AWS 認定のセキュリティ専門知識: 知っておくべきことすべて

AWS Certified Security - Specialty (SCS-C01) 認定は、セキュリティメカニズムやテクノロジーを含む AWS セキュリティサービスの理解を深めたい IT プロフェッショナルに最適です。 AWS 認定セキュリティ - スペシャリティ認定により、IT プロフェッショナルは、データセキュリティと暗号化、インシデント対応、識別、インフラストラクチャセキュリティ、アクセス管理、モニタリング、ロギングなどのセキュリティトピックに関する AWS の知識とスキルを実証および検証できます。

このガイドでは、AWS Certified Security - Specialty Certification 試験について知っておく必要があるすべてのことを説明します。 AWS セキュリティ認定が適切なオプションであるかどうかを確認するために、読み続けてください。

AWS 認定セキュリティ - 専門知識認定試験とは何ですか?

AWS Certified Security - Specialty 認定は、セキュリティの役割を担う IT プロフェッショナル向けに設計されています。この認定コースでは、AWS ワークロードを保護するために少なくとも 2 年間の実地経験を積むことを推奨しています。

試験を受ける前に、AWS は IT プロフェッショナルが次のスキルを持っていることをお勧めします。

AWS 共有責任モデルとその適用
AWS でのワークロードのセキュリティ管理
ロギングとモニタリングの戦略
クラウドセキュリティ脅威モデル
パッチ管理とセキュリティの自動化
サードパーティのツールとサービスを使用して AWS セキュリティサービスを強化する方法
BCP とバックアップを含む災害復旧管理
暗号化
アクセス制御
データ保持

AWS 認定セキュリティ – 専門分野: 試験の詳細

認定レベル: 専門分野
試験時間: 170 分
試験費用: $300
試験形式: 65 問の選択式または複数回答式の問題
言語: 英語、フランス語 (フランス)、ドイツ語、イタリア語、日本語、韓国語、ポルトガル語 (ブラジル)、簡体字中国語、スペイン語 (ラテンアメリカ)。

AWS 認定セキュリティ – 専門分野: 試験の目的

以下の表は、AWS Certified Security – Specialty 試験のテストドメインと目的、およびそれらの試験の割合を示しています。試験の目的を簡単に説明します。

ドメイン 1: インシデント対応 - 12%
ドメイン 2: ロギングとモニタリング - 20%
ドメイン 3: インフラストラクチャセキュリティ - 26%
ドメイン 4: ID およびアクセス管理 - 20%
ドメイン 5: データ保護 - 22%

ドメイン 1: インシデント対応

1.1 AWS の悪用通知を受け取ったら、侵害された疑いのあるインスタンスまたは公開されたアクセスキーを評価します。

EC2 インスタンスに関する AWS Abuse の報告を受けて、フォレンジック調査の一環としてインスタンスを安全に分離します。
報告されたインスタンスに関連するログを分析して違反を検証し、関連データを収集します。
後で詳細な分析を行うため、または法令順守の理由のために、疑わしいインスタンスからメモリダンプをキャプチャします。

1.2 インシデント対応計画に関連する AWS サービスが含まれていることを確認します。

ベースラインセキュリティ構成が変更されたかどうかを確認します。
インシデント対応を容易にするサービス、プロセス、または手順がリストに含まれていないかどうかを判断します。
ギャップを是正するためのサービス、プロセス、および手順を推奨します。

1.3 自動化されたアラートの構成を評価し、セキュリティ関連のインシデントと新たな問題の可能な修復を実行します。

新規/変更/削除されたリソースのルールへの準拠の評価を自動化します。
一般的なインフラストラクチャの構成ミスに対して、ルールベースのアラートを適用します。
以前のセキュリティインシデントを確認し、既存のシステムの改善を推奨します。

ドメイン 2: ロギングとモニタリング

2.1.セキュリティの監視と警告を設計および実装します。

アーキテクチャを分析し、監視要件と監視統計のソースを特定します。
アーキテクチャを分析して、監視とアラートの自動化に使用できる AWS サービスを決定します。
カスタムアプリケーション監視の要件を分析し、これを達成する方法を決定します。
自動化されたツール/スクリプトを設定して、定期的な監査を実行します。

2.2.セキュリティの監視とアラートのトラブルシューティング。

予想されるアラートのない既知のイベントの発生を考慮して、サービスの機能と構成を分析し、修復します。
予想されるアラートなしで既知のイベントが発生した場合は、アクセス許可を分析して仲介します。
統計を報告していないカスタムアプリケーションを指定して、構成を分析し、仲介します。
システムおよびユーザーアクティビティの監査証跡を確認します。

2.3.ロギングソリューションを設計して実装します。

アーキテクチャを分析し、ログ収集の要件とソースを特定します。
要件を分析し、AWS のベストプラクティスに従って、耐久性があり安全なログストレージを実装します。
アーキテクチャを分析して、ログの取り込みと分析を自動化するために使用できる AWS サービスを決定します。

2.4.ロギングソリューションのトラブルシューティング。

ログがないことを考慮して、不適切な構成を特定し、修復手順を定義します。
ロギングアクセス許可を分析して、不適切な構成を特定し、修復手順を定義します。
セキュリティポリシーの要件に基づいて、正しいログレベル、タイプ、およびソースを決定します。

ドメイン 3: インフラストラクチャセキュリティ

3.1 AWS でエッジセキュリティを設計する。

特定のワークロードについて、攻撃面を評価して制限します。
爆発範囲を縮小します (たとえば、アカウントや地域全体にアプリケーションを分散することによって)。
適切な AWS および/または WAF、CloudFront、Route 53 などのサードパーティのエッジサービスを選択して、DDoS から保護したり、アプリケーションレベルの攻撃をフィルタリングしたりします。
アプリケーションの一連のエッジ保護要件を考慮して、イベントに対するメカニズムを評価し、コンプライアンスのために侵入を検出し、必要な変更を推奨します。
WAF ルールをテストして、悪意のあるトラフィックを確実にブロックします。

3.2 安全なネットワークインフラストラクチャを設計および実装する。

不要なネットワークポートとプロトコルを無効にします。
一連のエッジ保護要件を考慮して、アプリケーションのセキュリティグループと NACL のコンプライアンスを評価し、必要な変更を推奨します。
セキュリティ要件を考慮して、ネットワークのセグメンテーション (セキュリティグループや NACL など) を決定し、必要な最小限の入力/出力アクセスを許可します。
VPN または Direct Connect のユースケースを決定します。
VPC フローログを有効にするユースケースを決定します。
VPC のネットワークインフラストラクチャの説明を考慮して、安全な運用のためのサブネットとゲートウェイの使用を分析します。

3.3 安全なネットワークインフラストラクチャのトラブルシューティング。

ネットワークトラフィックフローが拒否されている場所を特定します。
指定された構成で、セキュリティグループと NACL が正しく実装されていることを確認します。

3.4 ホストベースのセキュリティを設計および実装する。

セキュリティ要件を考慮して、Inspector や SSM などのホストベースの保護をインストールして構成します。
iptables のようなホストベースのファイアウォールをいつ使用するかを決定します。
ホストの強化と監視の方法を推奨します。

ドメイン 4: ID およびアクセス管理

4.1 AWS リソースにアクセスするためのスケーラブルな承認および認証システムを設計および実装します。

ワークロードの説明を考慮して、AWS サービスのアクセス制御構成を分析し、リスクを軽減する推奨事項を作成します。
組織が AWS アカウントを管理する方法を説明した上で、ルートユーザーのセキュリティを確認します。
組織のコンプライアンス要件を考慮して、ユーザーポリシーとリソースポリシーをいつ適用するかを決定します。
組織のポリシー内で、ディレクトリサービスを IAM に統合する時期を決定します。
ユーザー、グループ、役割、およびポリシーを含むスケーラブルな承認モデルを設計します。
データおよび AWS リソースの個々のユーザーを識別して制限します。
ポリシーを見直して、ユーザー/システムが責任を超えて機能を実行することを制限し、適切な職務の分離を実施することを確立します。

4.2 AWS リソースにアクセスするための認可および認証システムのトラブルシューティング。

ユーザーが S3 バケットのコンテンツにアクセスできないことを調査します。
ユーザーがロールを別のアカウントに切り替えることができないことを調査します。
Amazon EC2 インスタンスが特定の AWS リソースにアクセスできないことを調査します。

ドメイン 5: データ保護

5.1 キーの管理と使用を設計および実装する。

特定のシナリオを分析して、適切なキー管理ソリューションを決定します。
一連のデータ保護要件を考慮して、キーの使用法を評価し、必要なエンジェルを推奨します。
キー侵害イベントの爆発範囲を決定して制御し、同じものを封じ込めるソリューションを設計します。

5.2 キー管理のトラブルシューティング。

KMS キー付与と IAM ポリシーの違いを分析します。
特定のキーに対して異なるポリシーが競合する場合の優先順位を推測します。
侵害が発生した場合に、ユーザーまたはサービスのアクセス許可をいつ、どのように取り消すかを決定します。

5.3 保存中のデータと転送中のデータのデータ暗号化ソリューションを設計および実装します。

一連のデータ保護要件を考慮して、ワークロードに保存されているデータのセキュリティを評価し、必要な変更を推奨します。
特定の AWS サービスでのみ使用できるように、キーのポリシーを確認します。
タグベースのデータ分類によってデータのコンプライアンス状態を区別し、修復を自動化します。
いくつかのトランスポート暗号化技術を評価し、適切な方法 (つまり、TLS、IPsec、クライアント側の KMS 暗号化) を選択します。

AWS Certified Security - Specialty 試験の費用はいくらですか?

AWS Certified Security - Specialty 認定試験の費用は 300 USD です。試験時間は170分です。 AWS セキュリティスペシャリティ試験には 65 問あり、多肢選択式で複数回答タイプです。試験に合格するには、100 ～ 1000 点満点で 75% ～ 80% のスコアを達成する必要があります。

AWS 認定セキュリティ - 専門分野にはどのような経験が必要ですか?

AWS Certified Security - Specialty 認定試験を受けるには、専門家は Cloud Practitioner または Associate レベルの AWS 認定を保持している必要があります。また、候補者は、セキュリティソリューションの設計と実装において、少なくとも 5 年間の IT セキュリティの経験が必要です。これとは別に、AWS システムとワークロードを使用して保護する 2 年間の実務経験が必要です。

AWS Certified Security – Specialty 認定試験は誰が受けるべきですか?

AWS Certified Security - Specialty 認定試験は、セキュリティの役割で働く個人を対象として設計されており、もちろん、基本的なクラウドスペースの知識とスキルを持っています。この試験は、AWS クラウドサービスに関連するさまざまな分野をカバーしています。

AWS Security - Specialty 認定を取得するメリットは何ですか?

AWS Certified Security - Specialty 認定試験を受けるメリットを簡単に見てみましょう。

クラウドセキュリティは、すべてのユースケースに不可欠です
AWS 認定は、AWS のパートナーと実践者に由緒あるベンチマークを提供します
チームメンバーがセキュリティのベストプラクティスに従っていることを確認する
チームメンバーに専門的な進歩を提供します
AWS パートナー認定要件への貢献

AWS 認定セキュリティ – 専門分野はそれだけの価値がありますか?

間違いなく、AWS Certified Security - Specialty Certification 試験を取得することは、試験に費やした時間、お金、労力に見合うだけの価値があります。この認定試験を取得するのは簡単ではありませんが、全体的なスキルセットに信頼性と自信が追加されます。

AWS プラクティショナーとしてセキュリティソリューションの設計と実装に取り組んでいる場合は、この認定を取得する必要があります。この試験では、まったく異なるレベルでソリューションを設計および実装するための詳細なセキュリティ戦略を学び、需要の高い AWS セキュリティエキスパートになります。