AWS セキュリティ - 専門家（SCS-C02）試験ガイド

バージョン 1.1 SCS-C02

概要

AWS 認定セキュリティ - 専門家（SCS-C02）試験は、セキュリティ業務を担当する個人を対象としています。この試験では、AWS 製品とサービスを安全に確保する能力を実証することが求められます。

この試験では、以下の事項を確認します:

• 特殊なデータ分類とAWSデータ保護メカニズムの理解
• 暗号化方法とそれを実装するためのAWSメカニズムの理解
• 安全なインターネットプロトコルとそれを実装するためのAWSメカニズムの理解
• AWSセキュリティサービスと機能の実践的知識、および安全な本番環境の提供
• 2年以上のAWSセキュリティサービスと機能を使用した本番展開経験
• コストセキュリティ、導入の複雑さのトレードオフを判断し、アプリケーション要件を満たすための能力
• セキュリティ運用とリスクの理解

対象となる受験者

対象となる受験者には、セキュリティソリューションの設計と実装に3〜5年相当の経験があることが求められます。さらに、AWS環境のセキュリティ確保に2年以上の実践経験を有していることが必要です。

推奨されるAWSの知識

対象となる受験者には以下の知識が求められます:

• AWSの責任共有モデルとその適用
• AWS サービスと クラウド ソリューションの展開に関する一般的な知識
• AWS 環境とワークロードのセキュリティコントロール
• ログ管理と監視戦略
• 脆弱性管理とセキュリティの自動化
• AWS セキュリティサービスと サードパーティツールとの統合方法
• バックアップ戦略を含む災害復旧コントロール
• 暗号化と鍵管理
• ID アクセス管理
• データの保持とライフサイクル管理
• セキュリティ問題のトラブルシューティング
• マルチアカウントのガバナンスと組織的コンプライアンス
• 脅威検知とインシデント対応戦略

対象となる受験者の業務範囲外

以下のリストには、対象となる受験者が行うことが想定されていない業務タスクが含まれています。このリストは包括的ではありません。これらのタスクは試験の範囲外です:

• 特定の言語(Python、Javaなど)でソフトウェアを開発すること
• 規制コンプライアンスの確認
• ソフトウェア開発ライフサイクルの管理
• ネットワークトポロジの設計
• クラウド全体の設計
• データ所在地の要件(GDPR など)に基づいたストレージサービスの設定

付録には、試験に登場する可能性のある技術とコンセプト、試験範囲内のAWSサービスと機能、試験範囲外のAWSサービスと機能の一覧が記載されています。

試験内容

回答形式

試験には以下の2つの種類の問題があります:

• 択一式: 1つの正解と3つの不正解(ディストラクター)がある
• 多肢選択式: 5つ以上の選択肢から2つ以上の正解を選ぶ

状況を最も適切に表す回答または問いに対する最良の回答を1つ以上選択してください。ディストラクターとは、知識や技術が不十分な受験者が選択してしまう可能性のある誤答です。ディストラクターは、試験範囲と関連性のある合理的な回答となっています。

未回答の問題は誤答として扱われ、点数は減点されません。試験には採点される50問の問題が含まれています。

採点対象外の問題

試験には、採点対象とならない15問の問題が含まれています。これらの問題は今後の採点問題としての使用を検討するために、AWS が受験者のパフォーマンスを評価するために使用されます。これらの採点対象外の問題は試験では識別されません。

試験結果

AWS 認定セキュリティ - 専門家(SCS-C02)試験の合否は合格/不合格で判定されます。試験は、AWS の専門家が認証業界のベストプラクティスとガイドラインに従って設定した最低基準に基づいて採点されます。

試験の結果は100 - 1,000のスケール得点で報告されます。合格点は750点です。あなたの得点は、全体としての試験の成績と合格の有無を示します。スケール得点モデルは、試験の難易度が若干異なる複数の試験フォームの得点を均等化するのに役立ちます。

あなたの得点レポートには、各セクションのパフォーマンスの分類テーブルが含まれる可能性があります。この試験は代替的な採点モデルを使用しており、各セクションで合格点を取る必要はありません。全体の試験に合格すれば合格となります。

試験の各セクションには特定の重み付けがあるため、一部のセクションには他のセクションよりも多くの問題が含まれます。分類テーブルには、あなたの長所と短所を示す一般的な情報が含まれています。セクションレベルのフィードバックの解釈には注意が必要です。

試験の構成

このガイドには、試験の重み付け、内容領域、およびタスク文が含まれています。このガイドには、試験の全範囲を網羅する包括的なリストは含まれていません。ただし、各タスク文に追加の背景情報が用意されており、試験の準備に役立ちます。

試験の内容領域と重み付けは以下の通りです:

• ドメイン 1: 脅威検知とインシデント対応 (得点対象の14%)
• ドメイン 2: セキュリティログと監視 (得点対象の18%)
• ドメイン 3: インフラストラクチャセキュリティ (得点対象の20%)
• ドメイン 4: ID とアクセス管理 (得点対象の16%)
• ドメイン 5: データ保護 (得点対象の18%)
• ドメイン 6: 管理とセキュリティのガバナンス (得点対象の14%)

ドメイン 1: 脅威検知とインシデント対応

タスク文 1.1: インシデント対応計画を設計and実装する

知識:

• AWS のインシデント対応のベストプラクティス
• クラウドのインシデント
• インシデント対応計画における役割と責任
• AWS セキュリティ検出フォーマット (ASFF)

スキル:

• 侵害に対応するための資格情報の無効化と ローテーション戦略の実装(IAMとSecretsManagerを使用するなど)
• AWSリソースの隔離
• セキュリティインシデントに対する対応用のプレイブック とランブックの設計と実装
• セキュリティサービス(Security Hub、Macie、GuardDuty、Inspector、Config、Detective、IAMアクセス アナライザーなど)の展開
• ネイティブAWSサービスおよびサードパーティサービスとの統合の設定(EventBridgeとASFFを使用するなど)

タスク文 1.2: AWSサービスを使用してセキュリティ上の脅威と異常を検出する

知識:

• 脅威を検出するAWSマネージドセキュリティサービス
• サービス間のデータを結合するための異常検知と相関技術
• 異常を特定するための視覚化
• セキュリティ検出結果の集中管理戦略

スキル:

• セキュリティサービス(GuardDuty、Security Hub、Macie、Config、IAMアクセス アナライザーなど)からの検出結果の評価
• Detective を使用したAWSサービス全体のセキュリティ脅威の検索と相関
• Athena を使用してセキュリティイベントを検証するためのクエリの実行
• CloudWatch を使用した異常なアクティビティの検出用のメトリックフィルターとダッシュボードの作成

タスク文 1.3: 侵害されたリソースとワークロードに対応する

知識:

• AWS セキュリティインシデント対応ガイド
• リソース隔離メカニズム
• 根本原因分析の手法
• データキャプチャメカニズム
• イベントの検証のためのログ分析

スキル:

• AWSサービス(Lambda、Step Functions、EventBridge、Systems Managerランブック、Security Hub、Config)を使用した自動修復
• 侵害されたリソース(EC2インスタンスの隔離など)への対応
• 根本原因分析のための調査と分析(Detectiveの活用など)
• 侵害されたリソースからの関連フォレンジックデータの取得(EBSボリュームスナップショット、メモリダンプなど)
• セキュリティイベントに関連するコンテキスト情報を取得するためのS3ログのAthenaクエリ
• フォレンジックデータの保護と保存(S3オブジェクトロック、分離フォレンジックアカウント、S3ライフサイクル、S3レプリケーションなど)
• インシデント対応の準備とサービスの復旧

ドメイン 2: セキュリティログと監視

タスク文 2.1: セキュリティイベントに対応する監視とアラート設計and実装

知識:

• イベントを監視しアラームを提供するAWSサービス(CloudWatch、EventBridge)
• アラートを自動化するAWSサービス(Lambda、SNS、Security Hub)
• メトリックとベースラインを監視するツール(GuardDuty、Systems Manager)

スキル:

• セキュリティ監視に必要なデータソースと監視要件を特定するためのアーキテクチャの分析
• ビジネスとセキュリティの要件に基づいた環境監視とワークロード監視の設計
• 定期的な監査を実行する自動化ツールとスクリプトの設定(Security Hubのカスタムインサイトの作成など)
• アラートを生成するメトリックとしきい値の定義

タスク文 2.2: セキュリティ監視とアラートのトラブルシューティング

知識:

• 監視サービス(Security Hubなど)の設定
• セキュリティイベントを示す関連データ

スキル:

• アラートを提供しなかったイベント後のサービス機能、アクセス許可、設定の分析と修正
• 統計情報を報告していないカスタムアプリケーションの設定分析と修正
• セキュリティ要件に合わせたログ監視サービスの評価

タスク文 2.3: ログソリューションの設計and実装

知識:

• ログ機能を提供するAWSサービスと機能(VPC Flow Logs、DNSログ、CloudTrail、CloudWatch Logs)
• ログ機能の属性(ログレベル、タイプ、詳細度)
• ログの送信先と ライフサイクル管理(保持期間など)

スキル:

• サービスとアプリケーションのログ設定
• ログ取り込みの要件とソースの特定
• AWSのベストプラクティスと組織の要件に従ったログの保存とライフサイクル管理の実装

タスク文 2.4: ログソリューションのトラブルシューティング

知識:

• データソースとなるAWSサービスの機能と使用事例(ログレベル、タイプ、詳細度、頻度、適時性、不変性)
• ログ機能を提供するAWSサービスと機能(VPC Flow Logs、DNSログ、CloudTrail、CloudWatch Logs)
• ログに必要なアクセス権限

スキル:

• ログに必要なアクセス権限の不足による設定の誤りを特定し、修正手順を実施する(読み取り/書き込み権限、S3バケットのアクセス許可、パブリックアクセス、完全性の管理など)
• ログが欠落している原因を特定し、修正手順を実施する

タスク文 2.5: ログ分析ソリューションの設計

知識:

• キャプチャしたログを分析するサービスとツール(Athena、CloudWatch Logs フィルター)
• AWSサービスのログ分析機能(CloudWatch Logs Insights、CloudTrail Insights、Security Hubインサイト)
• ログフォーマットとコンポーネント(CloudTrailログなど)

スキル:

• ログからの異常と既知の脅威の指標の特定
• ログの正規化、解析、相関

ドメイン 3: インフラストラクチャセキュリティ

タスク文 3.1: エッジサービスのセキュリティコントロールを設計and実装

知識:

• エッジサービスのセキュリティ機能(AWS WAF、ロードバランサー、Route 53、CloudFront、AWS Shield)
• 一般的な攻撃、脅威、エクスプロイト(OWASP Top 10、DDoSなど)
• レイヤード型Webアプリケーションアーキテクチャ

スキル:

• 一般的なユースケース(パブリックWebサイト、サーバレスアプリ、モバイルアプリバックエンドなど)のエッジセキュリティ戦略の定義
• 想定される脅威と攻撃(OWASP Top 10、DDoSなど)に基づいた適切なエッジサービスの選択
• 予想される脆弱性やリスク(脆弱なソフトウェア、アプリ、ライブラリなど)に基づいた適切な保護の選択
• エッジセキュリティサービス(CloudFrontとAWS WAF、ロードバランサーなど)の組み合わせによる重層的な防御の定義
• 地理、地理位置情報、レート制限などの基準に基づいてエッジでの制限の適用
• エッジサービスまわりのログ、メトリクス、監視の有効化により攻撃を示す

タスク文 3.2: ネットワークセキュリティコントロールの設計and実装

知識:

• VPCセキュリティメカニズム(セキュリティグループ、ネットワークACL、AWS Network Firewall)
• VPC間接続(Transit Gateway、VPCエンドポイント)
• セキュリティテレメトリソース(Traffic Mirroring、VPC Flow Logs)
• VPN技術、用語、使用法
• オンプレミス接続オプション(AWS VPN、AWS Direct Connect)

スキル:

• セキュリティ要件に基づいたネットワーク分割の実装(パブリックサブネット、プライベートサブネット、機密VPC、オンプレミス接続)
• 必要なトラフィックを許可または拒否するネットワーク制御の設計(セキュリティグループ、ネットワークACL、Network Firewallの使用など)
• パブリックインターネットを回避するネットワークフローの設計(Transit Gateway、VPCエンドポイント、VPCのLambdaの使用など)
• ネットワーク設計、脅威、攻撃に基づいて監視するテレメトリソースの特定(ロードバランサーログ、VPC Flow Logs、Traffic Mirroringなど)
• オンプレミス環境とAWSクラウド間の通信の冗長性とセキュリティワークロードの要件の特定(VPN、Direct ConnectのVPN、MACsecの使用など)
• 不要なネットワークアクセスの特定と削除
• 要件の変更に合わせたネットワーク設定の管理(Firewall Managerの使用など)

タスク文 3.3: コンピューティングワークロードのセキュリティコントロールを設計and実装

知識:

• EC2インスタンスのプロビジョニングとメンテナンス(パッチ適用、検査、スナップショットとAMIの作成、EC2 Image Builderの利用)
• IAMインスタンスロールとIAMサービスロール
• コンピューティングワークロードの脆弱性をスキャンするサービス(Inspector、ECR)
• ホストベースのセキュリティ(ファイアウォール、ハードニングなど)

スキル:

• ハードニングされたEC2 AMIの作成
• 適切なインスタンスロールとサービスロールの適用
• EC2インスタンスとコンテナイメージの既知の脆弱性のスキャン
• EC2インスタンスやコンテナイメージ全体へのパッチの適用
• ホストベースのセキュリティメカニズムの有効化(ホストベースのファイアウォールなど)
• Inspector の結果の分析と適切な緩和策の決定
• 安全に秘密情報と資格情報をコンピューティングワークロードに渡す

タスク文 3.4: ネットワークセキュリティのトラブルシューティング

知識:

• 到達可能性の分析方法(VPC Reachability Analyzer、Inspector)
• 基本的なTCP/IPネットワーキングの概念(UDPとTCP、ポート、OSIモデル、ネットワーク OSユーティリティ)
• 関連ログソースの読み方(Route 53 ログ、AWS WAF ログ、VPC Flow Logs)

スキル:

• ネットワーク接続の問題の特定、解釈、優先順位付け(Inspector Network Reachabilityの活用など)
• 目的のネットワークの動作を生み出すソリューションの特定
• ログソースの分析による問題の特定
• 問題分析のためのトラフィックサンプルの取得(Traffic Mirroringの利用など)

ドメイン 4: ID とアクセス管理

タスク文 4.1: AWS リソースの認証を設計、実装、トラブルシューティングする

知識:

• ID の作成と管理のための手法とサービス(フェデレーション、IDプロバイダ、IAM Identity Center、Cognitoなど)
• 長期および一時的な資格情報発行メカニズム
• 認証の問題のトラブルシューティング方法(CloudTrail、IAM Access Advisor、IAM ポリシーシミュレーターなど)

スキル:

• 要件に応じた認証システムを通じたID の確立
• 多要素認証の設定
• 一時的な資格情報を発行するためにAWS STSを使う時機の判断

タスク文 4.2: AWS リソースの承認を設計、実装、トラブルシューティングする

知識:

• 様々な IAMポリシー(マネージドポリシー、インラインポリシー、ID ベースのポリシー、リソースベースのポリシー、セッションコントロールポリシー)
• ポリシーの構成要素と影響(Principal、Action、Resource、Condition)
• 承認の問題のトラブルシューティング方法(CloudTrail、IAM Access Advisor、IAM ポリシーシミュレーターなど)

スキル:

• 属性ベースのアクセス制御(ABAC)とロールベースのアクセス制御(RBAC)の戦略の構築
• 要件とワークロードに合わせた IAMポリシータイプの評価
• 環境とワークロードに対する IAMポリシーの影響の解釈
• 環境全体での最小権限の原則の適用
• 適切な役割分離の強制
• アクセスまたは承認エラーの原因や影響の分析
• リソース、サービス、エンティティに付与された意図しない権限、承認、特権の調査

ドメイン 5: データ保護

タスク文 5.1: 送信中のデータの機密性と完全性を提供するコントロールを設計and実装

知識:

• TLSの概念
• VPNの概念(IPsecなど)
• セキュアなリモートアクセス方式(SSH、Systems Managerセッションマネージャを使ったRDP)
• Systems Managerセッションマネージャの概念
• TLS証明書がさまざまなネットワークサービスとリソース(CloudFront、ロードバランサーなど)で機能する方法

スキル:

• AWSとオンプレミスネットワーク間の安全な接続の設計(Direct ConnectとVPNゲートウェイの使用など)
• リソースへの接続時に暗号化を要求するメカニズムの設計(RDS、Redshift、CloudFront、S3、DynamoDB、ロードバランサー、EFS、API Gatewayなど)
• AWS API呼び出しにTLSを必須とする設計(S3など)
• 安全な接続を介したトラフィックの転送メカニズムの設計(Systems Managerと EC2 Instance Connectの活用など)
• プライベートVIFとパブリックVIFを使用したリージョン間ネットワーキングの設計

タスク文 5.2: 静止中のデータの機密性と完全性を提供するコントロールを設計and実装

知識:

• 暗号化手法の選択(クライアントサイド、サーバーサイド、対称、非対称)
• 完全性検証の手法(ハッシュアルゴリズム、デジタル署名)
• リソースポリシー(DynamoDB、S3、KMSなど)
• IAMロールとポリシー

スキル:

• 認可ユーザーへのアクセスを制限するリソースポリシーの設計(S3バケットポリシー、DynamoDBポリシーなど)
• 不正なパブリックアクセスを防ぐメカニズムの設計(S3 Block Public Access、パブリックスナップショットとパブリックAMIの防止など)
• データ暗号化を有効化するサービスの設定(S3、RDS、DynamoDB、SQS、EBS、EFSなど)
• 変更を防止してデータの完全性を保護するメカニズムの設計(S3 Object Lock、KMSキーポリシー、S3 Glacier Vault Lock、AWS Backup Vault Lockなど)
• AWS CloudHSMを使用したリレーショナルデータベースの暗号化at restの設計(RDS、RDS Custom、EC2上のデータベースなど)
• ビジネス要件に基づいた暗号化手法の選択

タスク文 5.3: 静止中のデータのライフサイクルを管理するコントロールを設計and実装

知識:

• ライフサイクルポリシー
• データ保持基準

スキル:

• 必要な保持期間にデータを維持するためのS3 Lifecycleメカニズムの設計(S3 Object Lock、S3 Glacier Vault Lock、S3 Lifecycleポリシー)
• AWSサービスとリソースの自動ライフサイクル管理の設計(S3、EBSボリュームスナップショット、RDSボリュームスナップショット、AMI、コンテナイメージ、CloudWatchロググループ、Data Lifecycle Manager)
• AWSサービス全体でのAWSバックアップのスケジュールと保持の設定

タスク文 5.4: 資格情報、シークレット、暗号化キーマテリアルを保護するコントロールを設計and実装

知識:

• Secrets Manager
• Systems Managerパラメータストア
• 対称キーと非対称キーの使用と管理(KMSなど)

スキル:

• ワークロードの秘密情報(データベースアクセス資格情報、APIキー、IAMアクセスキー、KMSカスタマーマネージドキー)の管理とローテーションの設計
• キーの使用を認可ユーザーに制限するKMSキーポリシーの設計
• 顧客提供のキーマテリアルのインポートと削除の仕組みの確立

ドメイン 6: 管理とセキュリティのガバナンス

タスク文 6.1: AWSアカウントの一元的なデプロイと管理戦略を立案する

知識:

• マルチアカウント戦略
• 委任管理を可能にするマネージドサービス
• ポリシーで定義されたガードレール
• ルートアカウントのベストプラクティス
• クロスアカウントロール

スキル:

• AWS Organizationsのデプロイと設定
• いつ、どのようにControl Towerを展開するかの決定(必要なサービスの無効化など成功への前提条件)
• ポリシーを技術的に実施するためのSCPの実装(ルートアカウントの使用制限、Control Towerでの管理コントロールの実装など)
• セキュリティサービスの一元管理と検出結果の集約(委任管理とConfig集約の活用など)
• AWSアカウントのルートユーザー資格情報の保護

タスク文 6.2: クラウドリソースの安全で一貫性のあるデプロイ戦略を実装する

知識:

• インフラストラクチャとしてのコード(IaC)によるデプロイのベストプラクティス(CloudFormationテンプレートのハードニングとドリフト検出など)
• タグ付けのベストプラクティス
• AWSサービスの集中管理、デプロイ、バージョン管理
• AWSインフラストラクチャの可視化と管理

スキル:

• CloudFormationを使ってリソースを一貫性と安全性をもってデプロイする
• 複数アカウントにわたるタグ戦略の実装と適用
• 承認済みAWSサービスのポートフォリオの設定とデプロイ(Service Catalogの使用など)
• 管理のためのリソースグループの編成
• Firewall Managerによるポリシーの強制