AWS 認定セキュリティ スペシャリティ: 知っておくべきことすべて

AWS 認定セキュリティ - スペシャリティ (SCS-C01) 認定は、セキュリティのメカニズムやテクノロジーを含む AWS セキュリティ サービスに関する理解を深めたい IT プロフェッショナルに最適です。AWS 認定セキュリティ - スペシャリティ 認定により、IT プロフェッショナルは、データ セキュリティと暗号化、インシデント対応、識別、インフラストラクチャ セキュリティ、アクセス管理、モニタリング、ログ記録などのセキュリティ トピックに関する AWS の知識とスキルを実証および検証できます。

このガイドでは、AWS 認定セキュリティ - スペシャリティ認定試験について知っておくべきすべてのことを説明します。読み進めて、AWS セキュリティ認定が自分にとって適切な選択肢であるかどうかを確認してください。

AWS 認定セキュリティ - スペシャリティ認定試験とは何ですか?

AWS 認定セキュリティ - スペシャリティ認定は、セキュリティ ロールを実行する IT プロフェッショナル向けに設計されています。この認定コースでは、AWS ワークロードのセキュリティ保護に関する実務経験を少なくとも 2 年持つことが推奨されています。試験を受ける前に、AWS は IT プロフェッショナルが以下のスキルを身に付けることを推奨しています:

• AWS 共有責任モデルとその適用
• AWS 上のワークロードのセキュリティ管理
• ログ記録と監視戦略
• クラウド セキュリティ脅威モデル
• パッチ管理とセキュリティ自動化
• サードパーティのツールとサービスを使用して AWS セキュリティ サービスを強化する方法
• BCP とバックアップを含む災害復旧管理
• 暗号化
• アクセス制御
• データ保持

AWS 認定セキュリティ – スペシャリティ: 試験の詳細

• 認定レベル: スペシャリティ
• 試験時間: 170 分
• 試験費用: 300 ドル
• 試験形式: 65 問の複数選択または複数回答問題
• 言語: 英語、フランス語 (フランス)、ドイツ語、イタリア語、日本語、韓国語、ポルトガル語 (ブラジル)、中国語 (簡体字)、スペイン語 (ラテン アメリカ)。

AWS 認定セキュリティ – スペシャリティ: 試験の目的

以下の表は、AWS 認定セキュリティ – スペシャリティ試験のテスト ドメインと目的、および試験の割合を示しています。試験の目標を簡単に見てみましょう: 

• ドメイン 1: インシデント対応 - 12%
• ドメイン 2: ログ記録と監視 - 20%
• ドメイン 3: インフラストラクチャ セキュリティ - 26%
• ドメイン 4: アイデンティティとアクセス管理 - 20%
• ドメイン 5: データ保護 - 22%

ドメイン 1: インシデント対応

1.1 AWS 不正使用通知を受けて、侵害された疑いのあるインスタンスまたは公開されたアクセス キーを評価します。

• EC2 インスタンスに関する AWS 不正使用レポートを受けて、フォレンジック調査の一環としてインスタンスを安全に隔離します。
• 報告されたインスタンスに関連するログを分析して侵害を確認し、関連データを収集します。
• 後で詳細に分析するため、または法令遵守のために、疑わしいインスタンスからメモリ ダンプをキャプチャします。

1.2 インシデント対応計画に、関連する AWS サービスが含まれていることを確認します。

• ベースライン セキュリティ構成に変更が加えられたかどうかを判断します。
• リストに、インシデント対応を容易にするサービス、プロセス、または手順が含まれていないかどうかを確認します。
• ギャップを修正するためのサービス、プロセス、および手順を推奨します。

1.3 自動アラートの設定を評価し、セキュリティ関連のインシデントと新たな問題の可能な修正を実行します。

• 新規/変更/削除されたリソースのルールへの準拠の評価を自動化します。
• 一般的なインフラストラクチャの誤った構成に対してルールベースのアラートを適用します。
• 以前のセキュリティインシデントを確認し、既存のシステムの改善を推奨します。

      ## ドメイン 2: ログ記録とモニタリング

2.1. セキュリティのモニタリングとアラートを設計および実装します。

• アーキテクチャを分析し、モニタリングの要件とモニタリング統計のソースを特定します。
• アーキテクチャを分析して、どの AWS サービスを使用してモニタリングとアラートを自動化できるかを判断します。
• カスタムアプリケーションモニタリングの要件を分析し、これを実現する方法を確認します。
• 定期的な監査を実行するための自動化ツール/スクリプトを設定します。

2.2. セキュリティ監視とアラートのトラブルシューティング。

• 予期されるアラートのない既知のイベントが発生した場合、サービスの機能と構成を分析して修正します。
• 予期されるアラートのない既知のイベントが発生した場合、権限を分析して調整します。
• 統計情報を報告していないカスタムアプリケーションがある場合は、構成を分析して調整します。
• システムとユーザーアクティビティの監査証跡を確認します。

2.3. ログソリューションを設計して実装します。

• アーキテクチャを分析し、ログの要件とログ取り込みのソースを特定します。
• 要件を分析し、AWS のベストプラクティスに従って耐久性とセキュリティに優れたログストレージを実装します。
• アーキテクチャを分析して、ログの取り込みと分析を自動化するために使用できる AWS サービスを特定します。

2.4. ログソリューションのトラブルシューティング。

• ログがない場合は、誤った構成を特定して修正手順を定義します。
• ログのアクセス権限を分析して誤った構成を特定し、修正手順を定義します。
• セキュリティ ポリシーの要件に基づいて、適切なログ レベル、タイプ、ソースを決定します。

ドメイン 3: インフラストラクチャ セキュリティ

3.1 AWS でエッジ セキュリティを設計します。

• 特定のワークロードについて、攻撃対象領域を評価して制限します。
• 爆発半径を縮小します (例: アカウントとリージョン間でアプリケーションを分散する)。
• DDoS から保護したり、アプリケーション レベルの攻撃をフィルタリングしたりするために、WAF、CloudFront、Route 53 などの適切な AWS および/またはサードパーティのエッジ サービスを選択します。
• アプリケーションのエッジ保護要件のセットが与えられた場合、イベントのメカニズムを評価して侵入を検出し、コンプライアンスを確保し、必要な変更を推奨します。
• WAF ルールをテストして、悪意のあるトラフィックがブロックされていることを確認します。

3.2 安全なネットワーク インフラストラクチャを設計して実装します。

• 不要なネットワーク ポートとプロトコルを無効にします。
• エッジ保護要件のセットが与えられた場合、アプリケーションのセキュリティ グループと NACL をコンプライアンスのために評価し、必要な変更を推奨します。
• セキュリティ要件に基づいて、ネットワーク セグメンテーション (セキュリティ グループや NACL など) を決定し、必要な最小限の入出力アクセスを許可します。
• VPN または Direct Connect の使用例を決定します。
• VPC フロー ログを有効にする使用例を決定します。
• VPC のネットワーク インフラストラクチャの説明に基づいて、安全な操作のためのサブネットとゲートウェイの使用を分析します。

3.3 安全なネットワーク インフラストラクチャのトラブルシューティングを行います。

• ネットワーク トラフィック フローが拒否されている場所を特定します。
• 構成に基づいて、セキュリティ グループと NACL が正しく実装されていることを確認します。

3.4 ホストベースのセキュリティを設計および実装します。

• セキュリティ要件に基づいて、Inspector や SSM などのホストベースの保護をインストールおよび構成します。
• iptables などのホストベースのファイアウォールをいつ使用するかを決定します。 - ホストの強化と監視の方法を推奨します。

ドメイン 4: アイデンティティとアクセス管理

4.1 AWS リソースにアクセスするためのスケーラブルな認可および認証システムを設計および実装します。

• ワークロードの説明に基づいて、AWS サービスのアクセス制御構成を分析し、リスクを軽減するための推奨事項を作成します。
• 組織が AWS アカウントを管理する方法の説明に基づいて、ルートユーザーのセキュリティを確認します。
• 組織のコンプライアンス要件に基づいて、ユーザーポリシーとリソースポリシーを適用するタイミングを決定します。
• 組織のポリシー内で、ディレクトリサービスを IAM にフェデレーションするタイミングを決定します。
• ユーザー、グループ、ロール、ポリシーを含むスケーラブルな認可モデルを設計します。
• データと AWS リソースの個々のユーザーを識別して制限します。
• ポリシーを確認して、ユーザー/システムが責任を超えた機能を実行できないように制限し、適切な職務分離を実施します。

4.2 AWS リソースにアクセスするための認可および認証システムのトラブルシューティングを行います。

• ユーザーが S3 バケットの内容にアクセスできない理由を調査します。
• ユーザーが別のアカウントにロールを切り替えることができない理由を調査します。
• Amazon EC2 インスタンスが特定の AWS リソースにアクセスできない理由を調査します。

ドメイン 5: データ保護

5.1 キーの管理と使用を設計および実装します。

• 特定のシナリオを分析して、適切なキー管理ソリューションを決定します。
• 一連のデータ保護要件に基づいて、キーの使用を評価し、必要なエンジェルを推奨します。
• キー侵害イベントの爆発半径を決定および制御し、それを抑制するソリューションを設計します。

5.2 キー管理のトラブルシューティングを行います。

• KMS キー付与と IAM ポリシーの違いを分析します。
• 特定のキーに対して異なる競合ポリシーが与えられた場合の優先順位を推測します。
• 侵害が発生した場合に、ユーザーまたはサービスのアクセス許可をいつどのように取り消すかを決定します。

5.3 保存データと転送中のデータに対するデータ暗号化ソリューションを設計および実装します。

• 一連のデータ保護要件に基づいて、ワークロード内の保存データのセキュリティを評価し、必要な変更を推奨します。
• 特定の AWS サービスでのみ使用できるように、キーに関するポリシーを確認します。
• タグベースのデータ分類によってデータのコンプライアンス状態を区別し、修復を自動化します。
• さまざまなトランスポート暗号化手法を評価し、適切な方法 (TLS、IPsec、クライアント側 KMS 暗号化など) を選択します。

AWS 認定セキュリティ - スペシャリティ試験の費用はいくらですか?

AWS 認定セキュリティ - スペシャリティ認定試験の費用は 300 USD です。試験時間は 170 分です。AWS セキュリティ スペシャリティ試験には 65 の質問があり、多肢選択式および複数回答式です。試験に合格するには、100 ～ 1000 のスケールで 75% ～ 80% のスコアを獲得する必要があります。

AWS 認定セキュリティ - スペシャリティにはどのような経験が必要ですか?

AWS 認定セキュリティ - スペシャリティ認定試験を受けるには、専門家はクラウド プラクティショナーまたはアソシエイト レベルの AWS 認定を取得している必要があります。また、受験者はセキュリティ ソリューションの設計と実装において少なくとも 5 年間の IT セキュリティ経験が必要です。これとは別に、AWS システムとワークロードの操作とセキュリティ保護に関する 2 年間の実務経験が必要です。

AWS 認定セキュリティ - スペシャリティ認定試験は誰が受験すべきですか?

AWS 認定セキュリティ - スペシャリティ認定試験は、セキュリティ ロールに従事し、クラウド スペースの基本的な知識とスキルを持つ個人向けに設計されています。この試験では、AWS クラウド サービスに関連するさまざまな分野がカバーされます。

AWS セキュリティ - スペシャリティ認定を取得するとどのようなメリットがありますか?

AWS 認定セキュリティ - スペシャリティ認定試験を受けるメリットを簡単に見てみましょう:

• クラウドセキュリティはすべてのユースケースに不可欠です
• AWS 認定は、AWS パートナーと実践者にとって信頼できるベンチマークを提供します
• チームメンバーがセキュリティのベストプラクティスに従っていることを保証します
• チームメンバーに専門的な進歩を提供します
• AWS パートナー認定要件に貢献します

AWS 認定セキュリティ - スペシャリティは価値がありますか?

AWS 認定セキュリティ - スペシャリティ認定試験の取得は、間違いなく、試験に費やした時間、お金、労力に見合う価値があります。この認定試験の取得は簡単ではありませんが、全体的なスキルセットに信頼性と自信をさらに高めることができます。

AWS 実践者として働いていて、セキュリティソリューションの設計と実装に重点を置いている場合は、この認定を取得する必要があります。この試験では、まったく異なるレベルのソリューションを設計および実装するための詳細なセキュリティ戦略を学習し、需要の高い AWS セキュリティの専門家になることができます。