性（バージョニングやオブジェクトロック併用）も取り入れやすい。各アカウント別保存は可視性が分断される。LogsのみはWORM保持や長期保管で不利。無効化は監査要件に反する。

問題 52

S3のアクセス制御をACLからバケットポリシーへ一本化し、所有者で一元管理したい。適切な設定はどれか。
A バージョニング有効化
B オブジェクト所有権「Bucket owner enforced」を有効化
C サーバーアクセスログ有効化
D Intelligent-Tieringに移行

回答

B

解説

「Bucket owner enforced」を有効化するとACLが無効化され、オブジェクト所有権がバケット所有者に統一される。これにより権限の一元管理と誤公開の最小化に寄与する。バージョニングやストレージクラス変更は所有権や権限統一の課題を解決しない。アクセスログは監査目的で別次元。

問題 53

プライベートサブネットのEC2からS3とDynamoDBへ、NATコストをかけずに到達したい。最適解はどれか。
A NATゲートウェイを縮小
B S3/DynamoDBのゲートウェイ型VPCエンドポイントを作成
C IGWを追加
D プロキシを自作

回答

B

解説

S3とDynamoDBはゲートウェイ型エンドポイントでプライベート経路を提供し、NAT課金や転送量の増大を回避できる。IGWはインターネット露出を伴う。プロキシ自作は保守負荷と単一障害点の増加に繋がる。NAT縮小は根本解決とならない。

問題 54

EC2の定期コマンド実行と結果収集をエージェント経由で安全に行いたい。最適な機能はどれか。
A Systems Manager Run Command
B SSHでcron配布
C Lambdaから直接SSH
D CloudTrail

回答

A

解説

Run CommandはSSMエージェントとIAMで安全にコマンドを配布し、出力はCloudWatch LogsやS3へ集約できる。踏み台や鍵配布不要で監査も容易。SSH配布や直接SSHは運用・セキュリティ負荷が高い。CloudTrailは実行履歴監査であってコマンド配布機能ではない。

問題 55

NLBで固定グローバルIPを使いたい。どう構成するか。
A NLBにElastic IPを割り当てる
B ALBにElastic IPを割り当てる
C Route 53で固定化
D IGWにElastic IPを付与

回答

A

解説

NLBはAZごとにEIP割り当てが可能で、固定IPが必要なクライアント環境に適合する。ALBはEIPを直接割り当てできない。Route 53はDNS解決でありIP固定の代替ではない。IGWのEIP割り当てという概念はなく、EIPはENIやNLB等に関連付ける。

問題 56

RDS MySQLでメンテナンスのタイミングを制御しつつ軽微なアップデートを自動適用したい。必要な設定はどれか。
A メンテナンスウィンドウ設定と自動マイナーバージョンアップ有効化
B 常時手動アップグレード
C バックアップ無効化
D フェイルオーバー無効化

回答

A

解説

自動マイナーアップグレードを有効にし、適用時間帯をメンテナンスウィンドウで指定するのが運用の基本。手動のみでは適用漏れや遅延が起こる。バックアップやフェイルオーバーを無効化するのは可用性・復旧性を損ね不適切である。

問題 57

RDSでストレージ不足に備え、自動で拡張したい。どの設定か。
A ストレージ自動スケーリング（MaxAllocatedStorage）
B 読み取りレプリカ
C インスタンスタイプ拡張のみ
D IOPS変更のみ

回答

A

解説

RDSのMaxAllocatedStorageを設定すると、使用率に応じて自動的にストレージが拡張される。レプリカは読み取り分散で容量問題を直接は解決しない。vCPUやIOPSの変更は性能調整であり容量逼迫対策ではない。

問題 58

RDS MySQLへの接続で長時間アイドル時の接続枯渇を抑え、認証や接続管理を改善したい。最適なサービスはどれか。
A RDS Proxy
B Direct Connect
C DMS
D Database Migration Service + S3

回答

A

解説

RDS Proxyは接続プールとIAM認証の統合でDB接続数の最適化と可用性向上を実現する。Direct Connectはネットワーク用途、DMSは移行用サービスで本番運用の接続管理には適さない。S3はデータレイクでDB接続の課題を解決しない。

問題 59

CloudWatchでエンドユーザー視点の可用性を監視し、URLの死活とレスポンスを定期検証したい。
A Synthetics Canary
B Logsメトリクスフィルター
C Contributor Insights
D Personal Health Dashboard

回答

A

解説

Synthetics Canaryはブラウザ/HTTPレベルの合成監視ができ、外形監視として可用性とレスポンスをチェックする。メトリクスフィルターやContributor Insightsはログ解析寄り。PHDはAWSサービス影響の通知で自社アプリ死活監視とは別。

問題 60

CloudWatch Logsからリアルタイムに外部へストリームしてSIEMで分析したい。
A サブスクリプションフィルターでKinesis Data Firehoseへ送信
B S3へエクスポート
C ロググループの保持期限を延長
D 手動ダウンロード

回答

A

解説

サブスクリプションフィルターはログをKinesisやLambda、Firehoseへ継続的に配信でき、外部SIEM取り込みに適する。S3エクスポートや手動はバッチや手作業でリアルタイム性がない。保持期限はコスト調整であり連携目的は満たさない。

問題 61

外部委託先から自社AWSアカウントへ安全にクロスアカウントアクセスさせたい。最適な方法はどれか。
A 委託先のIAMユーザーを自社で作る
B クロスアカウントIAMロールと信頼ポリシー、外部IDを利用
C アクセスキーをメールで共有
D 共有ルートアカウント

回答

B

解説

第三者には、信頼関係を張ったロールを用意して一時的にAssumeRoleさせ、外部IDでミスバインディング対策を行うのがベスト。ユーザー作成やキー共有は漏洩や運用負荷のリスクが高い。ルート共有は重大なセキュリティ違反である。

問題 62

ECRの不要な古いイメージを自動削除したい。
A Image Lifecycle Policyを設定
B S3ライフサイクルを設定
C EventBridgeでCloudTrail連携
D Systems Managerで手作りスクリプト

回答

A

解説

ECRはライフサイクルポリシーでタグや数・年齢条件に基づいて古いイメージを自動削除できる。S3ライフサイクルはECRには適用されない。EventBridge連携や自作スクリプトは可能だが、管理が複雑になり保守負荷が増える。

問題 63

ECSの新バージョンデプロイで失敗時に自動ロールバックしたい。
A Serviceのデプロイメントサーキットブレーカーを有効化
B Auto Scalingのみ設定
C CodeDeployは必須
D 手動で停止

回答

A

解説

ECSサービスの「Deployment circuit breaker」を有効化するとヘルスチェック不合格時に自動でデプロイを中止し、望ましい場合は自動ロールバックまで実行できる。Auto Scalingや手動操作は信頼性が低い。CodeDeployは必須ではない。

問題 64

CloudFormationで重要リソースの誤更新を防ぎたい。
A スタックポリシーを設定
B 直接手動更新
C 終了保護を無効化
D テンプレートをZIP暗号化

回答

A

解説

スタックポリシーは特定リソース（例：本番DB）の更新を拒否でき、誤操作防止に有効。手動更新はIaC逸脱。終了保護無効化は削除リスクを高める。ZIP暗号化は配布方法の話で、変更保護にはならない。

問題 65

機密情報の保管と自動ローテーションが要件。どのサービスが適切か。
A Systems Manager Parameter Store（SecureString）
B AWS Secrets Manager
C S3サーバーサイド暗号化
D DynamoDB

回答

B

解説

Secrets ManagerはRDS等と統合し自動ローテーションを提供、暗号化やバージョン管理、監査も容易。Parameter StoreのSecureStringは暗号化は可能だが自動ローテーションが標準ではない。S3やDynamoDBは秘匿情報の管理機構としては目的外。

問題 66

停止再開のたびにプロセス再起動が重いEC2を、メモリ状態ごと素早く復帰したい。
A ハイバネートを有効化
B AMIから毎回起動
C Auto Scalingで置換
D インスタンスストアへ退避

回答

A

解説

HibernateはRAM内容を暗号化してEBSへ保存し、次回起動でメモリ状態を復元できる。アプリのウォームアップが重いワークロードに有効。AMI再作成やASG置換はコールドスタートになる。インスタンスストアは停止で消えるため適さない。

問題 67

新規ワークロードの起動設定で将来の機能拡張やバージョニングを考慮したい。
A Launch Templateを使用
B Launch Configurationを使用
C 手動起動のみ
D AMIだけ管理

回答

A

解説

Launch Templateはバージョニングや最新機能（例：T2/T3 Unlimited、混在起動等）に対応する。Launch Configurationはレガシーで機能制限が多く更新不可。手動やAMI単独管理は再現性・自動化に欠け、運用品質を落とす。

問題 68

EC2/ECR/Lambdaの脆弱性検出を自動化し継続評価したい。
A Amazon Inspector v2
B GuardDuty
C Security Hubのみ
D Detective

回答

A

解説

Inspector v2はEC2・ECRイメージ・Lambdaの依存パッケージをスキャンし、継続的にCVEを可視化する。GuardDutyは脅威検出、Security Hubは統合ダッシュボード、Detectiveは調査支援であり脆弱性スキャンの主役ではない。

問題 69

S3に保存された大量のテキストから個人情報を自動検出し、可視化したい。
A Amazon Macie
B Athena
C Glue Crawler
D QuickSight

回答

A

解説

Macieは機械学習でPII等の機密データを検出し、S3内の場所やリスクをレポートする。AthenaやQuickSightは分析基盤で、PII検出の自動化は提供しない。Glueはメタデータ収集で、機密検出の機能は目的外。

問題 70

CloudFront→S3構成で、オリジン側のトラフィックを圧縮しS3保存コストを削減したい（配信はそのまま）。
A Kinesis Data FirehoseでGZIP圧縮しS3へ
B CloudFrontの圧縮設定
C S3のサーバーサイド圧縮
D EBS圧縮

回答

A

解説

保存時の圧縮を目的とするならFirehose経由でGZIPやParquet等に圧縮してS3へ配送する選択が有効。CloudFrontの圧縮は配信圧縮で保存には影響しない。S3自体に「自動圧縮」はない。EBS圧縮はブロックストレージで対象外。

問題 71

アカウント内のリソースが外部公開されていないか自動検知したい。
A IAM Access Analyzer
B Configなしの手動確認
C CloudTrailのみ
D Route 53ヘルスチェック

回答

A

解説

Access AnalyzerはS3バケットやKMS、IAMロールなどの外部公開・クロスアカウントアクセスを数理解析で検出する。手動確認は漏れが出やすい。CloudTrailは履歴の監査で公開状態の検出ではない。Route 53はDNSで関係しない。

問題 72

オンプレDNSとVPC間で名前解決を双方向に行いたい。
A Route 53 Resolverのインバウンド/アウトバウンドエンドポイントを構成
B Private Hosted ZoneをPublicに変更
C VPCピアリングのみ
D Direct Connectだけ

回答

A

解説

Resolverエンドポイントによりオンプレ→VPC、VPC→オンプレへのフォワーディングが可能。PHZの公開化は不適切。ピアリングはDNS転送を自動提供しない。Direct Connectは物理接続で、名前解決機構は別途必要。

問題 73

VPC内の到達性を設計段階で検証し、通信不可の原因を可視化したい。
A VPC Reachability Analyzer
B VPCフローログのみ
C CloudWatchダッシュボード
D NACLを全許可

回答

A

解説

Reachability Analyzerは開始点/終点を指定して経路探索し、SG・NACL・ルート等の阻害要因を特定できる。フローログは動的観測で原因特定に時間がかかる。ダッシュボードは可視化だが解析機能はない。全許可はセキュリティを損なう。

問題 74

コスト最適化のため、EC2やEBS、Lambda等の推奨サイズを自動分析したい。
A AWS Compute Optimizer
B Trusted Advisorのみ
C 手動のCloudWatch確認
D Cost Explorerだけ

回答

A

解説

Compute Optimizerは実測メトリクスを元にインスタンス、EBS、Lambdaのサイズや形態変更の推奨を示す。Trusted Advisorの推奨は限定的。手動確認やCost Explorer単体は網羅性と自動提案が不足する。

問題 75

S3バックアップを別アカウントのボールトへコピーし、DRを強化したい。
A AWS Backupのクロスアカウントコピーを設定
B 同一アカウントのみ
C S3クロスリージョンレプリケーションのみ
D CLI手動

回答

A

解説

AWS Backupはバックアップボールトのアクセス制御とKMS許可を組み合わせ、他アカウント・他リージョンへの自動コピーを提供する。CRRはバケット間のオブジェクト複製でバックアップの整合な世代管理とは異なる。手動は運用負荷が高い。

問題 76

S3バケット内オブジェクトの暗号化状態やレプリケーション有無を定期的に棚卸したい。
A S3 Inventoryを有効化
B CloudTrailで確認
C ListObjectsを手作業
D Athenaに手入力

回答

A

解説

S3 InventoryはCSV/ORC/Parquetでオブジェクト一覧とメタ情報（暗号化、レプリケーション状況等）を出力し、Athenaで容易に照会できる。CloudTrailや手作業は規模に耐えない。手入力は非現実的。

問題 77

アプリのエンドツーエンド遅延の上振れを自動検知し警報したい。
A CloudWatchアラームのアノマリ検出
B 固定しきい値のみ
C 週次レポート確認
D ダッシュボード閲覧のみ

回答

A

解説

アノマリ検出は周期性や季節性を学習し、しきい値では拾いづらい異常をバンド逸脱として通知する。固定しきい値や手動確認は検知漏れ・遅延を招く。ダッシュボードは受動的で自動通知にならない。

問題 78

Direct Connectの冗長設計として推奨されるのはどれか。
A 同一ロケーション単回線
B 異なるDXロケーション/回線で冗長、バックアップVPN併用
C インターネットVPNのみ
D 監視を外す

回答

B

解説

DXは物理障害やロケーション障害を考慮し、別ロケーション／別回線の冗長化が推奨。さらにSite-to-Site VPNをバックアップに用意すると高可用性を達成できる。単回線やVPNのみはSLA・帯域要件を満たしにくい。

問題 79

CloudFrontでS3私有オリジンを安全に公開したい。最新推奨はどれか。
A OAI（Origin Access Identity）のみ
B OAC（Origin Access Control）を使用し、S3ポリシーで許可
C バケットをパブリック化
D 署名付きURLだけ

回答

B

解説

OACは署名付きリクエストでS3私有オリジンへのアクセスを制御でき、今後の推奨方式。OAIも可能だが新規はOAC推奨。バケット公開は避けるべき。署名付きURLは配布制御であり、オリジン保護の代替にはならない。

問題 80

S3の巨大CSVから必要列だけを低コストに抽出したい。
A S3 Selectを使用
B 全体をAthenaでフルスキャン
C ダウンロードして手元で加工
D Glueで必ずParquet化

回答

A

解説

S3 Selectはオブジェクト内の一部データのみを取り出す機能で、転送量と計算コストを削減できる。Athenaのフルスキャンや手元処理は無駄が大きい。Parquet化も良いが即時に列抽出したい要件ではS3 Selectが手軽。

問題 81

ALBで同一ユーザーを同一ターゲットへ一時的に固定したい。
A スティッキーセッション（ALB Cookie）を有効化
B NACLで固定
C WAFで固定
D Route 53で固定

回答

A

解説

ALBはアプリケーションベースのスティッキーセッションを提供し、Cookieにより一定期間同一ターゲットへ振り分ける。NACLやWAFはL3/4やルールベースでセッション固定の機能ではない。Route 53はDNS層であり個別セッション管理は行わない。

問題 82

社内用の内部証明書をAWSで発行・運用したい。
A ACM Private CA
B パブリックACMのみ
C 手動でOpenSSL
D Route 53

回答

A

解説

ACM Private CAはプライベートルート/サブCAを管理し、内部用途の証明書発行・失効・監査を提供する。パブリックACMは公開ドメイン向け。OpenSSL手作業は監査やスケールに難点。Route 53はDNSであり証明書発行機能はない。

問題 83

将来のピークに備え、特定AZでEC2の容量を事前確保したい。
A On-Demand Capacity Reservation
B Savings Plans
C スタンダードRI（リージョン）
D スポット

回答

A

解説

オンデマンド容量予約は指定AZの容量を確保でき、確実な起動が必要な運用に適する。Savings PlansやリージョンRIは割引であり容量確保ではない。スポットは中断リスクがあり容量保証にならない。

問題 84

CloudTrailログを対話的にクエリし、特定期間のAPI呼び出しを高速検索したい。
A CloudTrail Lake
B Athenaにインポート必須
C CloudWatch Logs Insightsのみ
D S3へダウンロードしてgrep

回答

A

解説

CloudTrail Lakeは証跡を専用ストアに取り込み、SQLライクなクエリで期間・条件検索を素早く行える。Athenaも可能だがLakeはスキーマと最適化が済んでおり手間が少ない。Logs Insightsは保存形態が異なる。手元grepは非効率。

問題 85

定時実行が必要な複数段階の運用フロー（分岐・再試行含む）を設計したい。
A Step Functionsでワークフローを記述し、EventBridgeでスケジュール起動
B Lambda単体のcron
C CloudTrailで定期実行
D EC2のcronのみ

回答

A

解説

複雑な分岐・エラーハンドリング・可視化はStep Functionsが適し、起動はEventBridgeのスケジュールで行うのが標準。Lambda単体cronは簡易だが複雑化に弱い。CloudTrailはトリガでない。EC2のcronは単一障害点と保守負荷が増える。

問題 86

IAMポリシーでMFA装着時のみ高権限操作を許可したい。条件キーはどれか。
A aws:RequestedRegion
B aws:MultiFactorAuthPresent
C s3:prefix
D ec2:InstanceType

回答

B

解説

aws:MultiFactorAuthPresentはMFAの有無を条件判定でき、trueのときのみ許可することで保護強化が可能。ほかのキーは地域・S3条件・インスタンスタイプでありMFA制御には使えない。MFA Ageを併用すれば期限も制御できる。

問題 87

社内のIDプロバイダと連携し、アカウント横断のロール付与を一元管理したい。
A IAM Identity Center（SSO）でパーミッションセットを配布
B 各アカウントでユーザーを個別作成
C 共有ルートを配布
D STS無効化

回答

A

解説

IAM Identity CenterはSAML/OIDC連携し、組織アカウントへ「パーミッションセット」からロールを自動配布・管理できる。個別ユーザー作成はスケールしない。ルート共有は重大な違反。STS無効化は可用性を損なう。

問題 88

S3レプリケーションを構成する前提条件として正しいものはどれか。
A バージョニングを両バケットで有効化
B KMSは不要
C 同一リージョンのみ可
D 送信元のみ有効化でよい

回答

A

解説

CRR/SRRは送信元・送信先の両方でバージョニング有効が必須。暗号化されている場合はKMS許可が必要になることが多い。リージョンは同一/別いずれも可能。片側のみの有効化では機能しない。

問題 89

Aurora MySQLのスケーリングで、負荷に応じて瞬時にリソースを調整したい。
A Aurora Serverless v2
B 伝統的インスタンスの手動変更
C 読み取りレプリカ追加のみ
D オンプレ移行

回答

A

解説

Serverless v2は秒単位でACUを弾力的に調整し、スパイクにも追随する。手動変更やレプリカ追加だけでは迅速性が劣る。オンプレ移行は要件に反する。既存アプリ互換性も高く、コストと可用性の両立に有効。

問題 90

io2ブロックエクスプレスのEBSを複数インスタンスへ同時接続し、クラスタFSで利用したい。
A マルチアタッチを有効化
B RAID0を構成
C スナップショット共有
D インスタンスストアへ移行

回答

A

解説

特定タイプ（io1/io2等）はマルチアタッチに対応し、同一AZ内の複数EC2から同一ボリュームへ同時接続が可能（アプリ側のクラスタFS前提）。RAIDは別目的。スナップショット共有は静的配布。インスタンスストアは一時ディスクで不可。

問題 91

Auto Scalingグループで古いAMIを段階的に置き換えたい。
A インスタンスリフレッシュを実行
B 手動で全削除
C 何もしない
D スケジュールのみ

回答

A

解説

インスタンスリフレッシュはヘルスを見ながら段階的に新設定へ置換する。手動全削除はダウンタイムやリスクが高い。放置はセキュリティや脆弱性の観点で問題。スケジュールは補助で置換手段ではない。

問題 92

CloudWatchメトリクスが「Insufficient Data」になる原因切り分けの第一歩として適切なのはどれか。
A メトリクスの送信元や期間・統計・評価期間を確認
B すぐ削除
C SNSを解除
D リージョンを変更

回答

A

解説

Insufficient Dataはデータ未到着や可視化設定の問題で起こる。評価期間・期間・統計の不一致やメトリクス名誤り、カスタムメトリクスの送信失敗などを確認するのが初動。削除や通知解除は根本解決ではない。リージョン変更も通常無関係。

問題 93

EBSスナップショットを他リージョンへ暗号化して自動コピーしたい。
A DLM（Data Lifecycle Manager）でポリシー設定し、KMSキー許可を付与
B S3レプリケーションで実施
C KMSなしで自動
D CLI都度手動のみ

回答

A

解説

DLMのスナップショットポリシーは作成とクロスリージョンコピー、暗号化、保持を自動化できる。暗号化にはコピー先KMSキーの許可が必要。S3レプリケーションは対象外。手動は運用コストが高い。

問題 94

RDSのメジャーバージョンアップを本番影響最小で実施したい。
A Blue/Green Deploymentsを利用
B 直接本番で実施
C 読み取りレプリカで置換
D 停止して手動バックアップのみ

回答

A

解説

Blue/Greenは新環境を並走させ、切替時のダウンタイムを最小化しつつ検証を容易にする。直接実施はリスクが高い。レプリカ置換は非同期で整合に課題。停止手順のみは復旧時間が読めず業務影響が大きい。

問題 95

VPCトラフィックの詳細解析（パケットレベル）を行いたい。
A VPC Traffic Mirroring
B VPCフローログのみ
C CloudTrail
D S3アクセスログ

回答

A

解説

Traffic MirroringはENI単位でミラーし、IDS/IPSやパケット解析に利用できる。フローログはメタ情報でパケット内容は見えない。CloudTrailはAPI監査、S3アクセスログはバケットリクエスト記録でネットワークペイロード解析とは異なる。

問題 96

S3の誤削除・改ざん防止を強化し、法的保持を満たしたい。
A オブジェクトロック（コンプライアンスモード）を設定
B バージョニングのみ
C 暗号化のみ
D ライフサイクルですぐ削除

回答

A

解説

オブジェクトロックのコンプライアンスモードは保持期間中の削除・上書きを防ぐWORMを提供する。バージョニングや暗号化は改ざん防止の要件を単独では満たさない。早期削除は要件に反する。

問題 97

EC2のメモリ・ファイルシステムメトリクスをCloudWatchへ送信したい。
A CloudWatch Agentを導入し設定でmem/diskを有効化
B 追加設定不要
C Enhanced Networkingを無効化
D NACLで制御

回答

A

解説

標準メトリクスにはメモリ/ディスク詳細がないため、CloudWatch Agentで収集項目を定義し送信する。追加設定不要では取得できない。ネットワーク設定やNACLは関係しない。IAMとエンドポイント（任意）も適切に構成する。

問題 98

Route 53でプライマリ障害時にセカンダリへ切替えたい。DNSのみで実現する最適なルーティングはどれか。
A フェイルオーバールーティング
B 加重ルーティング
C レイテンシールーティング
D 位置情報ルーティング

回答

A

解説

フェイルオーバーはヘルスチェック結果に基づきプライマリが不健全なときにセカンダリを返す。加重は比率、レイテンシーは遅延、位置情報は地理であり、障害切替の要件には直接適合しない。

問題 99

S3→Athena分析のコストを下げるための一般的な最適化はどれか。二つ選べ。
A 列指向フォーマット（Parquet/ORC）へ変換
B 小ファイルを適度に圧縮・バッチ化
C Gzipのまま巨大JSONを乱立
D 無圧縮CSVを維持

回答

A, B

解説

Athenaはスキャン量課金のため、列指向フォーマットで不要列の読み込みを抑え、圧縮やバッチ化でファイル数を最適化するとコストが下がる。巨大JSONや無圧縮CSVはスキャン量とパース負荷が大きく、クエリ性能と費用の両面で不利。

問題 100

運用インシデントで疑わしいアクティビティが検出された。AWSサービスから自動通知され、発見から自動修復へつなげたい。
A GuardDutyのFindingをEventBridgeで受け、Lambda自動対応を実装
B CloudTrailだけ確認
C Trusted Advisorの週次メール待ち
D 何もしない

回答

A

解説

GuardDutyは脅威検出をFindingとして発行し、EventBridgeでルール化して通知や自動修復（例：セキュリティグループ隔離、IAMキー無効化）へ接続できる。CloudTrail単独は検出機構ではない。Trusted Advisorは頻度が低く即応性に欠ける。対応しないのは運用上不適切。