AWS 認定セキュリティ - スペシャリティ (SCS-C01) 認定は、セキュリティのメカニズムやテクノロジーを含む AWS セキュリティサービスに関する理解を深めたい IT プロフェッショナルに最適です。AWS 認定セキュリティ - スペシャリティ 認定を取得すると、データセキュリティと暗号化、インシデント対応、識別、インフラストラクチャセキュリティ、アクセス管理、モニタリング、ログ記録といったセキュリティトピックに関する AWS の知識とスキルを実証・検証できます。
このガイドでは、AWS 認定セキュリティ - スペシャリティ認定試験について必要な情報をすべて説明します。AWS セキュリティ認定が自分にとって最適な選択肢かどうか、ぜひ読み進めてください。
AWS 認定セキュリティ - スペシャリティ認定試験とは?
AWS 認定セキュリティ - スペシャリティ認定は、セキュリティ関連の業務を担う IT プロフェッショナルを対象としています。この認定コースでは、AWS ワークロードのセキュリティ保護に関する 2 年以上の実務経験が推奨されています。
AWS は、試験を受ける前に IT プロフェッショナルが以下のスキルを身に付けることを推奨しています。
- AWS の共有責任モデルとその適用
- AWS 上のワークロードに対するセキュリティ管理
- ログ記録とモニタリング戦略
- クラウドセキュリティの脅威モデル
- パッチ管理とセキュリティ自動化
- サードパーティのツールとサービスを使用して AWS セキュリティサービスを強化する方法
- BCP とバックアップを含む災害復旧管理
- 暗号化
- アクセス制御
- データ保持
AWS 認定セキュリティ – 専門知識:試験の詳細
- 認定レベル:専門知識
- 試験時間:170 分
- 試験費用:300 ドル
- 試験形式:多肢選択式または複数回答式の問題 65 問
- 言語:英語、フランス語(フランス)、ドイツ語、イタリア語、日本語、韓国語、ポルトガル語(ブラジル)、中国語(簡体字)、スペイン語(ラテンアメリカ)
AWS 認定セキュリティ – 専門知識:試験の目標
以下の表は、AWS 認定セキュリティ – 専門知識試験の出題分野と目標、および出題割合を示しています。試験の目標を簡単に確認してみましょう。
- ドメイン 1: インシデント対応 - 12%
- ドメイン 2: ログ記録とモニタリング - 20%
- ドメイン 3: インフラストラクチャセキュリティ - 26%
- ドメイン 4: アイデンティティとアクセス管理 - 20%
- ドメイン 5: データ保護 - 22%
ドメイン 1: インシデント対応
1.1 AWS の不正使用通知に基づき、侵害の疑いのあるインスタンスまたは漏洩したアクセスキーを評価する。
- EC2 インスタンスに関する AWS の不正使用レポートに基づき、フォレンジック調査の一環として、当該インスタンスを安全に隔離する。
- 報告されたインスタンスに関連するログを分析し、侵害を検証し、関連データを収集する。
- 後続の詳細な分析や法令遵守のために、疑わしいインスタンスからメモリダンプをキャプチャする。
1.2 インシデント対応計画に関連する AWS サービスが含まれていることを確認する。
- ベースラインセキュリティ設定に変更が加えられているかどうかを確認する。
- インシデント対応を促進するサービス、プロセス、または手順がリストに含まれていないか確認する。
- ギャップを是正するためのサービス、プロセス、および手順を推奨する。
1.3 自動アラートの設定を評価し、セキュリティ関連のインシデントおよび新たな問題に対する可能な是正措置を実行する。
- 新規/変更/削除されたリソースのルールへの適合性評価を自動化する。
- 一般的なインフラストラクチャの設定ミスに対して、ルールベースのアラートを適用する。
- 過去のセキュリティインシデントをレビューし、既存のシステムの改善策を推奨する。
ドメイン 2: ログ記録とモニタリング
2.1. セキュリティモニタリングとアラートを設計および実装する。
- アーキテクチャを分析し、モニタリング要件とモニタリング統計のソースを特定する。
- アーキテクチャを分析し、モニタリングとアラートの自動化に使用できる AWS サービスを特定する。
- カスタムアプリケーションモニタリングの要件を分析し、その実現方法を決定する。
- 定期的な監査を実行するための自動化ツール/スクリプトを設定する。
2.2. セキュリティ監視とアラートのトラブルシューティングを行う。
- 既知のイベントが発生したが、想定どおりのアラートが発生しなかった場合、サービスの機能と設定を分析し、修正を行う。
- 既知のイベントが発生したが、想定どおりのアラートが発生しなかった場合、権限を分析し、対処する。
- 統計情報をレポートしていないカスタムアプリケーションがあった場合、設定を分析し、対処する。
- システムとユーザーアクティビティの監査証跡を確認する。
2.3. ログ記録ソリューションを設計および実装する。
- アーキテクチャを分析し、ログ記録の要件とログ取得ソースを特定する。
- AWS のベストプラクティスに従って、要件を分析し、耐久性とセキュリティに優れたログストレージを実装する。
- アーキテクチャを分析し、ログの取得と分析を自動化するために使用できる AWS サービスを特定する。
2.4. ログ記録ソリューションのトラブルシューティングを行う。
- ログが存在しない場合、不適切な設定を特定し、修正手順を定義する。
- ログ記録のアクセス権限を分析し、不適切な設定を特定し、修正手順を定義する。
- セキュリティポリシー要件に基づき、適切なログレベル、タイプ、およびソースを決定します。
ドメイン 3: インフラストラクチャセキュリティ
3.1 AWS におけるエッジセキュリティを設計します。
- 特定のワークロードについて、攻撃対象領域を評価し、制限します。
- 攻撃範囲を縮小します(例: アプリケーションを複数のアカウントやリージョンに分散する)。
- DDoS 攻撃から保護したり、アプリケーションレベルの攻撃をフィルタリングしたりするために、WAF、CloudFront、Route 53 などの適切な AWS および/またはサードパーティのエッジサービスを選択します。
- アプリケーションのエッジ保護要件に基づいて、イベント発生時のメカニズムを評価し、コンプライアンスの観点から侵入を検知し、必要な変更を推奨します。
- WAF ルールをテストし、悪意のあるトラフィックがブロックされていることを確認します。
3.2 安全なネットワークインフラストラクチャを設計および実装します。
- 不要なネットワークポートとプロトコルを無効化します。
- エッジ保護要件に基づいて、アプリケーションのセキュリティグループと NACL のコンプライアンスを評価し、必要な変更を推奨します。
- セキュリティ要件に基づき、必要最小限の入出力アクセスを許可するためのネットワークセグメンテーション(セキュリティグループやNACLなど)を決定します。
- VPNまたはDirect Connectのユースケースを決定します。
- VPCフローログを有効にするユースケースを決定します。
- VPCのネットワークインフラストラクチャの説明に基づき、安全な運用のためのサブネットとゲートウェイの使用を分析します。
3.3 セキュアなネットワークインフラストラクチャのトラブルシューティングを行います。
- ネットワークトラフィックフローが拒否されている場所を特定します。
- 設定に基づき、セキュリティグループとNACLが正しく実装されていることを確認します。
3.4 ホストベースセキュリティを設計および実装します。
- セキュリティ要件に基づき、InspectorやSSMなどのホストベース保護をインストールおよび構成します。
- iptablesなどのホストベースファイアウォールをいつ使用するかを決定します。
- ホストの強化と監視のための方法を推奨する。
ドメイン 4: アイデンティティとアクセス管理
4.1 AWS リソースにアクセスするためのスケーラブルな認可および認証システムを設計および実装する。
- ワークロードの説明に基づいて、AWS サービスのアクセス制御設定を分析し、リスクを軽減するための推奨事項を提示する。
- 組織が AWS アカウントを管理する方法の説明に基づいて、ルートユーザーのセキュリティを確認する。
- 組織のコンプライアンス要件に基づいて、ユーザーポリシーとリソースポリシーを適用するタイミングを決定する。
- 組織のポリシーに基づいて、ディレクトリサービスを IAM に統合するタイミングを決定する。
- ユーザー、グループ、ロール、ポリシーを含むスケーラブルな認可モデルを設計する。
- データおよび AWS リソースへのアクセスを個々のユーザーから識別し、制限する。
- ポリシーを見直し、ユーザー/システムが責任範囲を超える機能を実行できないように制限し、適切な職務分離を実施する。
4.2 AWS リソースにアクセスするための認可および認証システムのトラブルシューティングを行う。
- ユーザーが S3 バケットの内容にアクセスできない問題を調査する。
- ユーザーが別のアカウントにロールを切り替えられない問題を調査する。
- Amazon EC2 インスタンスが特定の AWS リソースにアクセスできない問題を調査する。
ドメイン 5: データ保護
5.1 キーの管理と使用を設計および実装する。
- 与えられたシナリオを分析し、適切なキー管理ソリューションを決定する。
- 一連のデータ保護要件に基づいて、キーの使用状況を評価し、必要なキーの推奨範囲を決定する。
- キーの侵害イベントの影響範囲を特定・制御し、それを封じ込めるソリューションを設計する。
5.2 キー管理のトラブルシューティングを行う。
KMS キー付与と IAM ポリシーの違いを分析する。
- 特定のキーに対して、異なる競合するポリシーが存在する場合の優先順位を推測する。
- 侵害が発生した場合に、ユーザーまたはサービスの権限をいつ、どのように取り消すかを決定する。
5.3 保存データおよび転送中のデータに対するデータ暗号化ソリューションを設計および実装する。
- 一連のデータ保護要件に基づき、ワークロード内の保存データのセキュリティを評価し、必要な変更を推奨する。
- 特定の AWS サービスでのみ使用できるように、キーに関するポリシーを検証する。
- タグベースのデータ分類を通じてデータのコンプライアンス状態を区別し、修復を自動化する。
- 複数のトランスポート暗号化手法を評価し、適切な方法(TLS、IPsec、クライアント側 KMS 暗号化など)を選択する。
AWS 認定セキュリティ - スペシャリティ試験の費用はいくらですか?
AWS 認定セキュリティ - スペシャリティ認定試験の費用は 300 USD です。試験時間は 170 分です。AWS セキュリティ スペシャリティ試験は 65 問あり、多肢選択式および多肢選択式です。試験に合格するには、100~1000 点満点中 75~80% のスコアを取得する必要があります。
AWS 認定セキュリティ - スペシャリティ試験を受けるには、どのような経験が必要ですか?
AWS 認定セキュリティ - スペシャリティ試験を受験するには、クラウドプラクティショナーレベルまたはアソシエイトレベルの AWS 認定資格を取得している必要があります。また、セキュリティソリューションの設計と実装において、少なくとも 5 年間の IT セキュリティ経験が必要です。さらに、AWS システムとワークロードの運用とセキュリティ確保に関する 2 年間の実務経験も必要です。
AWS 認定セキュリティ - スペシャリティ試験は、どのような人が受験できますか?
AWS 認定セキュリティ - スペシャリティ試験は、セキュリティ関連の業務に携わり、クラウドに関する基本的な知識とスキルを有する方を対象としています。試験は、AWS クラウドサービスに関連するさまざまな分野を網羅しています。
AWS セキュリティ - スペシャリティ認定を取得するメリットは何ですか?
AWS 認定セキュリティ - スペシャリティ認定試験の受験メリットを簡単にご紹介します。
- クラウドセキュリティはあらゆるユースケースに不可欠です。
- AWS 認定資格は、AWS パートナーと実務担当者にとって確かなベンチマークとなります。
- チームメンバーがセキュリティのベストプラクティスを遵守していることを確認できます。
- チームメンバーの専門的スキルアップを支援します。
- AWS パートナー認定資格の要件達成に貢献します。
AWS 認定セキュリティ - スペシャリティは取得する価値がありますか?
AWS 認定セキュリティ - スペシャリティ認定試験の取得は、試験に費やす時間、費用、労力に見合うだけの価値があります。この認定試験の取得は容易ではありませんが、スキルセット全体に信頼性と自信を一層高めてくれることは間違いありません。
AWS 実務担当者として、セキュリティソリューションの設計と実装に重点を置いている場合は、この認定を取得する必要があります。この試験では、ソリューションの設計と実装に必要なセキュリティ戦略を、全く異なるレベルで深く学ぶことができ、需要の高い AWS セキュリティエキスパートになることができます。
.jpg&w=640&q=75)
