テックチャレンジ推進制度を利用して AWS Certified Security - Specialty を取ってみました

SRE チームの @kumagaias です。
今年の目標は舌下治療 (花粉症) です。

テックチャレンジ推進制度とは

自己の成長やエンジニア組織の成長につながる活動へ、会社が補助を出してくれる制度です。
(ボトムアップで作られたらしい 🙌)

AWS Certified Security - Specialty (SCS-C02) とは

(でかい...)

• 試験時間: 170 分
• 試験の形態: 65 個の問題 (複数選択または複数応答のいずれか)
• 料金: 300 USD ^[1]
• 試験範囲
  • 第 1 分野: 脅威検出とインシデント対応
  • 第 2 分野: セキュリティロギングとモニタリング
  • 第 3 分野: インフラストラクチャのセキュリティ
  • 第 4 分野: Identity and Access Management
  • 第 5 分野: データ保護
  • 第 6 分野: 管理とセキュリティガバナンス

取ろうと思ったきっかけ

• TRUSTDOCK では本人確認サービスを提供しており、今までの自分の経験よりも一段高いセキュリティが求められていると感じたため
• 業務でたまたま KMS や SSM を触っていて "好機" と思ったため

取ってみてどうだった？

数多くある AWS セキュリティ関連サービスについて整理できました
以下、学習用のメモです

• 機密情報の保存
  • Parameter Store (標準パラメーターは無料 ^[2])
  • Secrets Manager (有料、ローテーション有)
• セキュリティ
  • GuardDuty (脅威検出)
  • Inspector (脆弱性検出、主に EC2, ECR, Lambda)
  • Detective (調査)
  • Security Hub (上記の各サービスと連携して可視化)
• Firewall
  • WAF (アプリケーション層を保護 L7、CF / ALB / API GW 等に配置)
  • Network Firewall (ネットワーク層を中心に保護 L3-L7、サブネットに配置)
  • Shield (DDos 保護)
  • Firewall Manager (上記の各サービスを一元管理)
• 統制全般
  • Config (構成管理)
  • CloudTrail (API コール履歴)
  • Organizations (マルチアカウント管理)
    • Identity Center
    • Control Tower
• ログ周り
  • CloudWatch
  • S3 + Athena
  • VPC Flow Logs
  • VPC Traffic Mirroring
  • Route 53 Resolver
• 暗号化キー
  • KMS
    • AWSマネージドキー
    • カスタマーマネージドキー
      • キーマテリアルのパターン ^[3]
        • 1. KMS (ほとんどのユースケース、自動ローテーション可能 ^[4])
        • 2. CloudHSM を使用 (カスタムキーストア、FIPS 140-2 Level3 対応)
        • 3. 外部からインポート (自社管理下において KMS の機能だけ使いたい場合)
• 認証・認可
  • Cognito
    • ユーザープール (認証)
    • アイデンティティプール (認可)
• その他の関連ツール
  • Trusted Advisor
    • コスト最適化等のベストプラクティスチェック
  • IAM Access Advisor
    • 最終アクセス時間などを確認
  • IAM Access Analyzer
    • 外部からアクセス可能なリソースを確認

特に理解が深まったと感じる

• KMS のキーポリシー周り
  • これの意味 ^[5]

        "Principal": {
          // IAM ポリシーを使用して KMS キーへのアクセスを制御する意図
          "AWS": "arn:aws:iam::${your_aws_acount}:root"
        }
    

  • kms:CreateGrant が必要なケース
• Session Manager のトラブルシューティング

機会あれば試したい

• GuardDuty の委任管理者の選択で一元管理
• Conifg => Systems Manager Automation Runbook で自動修復
• S3 のバケットキー (KMS) ^[6]
• Trusted Advisor、IAM Access Analyzer

勉強時間・方法

2 ヶ月前から 40-50 時間ほどで計画しました
(育児 👶 もあるため、無理のない範囲で)

1. 書籍
   • 要点整理から攻略する『AWS認定 セキュリティ-専門知識』
     • 試験に向かって「本当に受けるぞ」と気分を上げていきました。読了したら試験を予約 📆
2. Udemy
   • AWS認定Specialty – Security（SCS-C02）試験 対策トレーニングコース
     • ハンズオン動画が良かったです
   • 【SCS-C02対応 2025年版】AWS認定 セキュリティ 専門知識 模擬問題集【3回 + α 計200問】
     • 3 周しました
3. Black Belt
   • "試験のための勉強"に息が詰まってきたら AWS Black Belt を見て和みました
   • KMS
     • AWS Key Management Service Part.1 基礎編【AWS Black Belt】
       • エンベロープ暗号化の説明がわかりやすかったです
     • AWS Key Management Service Part.2 発展編【AWS Black Belt】
   • IAM
     • 【AWS Black Belt Online Seminar】AWS Identity and Access Management (AWS IAM) Part1
     • 【AWS Black Belt Online Seminar】AWS Identity and Access Management (AWS IAM) Part2
   • Control Tower
     • AWS Control Tower 基礎編【AWS Black Belt】
     • AWS Control Tower 機能紹介編【AWS Black Belt】
4. 公式練習問題集
   • 今回は最後の仕上げに利用しました

終わりに

AWS は学習コンテンツが豊富なので嬉しいですね。
次は AWS Certified Advanced Networking – Specialty を勉強してみようと思います。

お読みいただき誠にありがとうございました！

脚注

1. 2025 年 3 月時点で税込 44,000 円でした。試験の料金 ↩︎

2. 高度なパラメータは有料。また、SecureString の AWS KMS 暗号化の使用には料金がかかります。AWS Systems Manager Parameter Store ↩︎

3. CloudHSM を使用および、外部からインポートの場合は自動ローテーション機能がないこともよく試験に出る気がします。 ↩︎

4. 最短 90 日からできるようになったようです。カスタマイズ AWS KMS がより柔軟な自動キーローテーションを発表 ↩︎

5. Using IAM policies with AWS KMS ↩︎

6. SSE-KMS でこのバケットレベルのキーを使用すると、Amazon S3 から AWS KMS へのリクエストトラフィックを減らすことにより、AWS KMS のリクエストコストを最大 99% 削減できます。Amazon S3 バケットキーを使用した SSE−KMS のコストの削減 ↩︎