最終更新日 2025年11月2日
Contents
はじめに
AWSセキュリティ分野の最上位資格であるAWS Certified Security – Specialty(SCS-C02)。
クラウド環境の脅威検知からインシデント対応、データ保護、ガバナンスまでを体系的に問われる試験で、セキュリティ実務経験を裏付けるグローバル認定資格として非常に高い評価を受けています。
この記事では、AWS公式の最新試験ガイド(2025年対応)をもとに、全6ドメインをわかりやすく分解し、暗記ポイント・理解軸・出題傾向を整理しました。
これ一つでSCS-C02の全範囲を最短でマスターできます。
第1章:Threat Detection and Incident Response(脅威検知とインシデント対応)
本章の暗記のポイントは以下の通りです。
- GuardDutyのFindingsタイプは“脅威検出の中心” Recon(ポートスキャン)/UnauthorizedAccess(不正アクセス)などの分類を把握。
発見時の封じ込め(EC2隔離・IAM無効化)まで理解。 - Security Hubは「検知情報の統合ハブ」 GuardDuty・Macie・Inspectorの結果を集中管理し、CIS基準に基づくスコアを算出。
「どの基準で非準拠なのか」を読み取れるようにする。 - Incident Manager+SSM Automationで“自動対応” EventBridge経由でGuardDuty検知をトリガーに自動隔離。Runbookにより復旧を標準化。
自動化構成を問う設問が多い。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| Amazon GuardDuty | AWSの脅威検出サービス | CloudTrail・VPC Flow Logs・DNSログを分析 | Findingsタイプと対応策(Recon, UnauthorizedAccess)を理解 |
| GuardDuty Detector ID | GuardDutyの識別子 | aws guardduty create-detectorで取得 | CLI操作問題あり |
| GuardDuty Findings | 検知された脅威情報 | Severity、ResourceType、Titleなどを確認 | 重大度ごとの対応優先度が問われる |
| GuardDuty Malware Protection | EC2やEBS内のマルウェア検知 | EBSスナップショットをスキャン | 新機能として出題傾向上昇中 |
| GuardDuty S3 Protection | S3バケットアクセスの脅威検出 | 未承認リージョンからのアクセスを検知 | S3アクセスの可視化領域として問われる |
| GuardDuty RDS Protection | RDSの認証異常検出 | 不正ログイン試行を検出 | IAMベース認証と組み合わせ理解必須 |
| GuardDuty EKS Protection | Kubernetes脅威検出 | APIサーバへの不正アクセス監視 | C02新試験でEKS登場 |
| GuardDuty Findings Export | S3やCloudWatchへの出力 | Security Hubと連携可能 | Findingsの統合運用で出題される |
| Amazon Detective | 分析可視化ツール | GuardDutyやVPC Flow Logsの関連分析 | Root cause分析問題に頻出 |
| Detective Investigation Graph | 関係可視化グラフ | アカウント・IP・リソースの関連を視覚化 | 関連イベントの時系列理解 |
| AWS Security Hub | セキュリティ可視化ハブ | GuardDuty, Macie, Inspector, Configを統合 | 「CIS AWSベンチマーク」理解が必須 |
| Security Hub Standards | 準拠ベンチマーク | CIS / Foundational Security Best Practices | 試験では“準拠フレームワーク”選択問題に出る |
| Security Hub Insight | 自動生成レポート | Findingsのパターンを集約表示 | 組織単位でのリスク分析に出題あり |
| Security Hub Cross-Region Aggregation | 複数リージョン統合 | 集約リージョンを指定 | 組織統合設定手順が問われる |
| Amazon Macie | 機密データ検出サービス | S3のPII検出、自動分類 | S3データ保護との関連が頻出 |
| Macie Findings | 検出されたPII情報 | 名前・住所・認証情報など | GDPR対応の文脈で問われる |
| Macie Classification Job | スキャンジョブ | ターゲットバケットと頻度を指定 | 定期スキャン設定の理解が必要 |
| AWS Config | 設定変更監査 | リソース構成履歴・ルール | 不正設定の検出に使われる |
| Config Rules | ポリシー準拠性ルール | managed/custom両方あり | required-tagsなどがよく問われる |
| Config Remediation | 自動修復 | SSM Automationを実行 | 自動修復設計の連携問題あり |
| CloudTrail | すべてのAPIコール記録 | Management/Data Eventを選択可能 | S3・LambdaのData Event設定に注意 |
| CloudTrail Insights | 異常なAPI使用検出 | 通常パターンと逸脱を比較 | “突然のIAM変更”問題で出題あり |
| CloudTrail Lake | SQLクエリ分析 | CloudTrailイベントを検索・分析 | フォレンジック用途での分析設問 |
| CloudWatch Logs | ログの収集・保存 | Lambda, EC2, API Gateway等と連携 | 監査・モニタリング基盤の一部として問われる |
| CloudWatch Alarms | 監視アラーム | Metricと閾値を指定 | 通知設定やSNS連携を理解 |
| CloudWatch Metrics Filter | 特定ログ検出 | CloudTrailログに対して設定 | “AccessDenied”イベント検出問題あり |
| EventBridge(旧CloudWatch Events) | イベント駆動処理 | GuardDuty/Macie Findingsをトリガー | Lambda自動対応設計問題で頻出 |
| Event Pattern | イベントフィルタ | Source, DetailType, Resourceを指定 | GuardDuty Findings連携問題あり |
| AWS Systems Manager Automation | 自動実行フレームワーク | Runbookをトリガー | セキュリティ対応自動化で頻出 |
| Runbook | 手順自動化ドキュメント | AutomationまたはIncident Managerで実行 | 封じ込めプロセスの一部として問われる |
| AWS Incident Manager | インシデント対応管理 | SNS通知・Runbook連携 | NIST対応の設計問題に出る |
| NIST Incident Response Cycle | 標準対応プロセス | 検知→分析→封じ込め→根絶→復旧 | 各段階のタスク割当が問われる |
| EC2 Isolation | 感染ホスト隔離 | SG置換・ENI削除 | 自動化設計(Lambda+SSM)問題あり |
| Quarantine VPC/Subnet | 隔離用環境 | インシデント時に移動 | セキュリティ設計問題で頻出 |
| AWS Lambda Remediation | 自動修復処理 | EventBridgeトリガー | “GuardDuty → Lambda → SNS”パターンを理解 |
| AWS SNS | 通知配信 | インシデント通知 | EventBridge→SNS→OpsCenter連携問題 |
| AWS Chatbot | 通知連携 | Slack, Chimeに連携 | 運用チーム通知設計で登場 |
| AWS WAF | Web防御 | SQLi/XSS検出・遮断 | OWASP Top10の理解が必要 |
| AWS Shield Advanced | DDoS防御 | CloudFront, ALB, Route53保護 | WAFとの違いを問う |
| AWS Firewall Manager | セキュリティポリシー集中管理 | WAF/SGルールの統一 | Organizations構成での制御が問われる |
| AWS Inspector | 脆弱性スキャナ | EC2/ECR/EKSに対応 | 自動スキャン設定問題に登場 |
| Inspector Finding | 検出された脆弱性 | CVE情報付きで出力 | 優先順位設定の理解 |
| Forensic Snapshot | 証拠保全 | EBSスナップショット取得 | 改ざん防止と保持期間設定が出題される |
| IAM Access Analyzer | 外部アクセス検出 | S3, IAM, KMS等の共有設定を分析 | Resource-basedポリシー理解必須 |
| IAM Access Advisor | アクセス使用状況 | 未使用権限の検出 | 権限最小化の設問で出る |
| AWS CLI: guardduty | CLI操作 | create-detector / list-findings | CLI知識を問う選択問題あり |
| AWS CLI: securityhub | CLI操作 | enable-security-hub / get-findings | マルチアカウント設定試験範囲 |
| AWS CLI: ssm automation | CLI操作 | start-automation-execution | 自動修復トリガー問題 |
| AWS Step Functions | ワークフロー制御 | 複数Lambda・SSM連携 | 対応のオーケストレーションで出題 |
| AWS Health Dashboard | AWS障害情報 | 障害インシデント確認 | 調査対象除外の判断に使う |
| AWS Personal Health Dashboard | アカウント固有障害情報 | メール/SNS通知 | 影響調査問題で登場 |
| Kill Chain | 攻撃段階モデル | Recon→Exploit→C2→Action | 各段階ごとの対策理解 |
| MITRE ATT&CK | 攻撃手法マッピング | Tactics/Techniques分類 | AWS検知サービスとの対応問われる |
| Root Cause Analysis | 根本原因分析 | Detectiveで実施 | 検知後分析フローに含まれる |
| SIEM Integration | 外部統合 | Splunk, Datadogなど | 外部連携アーキテクチャで問われる |
| VPC Flow Logs | 通信ログ | ACCEPT/REJECTログ収集 | GuardDutyと連携し異常通信検出 |
| Route53 Resolver Logs | DNSクエリ記録 | 不審ドメイン検知 | マルウェア通信分析に出題あり |
| CloudWatch Metric Math | 複数指標の集約 | 複合監視設定 | 異常検知の高度化設問で登場 |
| Retention Policy | ログ保持期間設定 | S3, CloudWatch Logsで指定 | 監査要件適合で問われる |
| AWS Audit Manager | 監査証跡自動生成 | コントロールマッピング | 証拠自動収集プロセス理解 |
| Compromised Key Rotation | 鍵漏えい時対応 | 新KMSキー作成・旧キー無効化 | KMS権限と合わせて問われる |
| AWS Config Aggregator | マルチアカウント集約 | 組織単位でルール集計 | 統制管理問題で出題あり |
| IR Playbook | インシデント対応手順書 | 手順標準化・自動化可能 | “どの段階で実行されるか”を理解 |
| Post-Incident Review | 対応後レビュー | 改善点・教訓を整理 | PDCA的思考を問う問題に登場 |
| Lessons Learned | 改善プロセス | 再発防止計画策定 | 組織的対応力の指標として出題 |
| AWS Organizations | アカウント統制 | SCP適用で制限 | 管理アカウント設計が問われる |
| SCP(Service Control Policy) | 組織レベル制御 | 明示的Denyで適用 | IAMとの違い問題 |
| Cross-Account Isolation | アカウント分離 | Prod/Test分離設計 | 攻撃拡散防止設計の出題あり |
| AWS Trusted Advisor | 推奨チェック | セキュリティベストプラクティス診断 | 「公開バケット」検出機能を理解 |
| Penetration Testing | 脆弱性検証 | AWS許可範囲内で実施 | 許可不要の対象を覚える |
| AWS Artifact | 監査レポート提供 | SOC, ISO, PCI DSS等 | コンプライアンス証跡確認問題 |
| AWS CloudShell | 統合CLI環境 | 環境依存せず操作 | CLI実行問題の背景理解用 |
| Incident Severity Levels | 重大度分類 | Sev1〜Sev5で定義 | 優先対応順の判断問題 |
| Continuous Monitoring | 継続監視 | GuardDuty, Config, CloudWatch併用 | “継続的”の意味を正確に理解 |
| Threat Intelligence Feed | 外部脅威情報 | GuardDutyで利用 | AWSが自動的に参照する情報源 |
| SIEM Export | Findings外部送信 | S3経由で転送 | 外部分析連携設問に登場 |
| IAM Credential Report | 資格情報一覧 | 有効期限・MFA有無確認 | 定期確認対象として出題 |
| MFA Enforcement | 多要素認証 | ルートユーザー・IAMユーザーで必須 | 「Root MFAが無効」選択肢がよく出る |
第2章:Security Logging and Monitoring(セキュリティログとモニタリング)
本章の暗記のポイントは以下の通りです。
- CloudTrailは“全APIの証跡”である Management Event(設定変更)とData Event(S3/Lambda操作)の違いを区別。
組織Trailでマルチアカウント統合がベストプラクティス。 - Config Rulesは“継続的な準拠性監査” `restricted-ssh`や`required-tags`など代表ルールを理解。
違反検知→Lambda修復の自動フローを押さえる。 - Macie+Athenaで“機密データの動的監査” S3バケット内のPII検出とログ分析を組み合わせ、
自動的に機密データのリスクを可視化できる。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| CloudTrail | AWS API 呼び出しの記録 | Management Event / Data Event を記録 | 監査証跡の基本。S3 Data Event は明示設定が必要 |
| CloudTrail Lake | SQL ベースのイベント分析機能 | CloudTrail Logs を Lake 形式で分析 | インシデント分析・監査対応問題で出題 |
| CloudTrail Insights | 不審な API アクティビティ検出 | 通常パターンとの逸脱を可視化 | IAM 異常や KMS 過剰利用検知で頻出 |
| CloudTrail Organization Trail | 組織レベルの一括管理 | AWS Organizations 統合で全 Account 追跡 | マルチアカウント監査設計の問題に登場 |
| CloudTrail Event Selectors | 収集対象設定 | --include-management-events 等 | コスト最適化と監査要件のバランス問題 |
| CloudTrail Encryption | S3 保存時の暗号化 | SSE-KMS を推奨 | CloudTrail Logs の整合性維持が問われる |
| S3 Object Lock | オブジェクト改ざん防止 | WORM ストレージ設定 | ログ保全問題で登場 |
| CloudWatch Logs | アプリケーションや Lambda のログ収集 | Agent や SDK で送信 | 監視基盤の中心。フィルタ設定も出題 |
| CloudWatch Logs Insights | ログ分析 SQL エンジン | fields, filter, stats 構文 | 異常検出クエリの書き方問題に出る |
| CloudWatch Metrics | 数値化されたメトリクス | CPU 使用率など | メトリクス フィルタ設定問題に登場 |
| CloudWatch Alarms | 通知アラート設定 | SNS 連携 | 「アラームが発報しない理由」設問あり |
| CloudWatch Dashboards | 可視化パネル | CloudWatch Metrics を可視化 | セキュリティ監視統合に関連 |
| CloudWatch Contributor Insights | ボトルネック特定 | トップ N 送信元分析 | 攻撃元特定問題で出題あり |
| EventBridge | イベント駆動制御 | GuardDuty / Macie 検出をトリガー | Lambda 自動対応連携で頻出 |
| EventBridge Archive | 過去イベント保存 | 再再生可能 | インシデント再分析問題に登場 |
| EventBridge Replay | 再処理実行 | 検知テスト再現 | 監査再現に関する出題あり |
| VPC Flow Logs | ネットワーク通信記録 | ACCEPT/REJECT 情報 | 通信遮断トラブル調査で頻出 |
| Route 53 Resolver Query Logs | DNS クエリ追跡 | マルウェア通信検出 | DNS ベース脅威分析に関する問題 |
| ELB Access Logs | 負荷分散アクセス記録 | HTTP ヘッダ・レスポンス情報 | 攻撃パターン特定で使用される |
| CloudFront Access Logs | CDN アクセス監査 | Edge Location 単位で記録 | WAF や Shield との連携が問われる |
| S3 Access Logs | オブジェクトアクセス記録 | PUT/GET 操作を記録 | 機密情報アクセス監査で出題 |
| RDS Enhanced Monitoring | OS レベル監視 | CPU / メモリ プロセス情報 | CloudWatch との違いを理解 |
| RDS Audit Logs | SQL 操作ログ | IAM 認証との連携 | データベース監査問題で出題 |
| AWS Config | 構成変更トラッキング | ルール/履歴/スナップショット | ポリシー準拠チェックとして問われる |
| AWS Config Rule | 管理ルール | managed/custom | restricted-ssh など代表的ルール暗記 |
| AWS Config Recorder | 記録設定 | リソース変更検出 | Recorder 停止状態が問われる問題あり |
| AWS Config Aggregator | 集約機能 | 組織単位で集計 | 統合監査アカウント設計問題 |
| AWS Config Conformance Pack | ルール集束パッケージ | セキュリティ基準テンプレート | 迅速な標準化構築問題で出る |
| AWS Security Hub | セキュリティ統合可視化 | 各種 Findings を集約 | 「セキュリティスコア改善」設問に登場 |
| Security Hub Standards | 準拠ベンチマーク | CIS / Foundational Best Practice | 非準拠項目の解釈を問う問題 |
| Security Hub Findings | 検出項目 | リソース・重要度・修正推奨 | 自動修復設定問題に登場 |
| Security Hub Integrations | 連携 | GuardDuty / Config / Inspector | 統合順序・依存関係を理解 |
| Amazon Macie | 機密情報検出 | S3 データスキャン | GDPR/PII 関連出題に注意 |
| Macie Classification Jobs | 機密データ検出ジョブ | バケット指定・周期設定 | 高頻度スキャン設計問題 |
| Macie Finding Types | PII 分類 | Credentials, Financial, Contact 等 | 出力の意味を理解 |
| Amazon Inspector | 脆弱性スキャン | EC2 / ECR / Lambda 対応 | 継続的スキャン化がポイント |
| Inspector Finding Severity | 深刻度分類 | Critical / High / Medium | 優先度判断問題で登場 |
| CloudWatch Composite Alarm | 複数条件アラート | OR / AND 条件構成 | 多層防御監視問題で出題 |
| CloudWatch Metric Math | 複合演算 | 平均値・差分算出 | カスタム指標作成問題 |
| Amazon Athena | S3 上のログ分析 | SQL 構文でクエリ | S3 ログ分析手法で出題 |
| AWS Glue Crawler | データカタログ作成 | Athena との連携 | ログ分析パイプライン問題 |
| AWS QuickSight | BI 可視化ツール | Athena / Redshift 連携 | ログダッシュボード構築問題に出る |
| AWS OpenSearch Service | フルテキスト分析 | Security Analytics ドメイン | SIEM 統合問題で出題あり |
| OpenSearch Alerting | アラート設定 | Monitor + Trigger 構成 | CloudWatch との違いを理解 |
| AWS Kinesis Firehose | ストリーミング転送 | CloudWatch Logs → S3 等 | 低遅延ログ転送設計に登場 |
| AWS Glue DataBrew | データ前処理 | ログクレンジング | 視覚的整形問題に登場 |
| Amazon S3 Storage Lens | S3 使用状況分析 | バケットレベル統計 | セキュリティモニタリング拡張 |
| IAM Access Analyzer | 外部アクセス検出 | Resource-based Policy 分析 | 公開設定誤り検出に出題あり |
| CloudWatch Cross-Account Sharing | 複数 Account 共有 | CloudWatch Link 使用 | 集中監視設計問題 |
| CloudWatch Log Subscription Filter | 他サービス転送 | Lambda や Kinesis へ送信 | 監査データ転送問題で登場 |
| AWS X-Ray | 分散トレーシング | API 遅延やエラー解析 | 監査トレース理解に出題 |
| AWS Audit Manager | 監査証跡自動化 | コントロール別証拠生成 | 監査準備プロセス理解 |
| AWS Trusted Advisor | ベストプラクティス診断 | セキュリティ項目:公開 S3 検出 | セキュリティチェック問題 |
| CloudWatch Anomaly Detection | 機械学習異常検知 | 自動しきい値設定 | 手動閾値設定との違いを問う |
| AWS CloudFormation Drift Detection | 設定ずれ検知 | Template 差分確認 | 変更監査問題で登場 |
| CloudFormation StackSets | 組織展開 | 共通監視リソース配布 | マルチアカウント監視構築に出題 |
| AWS Service Catalog | 標準構成展開 | 権限制御テンプレート | 承認フロー構築に関する問題 |
| AWS Systems Manager OpsCenter | 運用課題集約 | Security Hub Findings 取込み | 問題対応プロセス理解 |
| Systems Manager Explorer | 状況ダッシュボード | OpsData 統合 | 管理者向け可視化に出題 |
| CloudWatch Evidently | 実験モニタリング | Feature Flag テスト | 監視データ活用に関する設問 |
| AWS Health Dashboard | AWS 障害通知 | 全体/個別イベント | 可用性監視問題に出題 |
| AWS Personal Health Dashboard | 個人アカウント障害 | 通知・影響範囲確認 | 運用監視問題で登場 |
| AWS CLI: cloudtrail lookup-events | 監査イベント検索 | --lookup-attributes 使用 | CLI クエリ問題あり |
| AWS CLI: logs filter-log-events | CloudWatch Logs 検索 | --filter-pattern 指定 | 検知クエリ構文の理解 |
| AWS CLI: configservice describe-compliance | 準拠性確認 | アカウント別ステータス出力 | 監査自動化で出題 |
| CloudTrail Digest File | ログ整合性検証 | CloudTrail 署名検証 | 改ざん検知の理論問題 |
| AWS CloudTrail Validation Tool | 改ざん検証ツール | --digest-file 使用 | 監査証拠の真正性確保問題 |
| SIEM Integration (Splunk 等) | 外部連携 | CloudWatch→Kinesis→SIEM | 組織ログ統合設計問題で出題 |
| Centralized Logging Account | 集中ログアカウント | Organization Trail や S3 集約 | 最適アーキテクチャ問題 |
| Logging Retention Policy | 保存期間設定 | 規制遵守 / コスト調整 | 保持期間の違反問題あり |
| Data Lifecycle Policy | 自動削除ルール | S3 / CloudWatch Logs で設定 | 保持期限切れ問題に登場 |
| Continuous Monitoring | 継続的監査 | GuardDuty / Config 併用 | SOC 観点の出題多い |
| Real-Time Alerting | 即時通知 | SNS / EventBridge 活用 | 検知遅延問題の正解選択肢 |
| Log Normalization | ログ正規化 | SIEM 統合前処理 | 複数形式統合設計問題で登場 |
| Data Lake for Logs | 監査ログ集約基盤 | S3 + Athena 構成 | コスト最適化問題で出題 |
| CloudWatch Retention Policy | ログ保持期間 | デフォルト 14 日 | 長期保持構成問題に登場 |
| CloudTrail to EventBridge | 直接連携 | リアルタイム監査トリガー | 即時封じ込め設計問題で問われる |
| OpenSearch Dashboards | 可視化ツール | クエリ可視化・脅威分析 | Security Analytics 問題で登場 |
| Metric Filter Pattern | CloudWatch 検出条件 | "$.errorCode=AccessDenied" 等 | 具体的クエリが出題される |
| Tag Compliance Monitoring | タグ準拠性監視 | Config Rule 利用 | required-tags ルール設問で登場 |
| Config Snapshot | 設定スナップショット | 履歴保持 | 監査時点証跡の出題あり |
| Compliance Report | 準拠性レポート | Audit Manager や Config 生成 | 自動証拠収集プロセス理解 |
第3章:Infrastructure Security(インフラセキュリティ)
本章の暗記のポイントは以下の通りです。
- VPC設計は“境界防御の起点” Security Group(Stateful)とNACL(Stateless)の違いを理解。
Public/Privateサブネットの設計意図を整理。 - WAF+Shield Advancedで多層防御 WAFはアプリ層攻撃、ShieldはDDoSを防御。
Firewall Managerを使えば組織全体に適用可能。 - InspectorとPatch Managerで“脆弱性管理の自動化” EC2・ECR・EKSのスキャンを自動化し、
パッチ適用をSSMで統合。継続的セキュリティを確立。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| Amazon VPC | 仮想ネットワーク環境 | サブネット、ルートテーブル、IGW、NACLを構成 | 「ネットワーク境界防御」領域で基礎 |
| Subnet | IPセグメント | Public / Private に分類 | NAT Gateway の配置場所理解が必須 |
| Route Table | 通信経路制御表 | ルートターゲットを設定 | 誤ルーティングで通信不能になる設問あり |
| Internet Gateway (IGW) | 外部接続ゲートウェイ | Public Subnetに割り当て | 不要にPrivate側へ付与しない |
| NAT Gateway | 内部→外部通信専用 | Outbound通信のみ許可 | Public Subnetに配置、Elastic IPが必要 |
| VPC Peering | VPC間接続 | 同リージョン/異リージョン対応 | Transitive接続不可問題で頻出 |
| AWS Transit Gateway (TGW) | 中央集約型ルーター | 複数VPC・オンプレ接続統合 | VPC Peeringとの違いが出題される |
| VPC Endpoints | AWSサービスへのPrivate接続 | Gateway型 (S3, DynamoDB) / Interface型 | Public経路を通さない設計に必須 |
| AWS PrivateLink | サービス間Private通信 | Interface Endpoint経由 | SaaS連携や社内API保護設問で登場 |
| Security Group (SG) | 仮想ファイアウォール | ステートフル通信制御 | 出入口の明確化問題で頻出 |
| Network ACL (NACL) | サブネットレベル通信制御 | ステートレス、ルール順序重要 | 「Denyルールの優先順位」問題あり |
| Stateless / Stateful | 通信状態保持性 | SGはStateful, NACLはStateless | 対応の違いを暗記必須 |
| Elastic Load Balancer (ALB/NLB/GLB) | 負荷分散装置 | ALB:HTTP層, NLB:TCP層 | Security GroupやWAF設定の理解 |
| ALB Listener Rule | ルーティング条件 | パスベース・ホストベース設定 | ACL連携設計問題で出題 |
| ALB Access Logs | アクセス記録 | S3保存 | 攻撃トラフィック追跡問題あり |
| AWS Shield Standard | 無料のDDoS保護 | 全AWSサービスに標準適用 | 詳細制御不可だが常時有効 |
| AWS Shield Advanced | 有料DDoS対策 | CloudFront/ALB/Route53など保護 | DDoS緩和・費用補償あり |
| AWS WAF | Webアプリ防御 | ルールセット(OWASP Top10対応) | 攻撃トラフィック検知問題で頻出 |
| WAF Managed Rule Group | 事前定義ルール集 | AWS Managed / Partner Managed | 自動更新ルール選定問題で登場 |
| AWS Firewall Manager | セキュリティポリシー集中管理 | 組織全体にWAF/SGルール適用 | AWS Organizations連携問題あり |
| Amazon CloudFront | CDN | HTTPS暗号化+WAF連携 | エッジロケーションでの防御構成を理解 |
| AWS Global Accelerator | グローバル通信最適化 | TCP/UDP高速化と冗長経路 | DoS耐性・経路分離問題で登場 |
| Security Hub Network Check | ネットワーク構成検証 | SG過剰許可を検出 | 「0.0.0.0/0許可」設問あり |
| Amazon Inspector | 脆弱性スキャン | EC2/ECR/EKSを自動スキャン | 継続的スキャンがSCS-C02で強化領域 |
| Inspector EC2 Scan | ソフトウェア脆弱性検出 | CVEベース分析 | 自動修復パイプラインと併用出題あり |
| Inspector ECR Scan | コンテナイメージスキャン | push時に自動トリガー | 継続的セキュリティ設計で問われる |
| Inspector Finding Severity | 深刻度評価 | Critical, High, Medium | 修正優先度判断に出題 |
| EC2 Security Group Baseline | 最小許可設計 | Inboundを絞りOutboundは制限緩める | 「最小権限ネットワーク構成」問題で出る |
| VPC Flow Logs | 通信ログ | ENI単位で記録 | GuardDutyとの連携理解 |
| Network Firewall | L7レベル制御 | Stateful Inspection | IPS/IDS機能に関する出題あり |
| AWS Gateway Load Balancer (GWLB) | サードパーティFW統合 | Palo Alto / Fortigate 等統合 | トラフィック検査設計問題 |
| AWS Control Tower | マルチアカウント統制 | セキュリティガードレール適用 | Infrastructure Governance問題に登場 |
| EC2 Key Pair | SSH鍵認証 | RSA/ECDSAキー作成 | キー漏洩対応手順を理解 |
| Bastion Host | 踏み台サーバー | SSH Proxy経由で接続 | Session Managerとの比較問題で頻出 |
| AWS Systems Manager Session Manager | SSH不要の管理接続 | IAM権限で制御 | Bastion不要設計で問われる |
| EC2 Instance Metadata Service (IMDSv2) | インスタンスメタデータAPI | セッションベース認証 | v1との違いを理解(SSRF対策) |
| AWS KMS (Key Management Service) | 暗号鍵管理 | Envelope Encryption対応 | データ保護領域と連携して出題 |
| Envelope Encryption | 二重暗号化 | Data Key + Master Key構成 | KMS設計で頻出 |
| EBS Encryption | ブロックストレージ暗号化 | KMSキーで透過暗号化 | Snapshot継承設定理解が必要 |
| EFS Encryption | ファイルシステム暗号化 | KMSキー設定 | アクセスレベルとIAM連携問題あり |
| RDS Encryption | DB暗号化 | 起動時のみ設定可能 | 後から暗号化不可(再作成必要) |
| AWS Secrets Manager | 秘密情報管理 | 自動ローテーション可能 | SSM Parameter Storeとの違い出題 |
| SSM Parameter Store | 構成パラメータ格納 | SecureStringサポート | コストと暗号化設定問題 |
| AWS Certificate Manager (ACM) | SSL/TLS証明書管理 | 自動更新可 | ACM PCAとの違いを理解 |
| ACM Private CA | 独自CA発行 | 社内PKI構築 | 内部証明書管理問題で出題 |
| AWS Network Access Analyzer | ネットワーク経路解析 | 誤設定ルート検出 | SCS-C02新範囲の注目領域 |
| Route53 Resolver Firewall | DNSフィルタリング | 不正ドメイン通信防止 | DNSセキュリティ問題で出題 |
| Amazon Detective | ネットワーク関連性分析 | GuardDutyと連携 | 異常通信分析に活用 |
| Traffic Mirroring | パケットコピー | IDS/IPS分析用 | 監査トラフィック分析問題で登場 |
| AWS Audit Manager | 構成監査 | コントロール証跡生成 | Configと組み合わせ出題 |
| AWS CloudFormation Stack Policy | 更新制御 | 誤変更防止 | Infrastructure as Codeの安全化 |
| CloudFormation Drift Detection | テンプレート乖離検知 | 実際との差異確認 | 不整合検知問題で登場 |
| Security Group References | 相互参照設定 | SGをSG内で指定 | 複雑構成の通信可否問題 |
| Cross-Region Peering | 異リージョン間接続 | CIDR重複不可 | 通信経路制限問題で出題 |
| On-Premises VPN | ハイブリッド接続 | IPSecトンネル構成 | Transit Gateway連携で登場 |
| Direct Connect | 専用線接続 | BGP経路制御 | ハイブリッド接続セキュリティ問題 |
| DX Gateway | Direct Connect集約 | 複数VPC統合 | 経路漏洩リスク設問あり |
| IPS/IDS | 侵入検知・防御 | AWS Network Firewall, GWLBで実現 | L7制御と区別 |
| AWS Trusted Advisor | セキュリティ推奨チェック | SG/NACL開放確認 | ベストプラクティス理解必須 |
| AMI Hardening | イメージ強化 | 不要サービス削除、更新適用 | CIS Benchmarks準拠設計問題あり |
| Patch Manager | パッチ自動化 | Systems Managerで管理 | OS脆弱性対策問題で登場 |
| Maintenance Window | 定期更新スケジュール | Patch Manager連携 | 運用計画問題で問われる |
| AWS Inspector Agent | 脆弱性スキャンエージェント | OS情報収集 | エージェント型とエージェントレス型の違い |
| Infrastructure as Code | コード化運用 | CloudFormation / Terraform | Drift防止・統制問題に登場 |
| Elastic IP (EIP) | 固定グローバルIP | 静的割り当て | 認証系アプリ防御設計問題 |
| Host-Based Firewall | OSレベル防御 | iptables / Windows FW | AWS層防御との使い分け出題 |
| Security Group Rule ID | 一意識別子 | Terraform連携時に利用 | 誤削除防止設計問題 |
| AWS Nitro Enclaves | 分離コンピュート環境 | 秘密データ処理を隔離 | データ保護+インフラ領域の交差出題 |
| EBS Snapshot Sharing | スナップショット共有 | 暗号化スナップショットはキー共有必要 | データ流出経路問題で登場 |
| AMI Sharing | イメージ共有 | アカウント間共有 | 権限設定不備で情報漏えい設問 |
| Public IPv4 Exhaustion | グローバルIP枯渇 | IPv6移行推奨 | IPv6活用によるセキュリティ設計出題 |
| VPC CIDR Overlap | アドレス重複 | 接続不可 | 設計時CIDR計画問題あり |
| Route Table Blackhole | 経路欠損 | 通信失敗 | 可用性低下要因として問われる |
| AWS Network Manager | 接続可視化 | Site-to-Site VPN監視 | SD-WAN統合出題あり |
| Network ACL Logging | 拒否トラフィック記録 | CloudWatch Logs連携 | 不正アクセス検知問題 |
| CloudFront Field-Level Encryption | 特定フィールド暗号化 | カード番号等保護 | Webアプリ保護で出題 |
| AWS Global Network | AWSバックボーン | 高可用性・低遅延通信 | 物理的防御層設問あり |
| KMS Key Policy | 鍵アクセス制御 | IAMとは独立評価 | 暗号化誤設定リスク問題で頻出 |
| EC2 Instance Role | サーバ権限付与 | 一時クレデンシャル発行 | 長期キー禁止設定理解 |
| Temporary Security Credentials | 短期認証情報 | STSで発行 | 認証情報流出防止の正解選択肢 |
| Network Segmentation | ネットワーク分離 | 開発・本番・検証環境分離 | ゼロトラスト設計の基礎として問われる |
第4章:Identity and Access Management(ID・アクセス管理)
本章の暗記のポイントは以下の通りです。
- IAMとSCPの違いは“適用スコープ”にある IAMはアカウント内の認可、SCPは組織全体の利用制限。
両者の評価順序を理解しておく。 - STSで“一時的クレデンシャル”を発行 AssumeRole / GetSessionToken を使い、長期キーを排除。
一時的アクセスでセキュリティリスクを軽減。 - IAM Identity Center(旧SSO)で認証統合 外部IdP(Azure AD, Okta等)連携し、
マルチアカウントのログインと権限を一元管理。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| AWS Identity and Access Management (IAM) | 認証・認可の中核サービス | ユーザー、グループ、ロール、ポリシーを管理 | すべてのアクセス制御の基本。原則を理解することが必須 |
| IAM User | 個別の認証主体 | 認証情報(アクセスキー、パスワード)を持つ | 原則として人間ユーザーにのみ発行。アプリはロールを使う |
| IAM Group | ユーザーの集合 | ポリシーをまとめて付与 | 大規模ユーザー管理時の整理に使用 |
| IAM Role | 一時的権限付与 | STS により発行される一時クレデンシャル | EC2, Lambda などサービスアクセスで頻出 |
| IAM Policy | 権限制御ドキュメント | JSON形式でAction, Resource, Conditionを記述 | 明示的 Deny 優先。Allow/Deny評価順序問題で出題 |
| Policy Evaluation Logic | ポリシー評価順序 | 明示的Deny > Allow > Default Deny | 設問でよく問われる基本 |
| Managed Policy | AWSまたはカスタム管理ポリシー | AWS提供 or ユーザー定義 | 再利用性と変更リスクを理解 |
| Inline Policy | 単体ポリシー | 特定エンティティに直接埋め込み | 継承性がなくメンテナンス困難 |
| Resource-based Policy | リソース側ポリシー | S3、KMS、SNSなどが対応 | クロスアカウントアクセスで重要 |
| Trust Policy | ロール引受定義 | AssumeRole可能主体を指定 | クロスアカウントアクセス制御に頻出 |
| AWS STS (Security Token Service) | 一時認証情報発行 | AssumeRole / GetSessionToken 等 | クレデンシャル最小化に重要 |
| AssumeRole | 他のロール引受API | クロスアカウント権限委譲に使用 | 認可経路の理解問題で出題 |
| AssumeRoleWithSAML | SAML認証連携 | IdP認証後にSTS発行 | SSO統合問題で登場 |
| AWS Organizations | マルチアカウント管理 | OU / SCP / Consolidated Billing | Governance連携として頻出 |
| Organization Unit (OU) | アカウントの階層構造 | SCP適用単位 | 親子継承関係が試験で問われる |
| SCP (Service Control Policy) | サービス利用上限設定 | 組織ルートから制御 | IAMより上位。Deny継承を理解 |
| SCP Allow/Deny | 制御モデル | 明示的AllowなしでもDenyされる | IAMと異なる評価順序がポイント |
| Delegated Administrator | 管理委任機能 | 特定OUに管理権限付与 | Organizations管理モデル問題で登場 |
| IAM Identity Center (旧AWS SSO) | 統合認証サービス | 外部IdP連携、アプリSSO | ユーザー管理統合で出題増加中 |
| IAM Identity Center Permission Set | 権限テンプレート | 複数アカウントに共通付与 | “最小権限+一括付与”の理解が必要 |
| External IdP Integration | 外部IDプロバイダ連携 | Azure AD, Okta, Googleなど | SAML 2.0 / OIDC の違い問題あり |
| SAML Federation | エンタープライズ連携 | SAML 2.0 アサーション | 企業SSO連携設定手順設問で頻出 |
| OIDC Federation | Web認証連携 | JWTトークンを使用 | Cognito / API Gateway 認証で登場 |
| Amazon Cognito | 認証・認可基盤 | User Pool, Identity Pool | Web/モバイル認証の標準。試験範囲に追加 |
| Cognito User Pool | 認証データストア | ログイン/サインアップ管理 | ユーザー属性制御の設問あり |
| Cognito Identity Pool | 外部ID連携 | 一時AWS認証情報発行 | IAMロール付与の理解が問われる |
| Access Analyzer | 外部アクセス検出 | Resource-basedポリシーを分析 | 公開リソース検知問題で頻出 |
| IAM Access Advisor | 権限使用状況 | 未使用権限特定 | 最小権限設計問題に出る |
| IAM Credential Report | 資格情報一覧 | MFA有無・期限確認 | 定期監査で必ず出題される |
| IAM Access Key Rotation | アクセスキー定期更新 | 推奨30日以内 | セキュリティベストプラクティス問題 |
| MFA (Multi-Factor Authentication) | 多要素認証 | 仮想MFA, U2F, ハードウェアMFA | ルートユーザーMFA設定は必須 |
| Root Account | AWSアカウント管理者 | 削除不可、常時保護対象 | Rootでのアクセス禁止問題で登場 |
| Service-linked Role | AWSサービス専用ロール | 自動作成・削除管理 | 手動変更禁止。例:GuardDuty, Config |
| IAM Role Trust Relationship | ロール引受関係 | Principal要素に指定 | クロスアカウント引受構成理解 |
| Condition Key | ポリシー条件要素 | aws:SourceIp, aws:PrincipalOrgID等 | 絞り込み制御の実装問題で出題 |
| aws:MultiFactorAuthPresent | MFA使用確認 | MFA必須条件に利用 | Denyルール構成で登場 |
| aws:SourceVpce | VPCエンドポイント制限 | Privateアクセス限定 | 「特定ネットワークのみ許可」設問で出る |
| aws:RequestTag / aws:TagKeys | タグ制御 | IAMポリシーでタグ付与制御 | 権限+タグ制御問題あり |
| Policy Variables | 動的値参照 | ${aws:username} 等 | 再利用性向上構成問題 |
| IAM Boundary Policy | 権限上限設定 | 開発者が作れる範囲を制限 | “権限の枠”設計問題に出題 |
| Session Policy | 一時権限絞り込み | STSで渡す制約ポリシー | AssumeRole制限の設問で登場 |
| Permission Boundary vs SCP | 適用範囲の違い | Boundary=IAM単位 / SCP=Org単位 | よく出る比較問題 |
| AWS Managed Policy Example | AWS管理ポリシー例 | AdministratorAccess, ReadOnlyAccess 等 | 各ポリシーの作用範囲を理解 |
| Inline Policy Example | 直接付与ポリシー | 個別IAM専用 | 再利用不可を理解 |
| IAM Policy Simulator | ポリシー検証ツール | Allow/Deny結果を確認 | トラブル調査問題で出題 |
| AWS CloudTrail Integration | ログ連携 | IAM変更履歴監査 | “誰がいつポリシー変更したか”出題あり |
| Access Analyzer Finding | 外部共有検出結果 | S3/KMS/Role共有分析 | “外部アカウント検出”問題で登場 |
| Amazon Detective | アクセス分析 | ユーザー行動追跡 | IAM異常行動分析設問に出る |
| AWS Config Rule: iam-password-policy | パスワードポリシー評価 | 最小長/複雑性チェック | CIS Benchmarks準拠で登場 |
| IAM Password Policy | パスワード要件設定 | 最小長、文字種、期限 | 準拠性出題に注意 |
| AWS Trusted Advisor | IAMチェック | ルートMFA/未使用キー検出 | 定期監査問題で出題 |
| Identity Federation | 外部認証連携全般 | SAML/OIDC経由で認証 | “ID管理統合”問題で登場 |
| Role Chaining | 多段AssumeRole | 複数アカウント間の信頼連鎖 | 認証継承の制約問題で出題 |
| Cross-Account Access | 他アカウントアクセス | Resource-based Policy + Trust Policy | 二重ポリシー許可の必要性を理解 |
| Delegation | 権限委任 | 一時ロール経由で操作 | 権限スコープの正確な理解が必要 |
| aws:PrincipalOrgID | 組織ID条件キー | 同一組織内アクセス限定 | マルチアカウント安全設計問題で出る |
| IAM Role Session Duration | ロールセッション時間 | 最大12時間 | 長期認証誤設定問題に注意 |
| STS AssumeRole Duration | 有効期限 | Default=1h, Max=12h | 認証期限切れ問題で出題 |
| Temporary Security Credentials | 一時クレデンシャル | AccessKey, SecretKey, Token | 長期キーより安全設計で頻出 |
| IAM Policy Versioning | バージョン履歴管理 | 最新は“2012-10-17” | 試験で明示的指定されることがある |
| Access Denied Troubleshooting | アクセス拒否解析 | IAM / SCP / Boundaryを順に確認 | 権限衝突原因特定問題に出る |
| AWS Organizations SCP Example | 例: Deny ec2:* | 組織全体で特定操作禁止 | Root除外される挙動を理解 |
| AWS Managed Microsoft AD | ディレクトリ統合 | LDAP認証ベース | SSO連携設計問題で登場 |
| Amazon WorkMail | メール+IAM統合 | 認証統一 | AWS SSO構成理解に関連 |
| Amazon WorkSpaces | 仮想デスクトップ | IAM連携によるアクセス制御 | M365代替構成設問あり |
| IAM Policy Condition Operator | 条件演算子 | StringEquals, Bool, IpAddress 等 | 論理式の組み合わせ問題で頻出 |
| Access Advisor Last Accessed | 最終利用確認 | 不要権限特定 | 権限削減判断問題で出る |
| AWS CLI: iam list-policies | ポリシー一覧 | --scope AWS 等で絞込 | CLI操作出題あり |
| AWS CLI: sts assume-role | 一時認証発行 | --role-arn 指定 | 一時キー生成の理解 |
| AWS CLI: organizations enable-policy-type | SCP有効化 | PolicyType=SERVICE_CONTROL_POLICY | Org設定問題で出る |
| IAM Resource Tagging | 権限スコープ管理 | Tagベースアクセス制御 | CostCenterやEnvなどで制御 |
| aws:ResourceTag | リソースタグ条件 | 特定タグのみ許可 | リソース選択問題で登場 |
| AWS KMS Key Policy Integration | IAM連携 | Key Policy + IAM Policy両方必要 | 二重許可の理解が必須 |
| Session Tagging | 一時セッションにタグ付与 | STSタグ継承 | タグ制御アクセス問題に登場 |
| Identity Store API | IAM Identity Center内部API | ユーザー/グループ管理 | 自動化設計問題に出る |
| IAM Policy Enforcement Point | 評価実行点 | AWSサービスごとに評価 | クロスサービス制御出題あり |
| AWS CloudFormation IAM Resource Control | Stack権限制御 | CAPABILITY_IAM 設定 | インフラ自動化制約問題で登場 |
| IAM Credential Exposure | 認証情報漏えい対策 | 環境変数・ログに出さない | “誤ってキーを公開した”対応問題 |
| AWS Account Alias | アカウント識別名 | login URLカスタマイズ | 運用利便性問題で出題 |
第5章:Data Protection(データ保護)
本章の暗記のポイントは以下の通りです。
- KMSは“すべての暗号化の中心” Key Policy と IAM Policy は独立評価。
Envelope Encryption(DataKey+CMK)を正確に理解。 - S3の暗号化モードは4種類ある SSE-S3(自動)/SSE-KMS(制御可能)/SSE-C(顧客提供)/CSE(クライアント側)。
アクセス制御とキー責任範囲を区別。 - Secrets Managerで“機密情報をコードに書かない” Lambda連携で定期ローテーションを自動化。
Parameter Storeとの違いを明確にしておく。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| AWS KMS (Key Management Service) | AWS標準の暗号鍵管理サービス | CMK(Customer Managed Key)を作成・使用 | すべての暗号化の中心。Key PolicyとIAM制御を正確に理解 |
| Customer Managed Key (CMK) | ユーザー管理KMSキー | 有効期限、ローテーション、ポリシーを制御 | 自動ローテーションの設定方法が出題される |
| AWS Managed Key | AWSサービス専用キー | 管理不要、サービス自動使用 | 手動操作できないことを理解 |
| AWS Owned Key | AWSが完全所有 | S3標準暗号化などで利用 | キー制御できない点を区別 |
| Key Policy | KMSキー固有のアクセス制御 | IAMとは別評価 | 二重制御モデルを理解しておくこと |
| Key Rotation | 鍵ローテーション | 自動: 1年周期 / 手動: 任意 | 古いキーも復号に使用される点が出題される |
| Envelope Encryption | 二重暗号化方式 | Data KeyをCMKで暗号化 | パフォーマンス最適化の仕組みとして理解 |
| Data Key | 一時データ暗号鍵 | GenerateDataKey APIで発行 | 暗号/復号フローの理解が必要 |
| Symmetric Key | 共有鍵暗号 | AES-256採用 | KMSの基本動作に使用される |
| Asymmetric Key | 公開鍵暗号 | RSA / ECC対応 | 署名・検証ユースケースで登場 |
| KMS API: Encrypt / Decrypt | 暗号化/復号API | AWS SDK/CLI経由で利用 | 呼び出し権限・リージョン制約が問われる |
| KMS API: GenerateDataKey | データキー生成 | 平文・暗号化済みを同時取得 | 暗号化処理のフロー問題で出題 |
| AWS CloudHSM | ハードウェア暗号モジュール | 専用HSMクラスタで鍵管理 | FIPS 140-2 Level 3対応、KMS連携問題で出る |
| CloudHSM vs KMS | 管理方式の違い | CloudHSM=完全手動 / KMS=マネージド | ガバナンスや法規制対応で使い分け問われる |
| AWS Secrets Manager | 機密情報管理 | 自動ローテーション機能 | Lambda連携でパスワード自動更新が出題される |
| SSM Parameter Store | シンプルな構成データ保管 | SecureStringで暗号化 | Secrets Managerとの比較問題で出題 |
| Secrets Manager Rotation Lambda | ローテーション処理 | カスタムLambdaで認証情報更新 | セキュリティ自動化設計問題に登場 |
| Amazon Macie | 機密データ検出 | S3スキャンによるPII特定 | GDPR/個人情報検出で頻出 |
| Macie Findings | 発見データ内容 | PII, Credential, Financialなど | データ分類設問で出題される |
| Macie Job Schedule | スキャン頻度 | ワンタイム/定期 | 定期スキャン設定とコスト最適化が問われる |
| Amazon S3 Encryption | S3の暗号化 | SSE-S3, SSE-KMS, SSE-C, CSE | それぞれの特徴を暗記必須 |
| SSE-S3 | サーバー側暗号化 (Amazon管理キー) | AES-256で自動暗号化 | キー制御不要・簡易方式 |
| SSE-KMS | サーバー側暗号化 (KMSキー使用) | CMKで暗号化 | アクセス権限がIAM+Key Policy両方必要 |
| SSE-C | 顧客提供キー暗号化 | HTTPSヘッダーでキー送信 | 復号不可リスクを理解 |
| CSE (Client-Side Encryption) | クライアント側暗号化 | SDKで暗号化後にS3保存 | AWS側復号不可、責任分界点に注意 |
| S3 Default Encryption | デフォルト暗号化設定 | バケット単位で指定 | 「アップロード時暗号化漏れ」防止策で出題 |
| S3 Object Lock | WORMモード | 書き換え防止・保持期間指定 | 監査証跡や証拠保全問題で登場 |
| S3 Versioning | バージョン管理 | 誤削除防止 | データ保持戦略として出題あり |
| S3 Public Access Block | 公開制御設定 | アカウント/バケット単位で無効化 | 「公開誤設定」防止問題で頻出 |
| S3 Access Point | 大規模アクセス管理 | 専用ポリシーでアクセス制御 | IAM+バケットポリシー併用の理解が必要 |
| S3 Access Logs | バケットアクセス記録 | CloudTrail / Athenaで分析 | 不正アクセス追跡問題で登場 |
| AWS Backup | バックアップ統合サービス | EBS / RDS / DynamoDB対応 | 暗号化継承・復元ポリシー問題で出る |
| Backup Vault | 暗号化バックアップ保管庫 | KMSキー指定可能 | Vaultロックで変更防止可 |
| Backup Vault Lock | 不変ポリシー機能 | 改ざん防止 | S3 Object Lock類似設計を理解 |
| AWS DLM (Data Lifecycle Manager) | EBSスナップショット管理 | 自動スケジュール化 | 保持期間設計問題で登場 |
| EBS Encryption | EBSボリューム暗号化 | KMSキー指定可能 | Snapshot共有時のキー制約に注意 |
| EBS Snapshot Encryption | Snapshot暗号化 | 元ボリューム設定を継承 | 鍵共有が必要な点を理解 |
| EFS Encryption | EFS暗号化 | KMSキー指定、at-rest/in-transit対応 | 暗号化層の違い出題あり |
| RDS Encryption | データベース暗号化 | 起動時のみ設定可能 | 後付け不可。スナップショット再作成で対応 |
| Aurora Encryption | クラスタ暗号化 | KMSキー単位管理 | 複数リーダー間で一貫性保持 |
| DynamoDB Encryption | サーバーサイド暗号化 | AWS管理キー or CMK | パフォーマンス影響なしを理解 |
| DynamoDB Streams | 変更データログ | 暗号化・監査両立 | ログ分析設問あり |
| Amazon Redshift Encryption | データウェアハウス暗号化 | KMSキー指定可 | 自動暗号化と制御方式の違い問題 |
| Glacier Vault Lock | 長期保管の変更防止 | WORM準拠 | コンプライアンス問題で登場 |
| AWS Certificate Manager (ACM) | SSL/TLS証明書管理 | 自動発行・更新 | HTTPS化設計問題で出る |
| ACM Private CA | 独自CA構築 | 内部システム証明書発行 | CloudHSM連携問題に登場 |
| TLS 1.2 / 1.3 | 通信暗号化プロトコル | HTTPS, SMTP, FTPS 等で使用 | 古いTLS1.0/1.1禁止設問に注意 |
| Perfect Forward Secrecy (PFS) | セッション鍵使い捨て | DH/ECDHEで実現 | セッション盗聴防止問題で出題 |
| KMS Multi-Region Key | 複数リージョン対応鍵 | 複製してグローバル運用 | 災害対策・DR設計で出題あり |
| Cross-Account Key Sharing | 他アカウント共有 | Key Policy + Grantsで制御 | クロスアカウント暗号化設計問題で出る |
| KMS Grants | 一時的アクセス許可 | 特定プリンシパルに権限付与 | 動的制御問題で出題 |
| AWS CloudTrail Log Encryption | S3暗号化 | SSE-KMS利用 | 監査証跡の完全性設問で登場 |
| CloudTrail Digest File | 整合性検証用署名 | CloudTrail署名で改ざん検知 | 改ざん防止機構理解 |
| Data Classification | データ分類 | 機密/内部/公開 | Macie自動分類やS3タグ制御と関連 |
| Tag-Based Access Control | データ分類制御 | IAMポリシーにTag条件追加 | Data Sensitivity制御問題で出る |
| GDPR / ISO 27018 | 個人情報保護基準 | AWS Shared Responsibility Model | 規制準拠系出題で登場 |
| HIPAA / PCI DSS | 規制データ保護 | 暗号化・監査ログ必須 | AWS Artifact参照問題あり |
| AWS Artifact | コンプライアンス文書提供 | SOC, ISO, PCI レポート | 証跡取得問題で出る |
| Shared Responsibility Model | 責任分界モデル | AWS:基盤 / ユーザー:データ | 暗号化責任分界出題で頻出 |
| Data Residency | データ所在 | リージョン選択で制御 | 法的制約問題に登場 |
| Cross-Region Replication | S3リージョン間同期 | SSE-KMSキーも転送 | 両リージョンでキー必要問題 |
| AWS Snowball Edge | 物理転送デバイス | オフライン暗号化転送 | KMSキー暗号化と監査設問あり |
| AWS Key Alias | KMSキー別名 | 管理容易化 | 誤キー選択問題で出題 |
| AWS CLI: kms create-key | キー作成 | --description, --policy | CLI構成出題あり |
| AWS CLI: kms enable-key-rotation | 自動ローテーション有効化 | --key-id 指定 | 自動/手動切替問題で出る |
| AWS CLI: s3api put-bucket-encryption | デフォルト暗号化設定 | "SSEAlgorithm": "aws:kms" | バケット暗号化CLI設問で登場 |
| AWS CLI: secretsmanager rotate-secret | 機密情報ローテーション | Lambdaをトリガー | 自動化問題に登場 |
| Data in Transit | 通信中データ保護 | TLS/HTTPSで暗号化 | 通信経路暗号化が問われる |
| Data at Rest | 保存データ保護 | KMS, EBS, S3暗号化 | 各サービス設定差を理解 |
| Data in Use | 処理中データ保護 | Nitro Enclaves, SGX等 | 高度機密処理問題で出題 |
| KMS Logging | すべての操作をCloudTrailに記録 | KeyUsageイベント監査 | 「誰が暗号化操作をしたか」出題 |
| Key Deletion Schedule | 削除猶予 | 最短7日〜最長30日 | 即時削除不可を理解 |
| AWS Backup Encryption | バックアップ暗号化 | KMSキー指定 | データ整合性保証問題 |
| Customer Supplied Key (CSK) | 顧客提供鍵 | SSE-Cなどで使用 | キー紛失リスク問題で登場 |
| Encryption Context | 追加メタデータ | 復号時に検証使用 | 改ざん防止要素として理解 |
| File-Level Encryption | ファイル単位暗号化 | OSレベル or SDK | OSとAWS層の責任分界出題 |
| Secrets Rotation Interval | ローテーション間隔 | 通常30日〜90日 | 自動更新ポリシー出題あり |
第6章:Management and Security Governance(運用・セキュリティガバナンス)
本章の暗記のポイントは以下の通りです。
- Control Towerは“ガバナンス自動化の入口” Landing Zoneを自動構築し、Guardrailで運用統制。
PreventiveとDetectiveの2種類を区別。 - Audit Managerで“証跡収集を自動化” コントロールマッピングにより、Config・CloudTrail情報を
自動で監査証拠化。ISO・PCI準拠で活用。 - Security Hub+Organizationsで“継続的コンプライアンス” Security Hub Findingsを組織全体に集約し、
自動修復フロー(Config+Lambda)を設計する。
| 用語 | 意味 | 主な使い方・構成要素 | 試験でのポイント |
|---|---|---|---|
| AWS Organizations | マルチアカウント統制基盤 | OU階層化・SCP適用・請求統合 | ガバナンスの中核。全ドメインと関係 |
| Organizational Unit (OU) | 組織単位 | 階層的ポリシー適用 | SCP継承と上書きルールを理解 |
| Service Control Policy (SCP) | 組織レベルの制御ポリシー | 明示的Deny優先 | IAMとの違いが頻出 |
| Root Account | 組織最上位アカウント | すべてのOUを制御 | RootのSCP無効化不能を理解 |
| AWS Control Tower | マルチアカウント自動展開 | Landing Zone + Guardrails | SCS-C02で新登場の重点領域 |
| Guardrails | 安全な運用の自動化ルール | Preventive(防止)/ Detective(検知) | 有効化タイプの違いを覚える |
| Preventive Guardrail | 事前防止 | SCPで実装 | 操作自体を制限する仕組み |
| Detective Guardrail | 検知型統制 | AWS Configで実装 | 逸脱を検出して通知 |
| AWS Config | 設定監査サービス | 構成履歴・ルール・コンプライアンス評価 | ガバナンス基盤の中心 |
| AWS Config Aggregator | 複数アカウント集約 | Organization全体を可視化 | 継続的準拠チェックで出題 |
| AWS Config Conformance Pack | 定義済みルール群 | CIS / PCI DSS 準拠テンプレート | 組織展開問題に登場 |
| AWS Audit Manager | コンプライアンス自動化 | コントロール単位で証拠収集 | 新出題サービスの1つ。監査効率化問題 |
| Control Mapping | 監査コントロールとサービス紐付け | Audit Manager で管理 | 自動証跡生成の設問あり |
| AWS Artifact | 監査証明書ダウンロード | SOC, ISO, PCI DSS | AWS責任範囲の確認問題で出る |
| AWS Well-Architected Framework | 設計ベストプラクティス | 5本柱(Ops, Security, Reliability, Perf, Cost) | セキュリティ支柱の理解が必須 |
| Well-Architected Tool | 設計レビュー支援 | Lensベース診断 | “Security Lens”がSCS範囲に含まれる |
| AWS Trusted Advisor | 運用ベストプラクティスチェック | コスト、パフォーマンス、セキュリティなど | セキュリティ項目(公開S3、MFA)を暗記 |
| Security Hub | セキュリティ状態統合 | Findings, Insights, Score | ガバナンス+可視化連携で登場 |
| Security Hub Standard | 準拠基準 | CIS, AWS Best Practices | “どの基準を使うべきか”設問あり |
| AWS Health Dashboard | サービス状態監視 | Public/Personal両方あり | 障害原因特定問題で出題 |
| AWS Backup Audit Manager | バックアップ準拠性監査 | AWS Backup拡張機能 | 監査ポリシー違反検出問題に登場 |
| AWS Organizations Tag Policy | タグ統制 | Key命名・値制限 | コスト管理・分類統一出題あり |
| Tag Enforcement | 強制タグ付与 | Config Rule + SCP組合せ | ガバナンス実装例として出題 |
| AWS Service Catalog | 標準構成テンプレート提供 | 承認フロー付きリソース配布 | 運用統制設問に登場 |
| AWS License Manager | ソフトウェアライセンス管理 | 利用制限とコンプライアンス追跡 | 不正利用防止出題あり |
| Policy as Code | ポリシーのコード化 | Config Rule / CloudFormation Guard | “継続的コンプライアンス”の中心概念 |
| CloudFormation Guard | IaC構成検証ツール | ルールファイルで評価 | Drift検知と併用問題で登場 |
| Drift Detection | IaCの差異検出 | 実環境との乖離を監視 | “運用逸脱検知”で問われる |
| AWS Systems Manager | 運用統合管理 | パッチ適用、インベントリ管理 | ガバナンスと運用両面出題 |
| Systems Manager Inventory | リソース情報収集 | ソフトウェア一覧作成 | 資産管理問題に出る |
| Systems Manager State Manager | 状態維持自動化 | Desired State Enforcement | Drift防止設計問題で登場 |
| Systems Manager Patch Manager | パッチ適用自動化 | Maintenance Window管理 | セキュリティ維持設問で頻出 |
| Systems Manager Parameter Store | パラメータ保管 | SecureStringで暗号化 | 秘密情報管理方針問題に登場 |
| AWS CloudTrail | 監査ログ基盤 | APIコール履歴保存 | 証跡保持・改ざん防止出題 |
| CloudTrail Organization Trail | マルチアカウント記録 | Org単位で集中管理 | 監査ガバナンス問題で登場 |
| CloudTrail Lake | 監査ログ分析 | SQLクエリ可能 | 監査対応効率化設問で出題 |
| Retention Policy | 保持ポリシー | S3, Logs, Backup に設定 | 規制遵守の根拠として問われる |
| AWS Macie | データ分類によるリスク可視化 | S3内PII検出 | データガバナンス強化施策として登場 |
| AWS Config Recorder | 設定変更検知 | 各リソース変更を履歴化 | 無効状態時のリスク設問あり |
| AWS Control Tower Lifecycle Events | アカウント作成フック | イベント駆動自動設定 | 自動初期設定問題で出題 |
| CloudWatch Dashboard | 運用可視化 | メトリクス統合 | KPI監視ガバナンス問題で登場 |
| CloudWatch Contributor Insights | トラフィック上位分析 | リソース別寄与度表示 | ネットワーク監視問題あり |
| EventBridge Rule | 自動アクション | Config違反を検知し自動修復 | 自動ガバナンス設計に出る |
| AWS Lambda Remediation | 自動修復処理 | EventBridgeトリガーで動作 | “Config違反→修復”構成を理解 |
| Amazon Inspector | 継続的脆弱性管理 | ECR/EKS/EC2スキャン | セキュリティ維持管理問題に登場 |
| Amazon Detective | 根本原因分析 | GuardDuty Findingsを関連付け | 監査プロセス後段で問われる |
| Security Operations Center (SOC) | セキュリティ運用組織 | 監視・分析・対応 | 継続的監視体制問題で出題 |
| NIST CSF | セキュリティフレームワーク | 識別・防御・検知・対応・復旧 | 各フェーズ対応サービスを理解 |
| ISO 27001 | 国際情報セキュリティ規格 | PDCAサイクルに基づく管理 | コンプライアンス体系問題 |
| PCI DSS | クレジット情報保護基準 | 暗号化・監査・ネットワーク分離必須 | AWS準拠構成設問あり |
| HIPAA | 医療情報保護規格 | データ暗号化と監査 | Artifactで適合証明入手可能 |
| GDPR | 欧州個人情報保護法 | データ所在・削除権利・同意管理 | データガバナンス設問で登場 |
| CIS Benchmark | セキュリティ構成基準 | CIS AWS Foundations | Security HubやConfig連携で評価 |
| AWS Shield Advanced | DDoS防御サービス | SLA保証+24/7 DRT支援 | ガバナンス上のリスク低減対策として出題 |
| AWS Firewall Manager | 統合ポリシー管理 | WAF/Shield設定を集中制御 | マルチアカウント構成で問われる |
| Multi-Account Strategy | 組織構成戦略 | セキュリティ・監査・共有・運用アカウント分離 | “分離設計”正答を選ぶ問題あり |
| Logging Account | 監査ログ専用アカウント | CloudTrail/S3集約 | 変更不可構成がベストプラクティス |
| Security Account | セキュリティ運用専用 | GuardDuty, Security Hub集中管理 | 調査責任分離設問で登場 |
| Sandbox Account | 開発検証用 | SCP制限緩め | “本番環境と隔離”設問あり |
| Incident Response Playbook | インシデント対応標準手順 | 検知〜封じ込め〜復旧 | 継続改善サイクル問題で出題 |
| Post-Incident Review | 対応後レビュー | 教訓抽出・改善 | PDCAの一環として登場 |
| Business Continuity Plan (BCP) | 事業継続計画 | 災害時も運用継続 | DR設計関連問題で出る |
| Disaster Recovery (DR) | 障害復旧戦略 | Backup / Multi-Region / Pilot Light等 | 各方式の違い理解が必要 |
| RTO / RPO | 復旧目標時間・復旧目標点 | DR計画設計指標 | 数値判断問題に登場 |
| AWS Backup Vault Lock | 変更防止 | 不変バックアップ | コンプライアンス保持で出題 |
| AWS Managed Policy “SecurityAudit” | 監査用ロール | 読取専用権限 | 最小権限監査設定で登場 |
| Compliance Report | コンプライアンス評価書 | Config / Audit Manager生成 | 自動レポート生成理解 |
| Security Governance Model | 統制構造 | 戦略層・管理層・実行層 | 組織的セキュリティ構築の考え方問題 |
| AWS Account Vending | アカウント自動発行 | Control Towerで実装 | 初期ガバナンス整備問題 |
| AWS Budget | コスト監視 | 予算超過通知 | コストガバナンス問題で登場 |
| AWS Cost Anomaly Detection | コスト異常検知 | MLによる予測 | セキュリティ運用の一環として登場 |
| Continuous Compliance | 継続的準拠性 | Config+Lambda+Security Hub | “自動是正”構成問題で頻出 |
| Governance Automation | 統制自動化 | EventBridge, SSM, Config連携 | DevSecOps文脈で問われる |
| DevSecOps | 開発+運用+セキュリティ統合 | PipelineにSecurity組込み | CI/CD統合問題に登場 |
| AWS CloudFormation StackSets | マルチアカウント展開 | セキュリティテンプレート一括適用 | Control Tower内部でも使用 |
| Change Management | 変更管理 | 承認・テスト・ロールバック | 監査と運用統制出題で頻出 |
| AWS Service Catalog Constraints | サービス制約 | Launch/Template/Notification | 権限分離統制設問で出る |
| Risk Assessment | リスク評価 | Impact × Likelihood | リスク低減策を選ぶ問題 |
| Residual Risk | 残存リスク | コントロール後も残るリスク | 定義理解が求められる |
| Shared Responsibility Model | AWSと顧客の責任分界 | AWS:クラウド内 / 顧客:クラウド上 | コンプライアンス関連問題で頻出 |
| Policy Review Cycle | ポリシー見直し周期 | 年次/四半期ごと | 継続的改善プロセス出題 |
| Separation of Duties (SoD) | 職務分離 | 開発・承認・運用の分離 | ガバナンス設問で登場 |
| Access Review | 定期的権限確認 | IAM / SSO / SCP | 半期レビュー要件問題に出る |
| Security Awareness Training | セキュリティ教育 | 定期研修・Phishing訓練 | 人的リスク低減設問で出る |
| Incident Communication Plan | 通報体制 | SNS / PagerDuty / Chatbot等 | 通知ルート設問で登場 |
| Continuous Improvement (PDCA) | 継続的改善 | Plan→Do→Check→Act | NIST/ISO両方で登場 |
その他参考情報
AWS Certified Security – Specialty(SCS-C02)の試験概要を以下にまとめます。
| 項目 | 内容 |
|---|---|
| 試験コード | SCS-C02 |
| 試験時間 | 170分 |
| 問題数 | 約65問(選択式+複数選択式) |
| 認定の有効期間 | 3年 |
| 前提条件 | 推奨:AWS上でのセキュリティ設計・運用経験2年以上 |
| 試験テーマ | 脅威検知/データ保護/ID管理/ガバナンス/継続的監査の実装スキル |
| 試験バージョン | Version 2023.07(SCS-C02) |
| 対応サービス | GuardDuty / Security Hub / Macie / Inspector / Config / Control Tower / KMS / IAM / Shield / WAF 等 |
| 注意事項 | 新ドメイン6(ガバナンス)追加により、クラウド統制・ポリシー管理の理解が必須。 |
| ドメイン番号 | ドメイン名 | 出題割合 | 学習の優先度 |
|---|---|---|---|
| Domain 1 | Threat Detection and Incident Response(脅威検知とインシデント対応) | 14% | 中:GuardDuty/Security Hub 中心。自動対応の流れを押さえる。 |
| Domain 2 | Security Logging and Monitoring(セキュリティログとモニタリング) | 18% | 高:CloudTrail/Config/Macie など、監査・可視化領域。 |
| Domain 3 | Infrastructure Security(インフラセキュリティ) | 20% | 最重要:VPC/WAF/Shield/Inspector。ネットワーク防御設計を重点。 |
| Domain 4 | Identity and Access Management(IDとアクセス管理) | 16% | 高:IAM/SCP/STS/SSO の関係を正確に理解。 |
| Domain 5 | Data Protection(データ保護) | 18% | 高:KMS/S3暗号化/Secrets Manager。暗号化モデルを整理。 |
| Domain 6 | Management and Security Governance(運用とセキュリティガバナンス) | 14% | 中:Organizations/Control Tower/Audit Manager 中心。 |