「AWS 認定セキュリティ – 専門知識」の学習方法・勉強法・試験対策・合格体験記～ How to study for AWS Certified Security – Specialty(SCS)～

9月 30, 20203月 8, 2021AWS,AWS Certified

Amazon Web Services(AWS)は今最もシェアを拡大しているパブリッククラウドコンピューティングサービスの一つです。
そして、AWS認定とはAWSクラウドを活用する技術的な専門知識が一定以上あることを証明するAWS公式の認定資格です。

全体的なAWS認定の概要、AWS認定のメリット、主観的な難易度順位、共通する学習方法・勉強法・試験対策・合格体験記については親記事となる
AWS認定全冠を達成した学習方法・勉強法・合格体験記・資格の難易度～How to become an ALL AWS Certifications Engineer. How to study for AWS Certifications.～
を参照してください。

「AWS Certified Security – Specialty(SCS) | AWS 認定セキュリティ – 専門知識」とは

「AWS Certified Security – Specialty(SCS) | AWS 認定セキュリティ – 専門知識」は一言で言えばAWSクラウドの特徴を活用した高度なセキュリティ環境の設計・構築・運用ができる専門知識を検証する認定と言えるでしょう。
セキュリティのラーニングパスでは基礎レベルの「AWS 認定クラウドプラクティショナー(AWS Certified Cloud Practitioner)」の取得がオプションで推奨されていますが、受験にあたってはこの分野のAWSサービスと関連知識を熟知しておく必要がある専門知識に特化した高度な認定です。

後述の＜学習リソース＞で紹介している「試験ガイド」や「Exam Readiness」を見ていただければわかっていただけると思いますが、学習しておくべきAWSサービスは「セキュリティ」に関連するサービス全般にわたります。そして、多くのAWSサービスの特徴を理解した上で、さらに高度なセキュリティ環境を実現するソリューションやトラブルシューティングの知識が必要とされるため数あるAWS認定の中でも難易度の高い認定と言えるでしょう。

学習リソース

以下に「AWS Certified Security – Specialty(SCS) | AWS 認定セキュリティ – 専門知識」のAWS認定に関する学習リソースについて紹介します。
英語の記事や資料が多いですが専門用語中心なので比較的理解しやすいと思います。
英語が苦手な場合はChromeの右クリックで翻訳機能を使って、なんとなくわかる日本語に変換しながら学習するのも良いでしょう。
重要なのは日本語の資料に無い情報は翻訳しながらでも英語を読みすすめて必要な知識を得ることが合格に近づく鍵です。

AWS認定公式ページ(SCS)

AWS認定の公式ページには試験の内容や試験の準備に関する資料やリンクがまとめられていますので、最初にこちらを確認するようにしましょう。

試験ガイド(SCS)

まずは試験ガイドで受験するAWS認定の試験範囲とどのような内容が出題されるかを把握します。

サンプル問題(SCS)

次に試験ガイドとセットで掲載されているサンプル問題を解いて、ざっくりとした出題傾向や大まかな出題される知識の粒度を把握します。

AWSサービス別資料(AWS Black Belt Online Seminar資料)

AWSドキュメントは詳細で情報量も豊富ですが膨大な量なので、重要点をまとめた「AWSサービス別資料(AWS Black Belt Online Seminar資料)」から各サービスを学習することがおすすめです。

模擬試験

受験するAWS認定の出題傾向や重要点を確認できるため、試験直前の腕試しではなく可能な限り早い段階に受けて対策の糧とするほうが良いです。

AWSトレーニングライブラリ(デジタルトレーニング)

ほぼ全ての各認定に用意され、試験準備のための要点がまとめられている「Exam Readiness(SCS)」を受講します。
また、各サービスごとの「Introduction」や「Primer」などのキーワードで出てくるEラーニングを受けて各サービスの理解を深めます。

AWSドキュメント

AWS認定の学習の基本はAWSドキュメントを読むことです。
AWSドキュメントはボリュームが多いため、効率よく学習するには、
「ベストプラクティス(best practice)」
「トラブルシューティング(troubleshooting)」
などの重要事項を絞り込めるキーワードでドキュメント内を検索して重要事項から学習することをおすすめします。
その後、模擬試験の出題傾向から重要と思われる概念を中心に読んだり、時間の余裕があれば全体を通しで読んでいきます。

よくある質問

受験するAWS認定の分野のサービスのQ&Aの内容を学習します。

AWS ナレッジセンター

受験するAWS認定の分野のサービスのAWS ナレッジセンターの内容を学習します。実際のユーザーから最も頻繁に寄せられる質問や要望に対するQ&Aがまとめられているのでとても参考になります。

AWS Security Blog

カテゴリ別ブログで受験するAWS認定に関連するサービスの記事に一通り目を通します。

Amazon Web Services ブログ

日本語版AWS News Blogで受験するAWS認定に関連するサービスの記事(特に問題解決方法、アーキテクチャ、事例、認定が新設・改定される前にリリースされた機能追加について説明している記事)を読んでいきます。

AWS News Blog

英語版AWS News Blogで受験するAWS認定に関連するサービスの記事(特に問題解決方法、アーキテクチャ、事例、認定が新設・改定される前にリリースされた機能追加について説明している記事)を読んでいきます。

AWS Events Content

過去のAWS Summitやre:Inventの資料などを検索して受験するAWS認定の分野のサービスを学習します。特にre:InventのBreakout Sessionなどのセッションで説明されている内容は参考になります。

AWS認定対策本(SCS)

最近ではAWS認定に特化した対策本も多く出版されていますので、それらを活用して効率よく重要点を学習していくこともおすすめです。

Udemy(SCS)

また、UdemyなどのサードパーティのEラーニングサービスも余裕があれば活用します。

その他、キーワードでGoogle検索

AWSのサービス名、模擬試験でわからなかった用語、その他上記リソースを読んでも内容がわからなかったキーワードなどで検索して出てきたブログなどを参考にします。
日本語だけではなく英語で検索して英語圏のサイトから日本語サイトには無い情報を探すことも知識を増やすことにつながるためおすすめです。

重要ポイント

ここでは「AWS Certified Security – Specialty(SCS) | AWS 認定セキュリティ – 専門知識」の学習過程で個人的に重要だと感じたポイントをまとめました。
重要ポイントとは言っていますが、各人の知識によって感じ方に個人差があることをご理解の上で参照してください。

AWS Directory Service

AWS Managed Microsoft ADのユースケース(オンプレミスADのAWSクラウドへの拡張など)
https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_use_cases.html

Amazon GuardDuty

GuardDutyの監視対象とIPS、IDSとの違い
https://pages.awscloud.com/rs/112-TZM-766/images/%5BS-16%5DAWSInnovate_Online_Conference_2020_Spring_SecurityIncidnetResponse_ans.pdf
GuardDutyで信頼できる許可IPアドレスを登録する方法
https://aws.amazon.com/jp/premiumsupport/knowledge-center/guardduty-trusted-ip-list/
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_upload-lists.html

Amazon Inspector

Amazon Inspectorの概要
https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_introduction.html

Amazon Macie

Amazon Macieの概要
https://aws.amazon.com/jp/macie/faq/

AWS Secrets Manager

AWS Secrets ManagerによるAmazon RDSのシークレットの自動ローテーション(AWS Systems Managerパラメータストアには無い機能)
https://docs.aws.amazon.com/ja_jp/secretsmanager/latest/userguide/rotating-secrets-rds.html

AWS Security Hub

AWS Security Hubの概要
https://aws.amazon.com/jp/security-hub/faqs/

AWS Single Sign-On(AWS SSO)

AWS SSOの概要
https://aws.amazon.com/jp/single-sign-on/faqs/

AWS WAF

AWS WAFのFAQ
https://aws.amazon.com/jp/waf/faq/
AWS WAFとAWS Shieldの違い(保護レイヤ、保護対象の攻撃)
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-chapter.html
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-overview.html

AWS CloudHSM

AWS CloudHSMの概要とユースケース
https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/introduction.html

AWS KMS

AWS KMSのベストプラクティス
https://d1.awsstatic.com/whitepapers/International/jp/KMS_Best_Practices_Whitepaper_JP.pdf
AWS KMSのキーローテーションの仕組み(AWS管理CMKとカスタマー管理CMKにおける自動と手動の違い、ローテーション間隔の違い)
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html
独自作成したキーマテリアルをインポートした場合のCMK再作成と手動キーローテーション
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/importing-keys.html#reimport-key-material
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html#rotate-keys-manually
AWS KMSのキーポリシーの例
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/key-policies.html#key-policy-example
Amazon RDSでのAWS KMSの使い方(AWS KMSはリージョン固有なため、コピー先リージョンでの復号権限付与と再暗号化が必要)
https://aws.amazon.com/jp/blogs/news/securing-data-in-amazon-rds-using-aws-kms-encryption/

AWS Certificate Manager

AWS Certificate Managerの概要とELBへの適用方法
https://aws.amazon.com/jp/certificate-manager/faqs/
https://aws.amazon.com/jp/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/

AWS CloudTrail

AWS CloudTrailの概要
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-concepts.html
AWS CloudTrailによるIAMユーザーアクティビティの追跡
https://aws.amazon.com/jp/premiumsupport/knowledge-center/view-iam-history/
AWS CloudTrailログの一元管理(AWS Organizationsで組織の証跡を作成する場合、独立したAWSアカウントで集約する場合)
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/creating-trail-organization.html
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html
AWS CloudTrailログファイルの暗号化
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html

Amazon CloudWatch

Amazon CloudWatchエージェントのトラブルシューティング
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/troubleshooting-CloudWatch-Agent.html
Amazon CloudWatch Logsの概要とエージェントの設定
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/AgentReference.html
Amazon CloudWatchカスタムメトリクスを発行する方法(PutMetricData権限の使用)
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/publishingMetrics.html
Amazon CloudWatch Logsメトリクスフィルターによるログイベントの監視
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/MonitoringLogData.html
Amazon CloudWatch Logsにログをプッシュできない場合のトラブルシューティング
https://aws.amazon.com/jp/premiumsupport/knowledge-center/cloudwatch-push-logs-with-unified-agent/
https://aws.amazon.com/jp/premiumsupport/knowledge-center/push-log-data-cloudwatch-awslogs/

AWS Config

AWS Configの概要
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/WhatIsConfig.html
AWS Configマネージドルールで設定変更管理できる内容
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/managed-rules-by-aws-config.html
AWS Systems Manager Automationを使用したAWS Configルール非準拠のAWSリソースの自動修復
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html

AWS Health

AWS Personal Health DashboardとAWS Service Health Dashboardの違い
https://aws.amazon.com/jp/premiumsupport/technology/personal-health-dashboard/
https://aws.amazon.com/jp/premiumsupport/knowledge-center/aws-service-status/

AWS Organizations

サービスコントロールポリシー(SCP)の概要とユースケース
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps_examples.html

AWS Systems Manager

AWS Systems Managerパラメータストアの特徴(SecureStringパラメータ作成は無料、AWS Secrets Managerのようなローテーション機能は含まれていない)
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/systems-manager-parameter-store.html
AWS Systems ManagerパラメータストアでのAWS KMSによる暗号化(使用方法とトラブルシューティング)
https://docs.amazonaws.cn/en_us/kms/latest/developerguide/services-parameter-store.html

Amazon CloudFront

オリジンアクセスアイデンティティ(OAI)を使用してAmazon CloudFrontとAmazon S3バケットの間のアクセス制御をする
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html
Amazon CloudFrontとAmazon S3を使用した安全な静的ウェブサイト
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/getting-started-secure-static-website-cloudformation-template.html
Amazon CloudFrontではAWS Certificate Managerのリージョンを米国東部(バージニア北部、us-east-1)に変更する必要がある
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html#https-requirements-aws-region

AWS Direct Connect

Direct ConnectのPublic VIFを使用してAWS Site-to-Site VPNを構築するアーキテクチャ(AWS Direct Connectは専用線だがそのまでは暗号化されない)
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html

Amazon VPC

VPCフローログの見方と例
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-records-examples.html
セキュリティグループとネットワークACLの違い(ステートフル、ステートレス、エフェメラルポートの扱い)
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Security.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_SecurityGroups.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-network-acls.html
VPCエンドポイントによるプライベート接続
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/endpoint-services-overview.html
Traffic MirroringとVPC Flow Logsの違い(フローログではパケット詳細は見れない)
https://docs.aws.amazon.com/ja_jp/vpc/latest/mirroring/flow-log.html
セキュリティグループのユースケース(同じセキュリティグループ内のルール記述方法など)
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/security-group-rules-reference.html
VPCでのDNSサポートの有効化と無効化
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html

Amazon Athena

Amazon Athenaクエリに必要な権限(Amazon S3バケット権限を含む)
https://aws.amazon.com/jp/premiumsupport/knowledge-center/access-denied-athena/
Amazon Athenaを使用したAWS CloudTrailログのクエリ
https://docs.aws.amazon.com/ja_jp/athena/latest/ug/cloudtrail-logs.html

Amazon Kinesis

Amazon Kinesis Data Streams、Amazon Kinesis Data Firehoseを使用してAmazon Elasticsearch Serviceにログをリアルタイム送信する方法
https://docs.aws.amazon.com/ja_jp/elasticsearch-service/latest/developerguide/es-aws-integrations.html#es-aws-integrations-kinesis
https://aws.amazon.com/jp/blogs/news/send-apache-web-logs-to-amazon-elasticsearch-service-with-kinesis-firehose/
https://aws.amazon.com/jp/blogs/news/ingest-streaming-data-into-amazon-elasticsearch-service-within-the-privacy-of-your-vpc-with-amazon-kinesis-data-firehose/

Amazon SES

TLS暗号化をサポートした送信時のSMTPエンドポイントとポート
https://docs.aws.amazon.com/ja_jp/ses/latest/DeveloperGuide/smtp-connect.html

AWS Security Incident Response Guide(セキュリティインシデント対応ガイド)

セキュリティインシデント発生時の操作と対応例(調査対象の削除保護、隔離、再起動をしないでスナップショット作成、メモリキャプチャ)
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-security-incident-response-guide/prepare-processes.html
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-security-incident-response-guide/infrastructure-domain-incidents.html

Reference: Tech Blog citing related sources

AWS,AWS Certified

Posted by magtranetwork

月	火	水	木	金	土	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

「AWS Certified Security – Specialty(SCS) | AWS 認定 セキュリティ – 専門知識」とは