AWSのセキュリティ資格について。
AWSセキュリティ資格とは
AWS Certified Security – Specialty
AWSのセキュリティに関する知識や技術を問われる資格試験。
AWS試験自体、結構勉強しないと落ちるイメージなので、この試験ももちろん勉強しないと難しい。
ちなみに受験するにあたり望ましい経験値としては、セキュリティソリューションの設計と実装で5年、AWSの実務経験2年だそうです。
試験概要
試験時間:170分
問題数:65問
形式:選択式
受験料:300米ドル
受験資格:なし
言語:日本語、英語ほか
合格スコア:750(MAX1,000)
試験範囲
分野 | 内容 | 割合 |
1 | 脅威検出とインシデント対応 | 14% |
2 | セキュリティロギングとモニタリング | 18% |
3 | インフラストラクチャのセキュリティ | 20% |
4 | Identity and Access Management | 16% |
5 | データ保護 | 18% |
6 | 管理とセキュリティガバナンス | 14% |
第1分野: 脅威検出とインシデント対応
インシデント対応計画を策定して実装する
必要スキル
- セキュリティ侵害に対応するための認証情報の無効化およびローテーション戦略の実装 (AWS Identity and Access Management [IAM] や AWS
- Secrets Manager の使用など)
- AWS リソースの分離
- セキュリティインシデントに対応するためのプレイブックとランブックの策定、実装
- セキュリティサービスのデプロイ (AWS Security Hub、Amazon Macie、Amazon GuardDuty、Amazon Inspector、AWS Config、Amazon Detective、AWS Identity and Access Management Access Analyzer など)
- AWS ネイティブサービスとサードパーティーサービスの統合の設定(Amazon EventBridge や ASFF の使用など)
AWS のサービスを使用してセキュリティの脅威と異常を検出する
必要スキル
- セキュリティサービス (GuardDuty、Security Hub、Macie、AWS Config、IAM Access Analyzer など) から得られた結果の評価
- AWS のサービス全体にわたるセキュリティ脅威の検索と関連付け(Detective の使用など)
- セキュリティイベントを検証するためにクエリを実行 (Amazon Athena の使用など)
- 異常なアクティビティを検出するためのメトリクスフィルターとダッシュボードの作成 (Amazon CloudWatch の使用など)
侵害されたリソースとワークロードに対応する
必要スキル
- AWS のサービス (AWS Lambda、AWS Step Functions、EventBridge、AWS Systems Manager のランブック、Security Hub、AWS Config など) を使用した修復の自動化
- 侵害されたリソースへの対応 (Amazon EC2 インスタンスの分離など)
- 根本原因分析のための調査と分析 (Detective の使用など)
- 侵害されたリソースからの関連するフォレンジックデータの取得 (Amazon Elastic Block Store [Amazon EBS] のボリュームスナップショット、メモリ
- ダンプなど)
- Amazon S3 のログでセキュリティイベントに関連するコンテキスト情報のクエリを実行 (Athena の使用など)
- フォレンジックアーティファクトの保護、保存 (S3 オブジェクトロック、分離されたフォレンジックアカウント、S3 ライフサイクル、S3 レプリケーションの使用など)
- インシデントに備えてサービスを準備し、インシデント後のサービスを復旧
第2分野: セキュリティロギングとモニタリング
セキュリティイベントに対処するためのモニタリングとアラートを設計し、実装する
必要スキル
- アーキテクチャを分析してモニタリング要件とセキュリティモニタリングのデータソースを特定
- 環境とワークロードを分析してモニタリング要件を決定
- ビジネス要件とセキュリティ要件に基づく環境モニタリングとワークロードモニタリングを設計
- 定期的な監査を実施するための自動化ツールとスクリプトを設定(Security Hub でカスタムインサイトを作成するなど)
- アラートを生成するメトリクスとしきい値を定義
セキュリティモニタリングとアラートのトラブルシューティングを行う
必要スキル
- モニタリングサービスの設定 (Security Hub など)
- セキュリティイベントを示す関連データ
- 可視性やアラートが得られなかったイベントが発生した後のサービス機能、アクセス許可、リソース構成を分析
- 統計情報の報告がないカスタムアプリケーションの構成を分析、修正
- セキュリティ要件を満たすためのロギングサービスとモニタリングサービスを評価
ロギングソリューションを設計し、実装する
必要スキル
- サービスとアプリケーションのロギングの設定
- ロギングの要件とログの取り込み元の特定
- AWS のベストプラクティスと組織の要件に合わせたログストレージとライフサイクル管理の実装
ロギングソリューションのトラブルシューティングを行う
必要スキル
- 設定ミスを特定し、ロギングに必要なアクセス許可がない場合の修正手順を決定 (読み取り/書き込み権限、S3 バケットのアクセス許可、パブリックアクセス、整合性の管理など)
- ログが見つからない原因を特定し、修正手順を実行
ログ分析ソリューションを設計する
必要スキル
- キャプチャしたログを分析するサービスおよびツール (Athena、CloudWatch Logs フィルターなど)
- AWS のサービスのログ分析機能 (CloudWatch Logs Insights、
- CloudTrail インサイト、Security Hub インサイトなど)
- ログ形式とコンポーネント (CloudTrail ログなど)
第3分野: インフラストラクチャのセキュリティ
エッジサービスのセキュリティコントロールを設計し、実装する
必要スキル
- 一般的なユースケース (公開ウェブサイト、サーバーレスアプリケーション、モバイルアプリケーションバックエンドなど) 向けのエッジセキュリティ戦略を定義
- 予想される脅威や攻撃 (OWASP Top 10、DDoS など) に基づいて適切なエッジサービスを選択
- 予想される脆弱性とリスク (脆弱なソフトウェア、アプリケーション、ライブラリなど) に基づいて適切な保護手段を選択
- エッジセキュリティサービス (AWS WAF およびロードバランサーを使用したCloudFront など) を組み合わせて防御レイヤーを定義
- さまざまな基準 (地域、位置情報、レート制限など) に基づいてエッジで制限事項を適用)
- エッジサービスに関するログ、メトリクス、モニタリングを有効化して攻撃を検知
ネットワークのセキュリティコントロールを設計し、実装する
必要スキル
- セキュリティ要件に基づくネットワークセグメンテーションの実装(パブリックサブネット、プライベートサブネット、機密性の高い VPC、オンプレミス接続など)
- 必要に応じてネットワークトラフィックを許可または禁止するネットワークコントロールの設計 (セキュリティグループ、ネットワーク ACL、Network Firewall の使用など)
- データがパブリックインターネットを通過しないネットワークフローを設計(Transit Gateway、VPC エンドポイント、VPC での Lambda の使用など)
- ネットワーク設計、脅威、攻撃に基づいて、モニタリングするテレメトリソースを決定 (ロードバランサーのログ、VPC フローログ、トラフィックミラーリングなど)
- オンプレミス環境と AWS クラウド間の通信に関する冗長性とセキュリティワークロードの要件を決定 (AWS VPN、Direct Connect 経由の AWS VPN、MACsec の使用など)
- 不要なネットワークアクセスを特定、削除
- 要件の変化に応じてネットワーク設定を管理 (AWS Firewall Manager の使用など)
コンピューティングワークロードのセキュリティコントロールを設計し、実装する
必要スキル
- 強化された EC2 AMI の作成
- コンピューティングワークロードを認可するために、必要に応じてインスタンスロールとサービスロールの適用
- 既知の脆弱性について EC2 インスタンスとコンテナイメージのスキャニング
- EC2 インスタンスのフリートまたはコンテナイメージ全体にパッチの適用
- ホストベースのセキュリティメカニズム (ホストベースのファイアウォールなど) の有効化
- Amazon Inspector の調査結果を分析し、適切な対処法を決定
- コンピューティングワークロードへのシークレットと認証情報の安全な受け渡し
ネットワークセキュリティのトラブルシューティングを行う
必要スキル
- ネットワーク接続の問題を特定、解釈、優先順位付け (Amazon Inspector のネットワーク到達可能性の使用など)
- 望ましいネットワーク動作を実現するためのソリューションを決定
- ログソースを分析して問題を特定
- 問題分析のためのトラフィックサンプルのキャプチャ (トラフィックミラーリングの使用など)
第4分野: Identity and Access Management
AWS リソースの認証を設計、実装、トラブルシューティングする
必要スキル
- 要件に基づいて、認証システムでアイデンティティを確立
- 多要素認証 (MFA) のセットアップ
- AWS Security Token Service (AWS STS) を使用して一時的な認証情報を発行する場合を決定
AWS リソースの認可を設計、実装、トラブルシューティングする
必要スキル
- 属性ベースのアクセス制御 (ABAC) 戦略とロールベースのアクセス制御(RBAC) 戦略を構築
- 特定の要件とワークロードに対する IAM ポリシータイプの評価
- IAM ポリシーが環境とワークロードに及ぼす影響の解釈
- 環境全体に最小権限の原則を適用
- 適切な職務分掌の実施
- アクセスエラーまたは認可エラーを分析し、原因または影響を特定
- リソース、サービス、またはエンティティに付与された意図しないアクセス許可、認可、または権限を調査
第5分野: データ保護
転送中のデータに機密性と整合性を提供するコントロールを設計し、実装する
必要スキル
- AWS とオンプレミスネットワーク間の安全な接続の設計 (Direct Connect やVPN ゲートウェイの使用など)
- リソース (Amazon RDS、Amazon Redshift、CloudFront、Amazon S3、Amazon DynamoDB、ロードバランサー、Amazon Elastic File System [Amazon EFS]、Amazon API Gateway など) への接続時に暗号化を要求するメカニズムの設計
- AWS API コールに TLS を要求 (Amazon S3 を使用する場合など)
- 安全な接続を介してトラフィックを転送するメカニズムの設計(Systems Manager と EC2 Instance Connect の使用など)
- プライベート VIF とパブリック VIF を使用したクロスリージョンネットワークの設計
保管中のデータに機密性と整合性を提供するコントロールを設計し、実装する
必要スキル
- 認可されたユーザーにアクセスを制限するリソースポリシーの設計(S3 バケットポリシー、DynamoDB ポリシーなど)
- 不正なパブリックアクセスを防止するメカニズムの設計 (S3 パブリックアクセスブロック、パブリックスナップショットおよびパブリック AMI の防止など)
- 保管中のデータの暗号化を有効にするサービスの設定 (Amazon S3、Amazon RDS、DynamoDB、Amazon Simple Queue Service [Amazon SQS]、Amazon EBS、Amazon EFS など)
- 変更を防止してデータの整合性を保護するメカニズムの設計(S3 オブジェクトロック、KMS キーポリシー、S3 Glacier ボールトロック、AWS Backup ボールトロックの使用など)
- リレーショナルデータベース (Amazon RDS、RDS カスタム、EC2 インスタンス上のデータベースなど) に AWS CloudHSM を使用した保管時の暗号化の設計
- ビジネス要件に基づいた暗号化技術の選択
保存中のデータのライフサイクルを管理するためのコントロールを設計し、実装する
必要スキル
- 必要な保持期間にわたってデータを保持するための S3 ライフサイクルメカニズムの設計 (S3 オブジェクトロック、S3 Glacier ボールトロック、S3 ライフサイクルポリシーなど)
- AWS のサービスとリソースの自動ライフサイクル管理の設計 (Amazon S3、EBS ボリュームスナップショット、RDS ボリュームスナップショット、AMI、コンテナイメージ、CloudWatch ロググループ、Amazon Data Lifecycle Manager など)
- AWS のサービス全体での AWS Backup のスケジュールと保持の設定
認証情報、シークレット、暗号化キーマテリアルを保護するためのコントロールを設計し、実装する
必要スキル
- ワークロードのシークレットの管理とローテーションの設計 (データベースアクセス認証情報、API キー、IAM アクセスキー、AWS KMS カスタマー管理キーなど)
- 認可されたユーザーにキーの使用を限定する KMS キーポリシーの設計
- 顧客提供のキーマテリアルをインポートおよび削除するメカニズムの確立
第6分野: 管理とセキュリティガバナンス
AWS アカウントを一元的にデプロイして管理する戦略を策定する
必要スキル
- AWS Organizations のデプロイ、設定
- AWS Control Tower をデプロイするタイミングと方法の決定 (デプロイを成功させるためにどのサービスを無効化する必要があるかなど)
- ポリシーを適用するための技術的ソリューションとしての SCP の実装(ルートアカウントの使用制限、AWS Control Tower でのコントロールの実装など)
- セキュリティサービスを一元管理し、調査結果を集計 (委任管理や
- AWS Config アグリゲーターの使用など)
- AWS アカウントのルートユーザーの認証情報のセキュリティでの保護
クラウドリソースのための安全で一貫したデプロイ戦略を実装する
必要スキル
- CloudFormation を使用したクラウドリソースの一貫性のある安全なデプロイ
- マルチアカウントタグ付け戦略の実装、実施
- 承認された AWS のサービスのポートフォリオの設定、デプロイ (AWS Service Catalog の使用など)
- AWS リソースをさまざまなグループに整理し管理
- ポリシーを適用するために Firewall Manager をデプロイ
- AWS アカウント間でリソースを安全に共有 (AWS Resource Access Manager [AWS RAM] の使用など)
AWS リソースのコンプライアンスを評価する
必要スキル
- Macie を使用した機密データの特定
- 非準拠の AWS リソースを検出するための AWS Config ルールの作成
- Security Hub と AWS Audit Manager を使用して証拠を収集、整理
アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する
必要スキル
- リソース使用率と傾向を基に異常を特定
- AWS のサービスとツール (AWS Trusted Advisor、AWS Cost Explorer など) を活用して使用されていないリソースを特定
- AWS Well-Architected Tool を使用してセキュリティギャップを特定
対象となるAWSサービス
マネジメントとガバナンス
- AWS CloudTrail
- Amazon CloudWatch
- AWS Config
- AWS Organizations
- AWS Systems Manager
- AWS Trusted Advisor
ネットワークとコンテンツ配信
- Amazon VPC
- Network Access Analyzer
- ネットワーク ACL
- セキュリティグループ
- VPC エンドポイント
セキュリティ、アイデンティティ、コンプライアンス
- AWS Audit Manager
- AWS Certificate Manager (ACM)
- AWS CloudHSM
- Amazon Detective
- AWS Directory Service
- AWS Firewall Manager
- Amazon GuardDuty
- AWS IAM Identity Center (AWS Single Sign-On)
- AWS Identity and Access Management (IAM)
- Amazon Inspector
- AWS Key Management Service (AWS KMS)
- Amazon Macie
- AWS Network Firewall
- AWS Security Hub
- AWS Shield
- AWS WAF
AWS公式より引用:AWS-Certified-Security-Specialty_Exam-Guide.pdf (awsstatic.com)
勉強方法
学習コンテンツ
書籍
要点整理から攻略する『AWS認定 セキュリティ-専門知識』【電子書籍】[ 佐々木 拓郎 ] 価格:3,718円 (2024/8/26時点) 楽天で購入 |
問題集
CloudLicense | AWS WEB問題集で学習しよう (cloud-license.com)
有料ですが、本番さながらの問題を解くことができる。
AWS資格演習対策コース – CloudTech クラウドテック (kws-cloud-tech.com)
こちらも有料ですが、問題を解くことができる。
なお、動画コンテンツもある。
勉強方法
AWSを使った構築経験、AWSのセキュリティソリューションの使用経験がある人は、問題集をひたすら解きまくる方法で合格点に達すると思います。
1週して解けなかった問題は解説を理解して2週目に臨むという、オーソドックスな問題の解き方で十分かと。
AWS未使用、または使用経験が浅い人は、テキストから入った方がいい。
ただ、AWSセキュリティ資格試験向けというよりかは、AWSの用語集的なもので、このサービスはどういった機能、どういうときに使うのかを理解した方が早い↓
AWSの基本・仕組み・重要用語が全部わかる教科書 [ 川畑光平 ] 価格:2,970円(税込、送料無料) (2024/8/26時点) 楽天で購入 |
用語を理解したら、問題集の問題を解く。
問題集に関しては、どちらでもよいかと思います。
どちらも本番を想定した問題であり、本番と同じ問題はほとんどないです。
料金
CloudLicense:4,980円/90日
CloudTech:4,980円/90日
個人的にはCloudTechの方が解説が分かりやすいと感じました。
セキュリティエンジニア向け〜セキュリティ資格取得への道〜をもっと見る
購読すると最新の投稿がメールで送信されます。