以下に 問題1 を指定フォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
AWS アカウントには、bucket1 と bucket2 の 2 つの S3 バケットが含まれています。bucket2 にはポリシーが定義されていませんが、bucket1 には次のバケット ポリシーがあります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::123456789012:user/alice" },
"Action": "s3:*",
"Resource": ["arn:aws:s3:::bucket1", "arn:aws:s3:::bucket1/*"]
}
]
}
また、同じ AWS アカウントには IAM ユーザー 「alice」 が存在し、次の IAM ポリシーが設定されています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": ["arn:aws:s3:::bucket2", "arn:aws:s3:::bucket2/*"]
}
]
}
ユーザー 「alice」 がアクセスできるバケットを選択してください。
■ 選択肢(文字列を編集せずに出力)
A. bucket1 のみ
B. bucket1 と bucket2 の両方
C. bucket1 と bucket2 のどちらもなし
D. bucket2 のみ
■ 問題文の要件の概要
- alice のアクセス権を評価する。
- bucket1: バケットポリシーで許可
- bucket2: IAM ポリシーで許可
- 明示的な拒否なし(暗黙拒否と明示許可の評価)
■ 正解の選択肢と解説
✅ B. bucket1 と bucket2 の両方
解説:
- bucket1:バケットポリシーにより alice に対して
s3:*が許可されている。 - bucket2:IAM ポリシーで alice に
s3:*が許可されている。 - 明示的な拒否がなければ、いずれかで明示的に許可されていればアクセス可能。
- よって、alice は 両方にアクセスできる。
■ 不正解の選択肢の理由
| 選択肢 | 理由 |
|---|---|
| A bucket1 のみ | IAM ポリシーにより bucket2 にも許可されているため誤り。 |
| C 両方なし | bucket1 と bucket2 の両方に明示的な許可が存在するため誤り。 |
| D bucket2 のみ | bucket1 に対するバケットポリシーがあるため誤り。 |
■ SCS試験で押さえておくべきポイント
- ✅ S3 のアクセス制御は IAM ポリシーとバケットポリシーの組み合わせで評価される。
- ✅ いずれかに許可があればアクセス可能(ただし、明示的拒否がある場合は常に拒否される)。
- ✅ バケットポリシーはリソース側からのアクセス制御、IAM ポリシーはエンティティ(ユーザー/ロール)側からの制御。
- ✅ 明示的許可 + 明示的拒否 → 拒否が優先される点も重要。
この設問は ポリシー評価論理の基本理解を問う頻出パターンです。試験では、ポリシーの重なりや評価順序が問われる問題が多いため、このロジックをしっかり押さえておくと他の問題にも応用できます。
以下に 問題2 を指定フォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
ある企業が、AWS Organizations を使用して組織を作成することを計画しています。同社は、ユーザー管理を会社の外部 ID プロバイダー (IdP) と統合する必要があります。また、組織の管理アカウントからすべての AWS アカウントとアプリケーションへのアクセスを一元管理する必要もあります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A. AWS IAM Identity Center を有効にし、外部 IdP を ID ソースとして使用します。IAM Identity Center を使用して、アクセス許可セットとアカウントの割り当てを作成します。
B. 外部 IdP を IdP として使用するように AWS Identity and Access Management (IAM) を設定します。IAM ポリシーを作成し、外部 IdP のユーザーに関連付けます。
C. 組織の管理アカウントで Amazon Cognito を有効にします。ID プールを作成し、外部 IdP に関連付けます。IAM ロールを作成し、ID プールに関連付けます。
D. 外部 IdP を使用して AWS Directory Service を設定します。IAM ポリシーを作成し、外部 IdP のユーザーに関連付けます。
■ 問題文の要件の概要
- AWS Organizations を利用した マルチアカウント環境
- 外部IdPとの統合(例: Azure AD, Okta)
- 一元的なアクセス管理(複数アカウントに対するSSO・権限管理)
■ 正解の選択肢と解説
✅ A. AWS IAM Identity Center を有効にし、外部 IdP を ID ソースとして使用します。IAM Identity Center を使用して、アクセス許可セットとアカウントの割り当てを作成します。
解説:
- **IAM Identity Center(旧AWS SSO)**は、AWS Organizations と統合でき、複数アカウントへのSSOアクセスを提供。
- 外部IdP(SAML 2.0)をIDソースに設定でき、ユーザー認証と一元管理が可能。
- **アクセス許可セット(Permission Set)**を定義すれば、IAMロールのテンプレートとして利用可能で、アカウントごとの権限の自動展開も実現。
- 最も推奨される現代的なアイデンティティ統合構成。
■ 不正解の選択肢の理由
| 選択肢 | 理由 |
|---|---|
| B. IAM + 外部IdP | 各アカウント単位で手動設定が必要で、一元管理・Organizationsとの統合不可。スケーラブルでない。 |
| C. Cognito + 外部IdP | Cognito はモバイル/ウェブアプリ向け認証であり、AWSアカウント間のアクセス統合管理には不適。 |
| D. Directory Service + 外部IdP | Directory Service は主に Active Directory 連携用途。IdP 統合やマルチアカウント管理には向かない。 |
■ SCS試験で押さえておくべきポイント
- ✅ IAM Identity Center は、マルチアカウントへのSSOや外部IdP統合、アクセス許可セットによる一元管理に最適。
- ✅ 外部IdPとの連携には SAML 2.0 / SCIM を使う。
- ✅ IAM Identity Center を使用すると、IAM ロールを各アカウントに自動展開できる(Permission Set ⇒ ロール)。
- ❌ IAM・Cognito・Directory Service などは、マルチアカウントの統合管理を目的とする場合には不適。
この設問は アイデンティティ統合とアクセス管理のベストプラクティスを問う代表的な問題です。IAM Identity Centerの役割と活用シーンを明確に理解しておくことが、SCS試験合格に直結します。
以下に 問題3 を指定のフォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
企業の VPC とそのオンプレミスのデータセンター間の接続を保護している間、セキュリティエンジニアはオンプレミスのホスト(IP アドレス 203.0.113.12)から Amazon EC2 インスタンス(IP アドレス 172.31.16.139)に ping コマンドを送信しました。ping コマンドは応答を返しませんでした。VPC のフローログを見ると、以下のように表示されています。
2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
Ping を動作させる最適な操作を選択してください。
■ 選択肢(文字列を編集せずに出力)
A. EC2 インスタンスのセキュリティグループで、インバウンドの ICMP トラフィックを許可します。
B. VPC の NACL で、アウトバウンドの ICMP トラフィックを許可します。
C. VPC の NACL で、インバウンドの ICMP トラフィックを許可します。
D. EC2 インスタンスのセキュリティグループで、アウトバウンドの ICMP トラフィックを許可します。
■ 正解の選択肢と解説
✅ B. VPC の NACL で、アウトバウンドの ICMP トラフィックを許可します。
解説:
- フローログにおける
ACCEPTは、オンプレからの ping(ICMP Echo Request)が VPC に到達したことを意味します。 - しかし
REJECTが EC2 → オンプレ の方向で出ており、返信(ICMP Echo Reply)が拒否されています。 - NACL はステートレスなので、リクエストとレスポンスの両方を明示的に許可する必要があります。
- この場合、アウトバウンド方向で ICMP を許可する必要があるため、選択肢 B が正解です。
■ 不正解の選択肢の理由
| 選択肢 | 理由 |
|---|---|
| A. セキュリティグループでインバウンド ICMP | インバウンドはフローログで ACCEPT されており、問題なし。 |
| C. NACL でインバウンド ICMP | すでにリクエストは ACCEPT されているため不要。 |
| D. セキュリティグループでアウトバウンド ICMP | セキュリティグループはステートフルで、インバウンド許可されていれば自動で返答も許可される。NACL の設定が問題。 |
■ SCS試験で押さえておくべきポイント
- ✅ セキュリティグループはステートフル:インバウンドが許可されていれば、そのレスポンスのアウトバウンドも許可される。
- ✅ NACL はステートレス:リクエストとレスポンス両方のルールを設定する必要がある。
- ✅ ICMP(ping)に関連するトラブルでは、NACL のアウトバウンド ICMP ルールの確認が重要。
- ✅ フローログの
REJECTをどの方向で出しているかを見て、通信方向ごとの制御を分析する。
この設問は VPCのセキュリティ制御(NACL vs セキュリティグループ) の基本と、トラブルシューティング力を問う典型問題です。フローログを元に方向とステータスを的確に読み取る練習が大切です。
以下に 問題4 を指定フォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
あるセキュリティエンジニアは、VPC 内で機密ワークロードを実行する Amazon EC2 インスタンスのセキュリティ制御を設計しています。セキュリティエンジニアは、EC2 インスタンス上のソフトウェアの脆弱性を検出し、軽減するソリューションを実装する必要があります。
この要件を満たすソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A. 各 EC2 インスタンスにホストベースのファイアウォールとウイルス対策ソフトウェアをインストールします。AWS Systems Manager Run Command を使用して、ファイアウォールとウイルス対策ソフトウェアを更新します。
B. Amazon GuardDuty Malware Protection を使用して EC2 インスタンスをスキャンします。AWS Systems Manager Patch Manager を使用して、セキュリティパッチと更新を適用します。
C. EC2 インスタンスに Amazon CloudWatch エージェントをインストールし、詳細なログ記録を有効にします。Amazon EventBridge を使用して、ソフトウェアログで異常を確認します。
D. Amazon Inspector を使用して EC2 インスタンスをスキャンします。AWS Systems Manager Patch Manager を使用して、セキュリティパッチと更新を適用します。
■ 問題文の要件の概要
- EC2インスタンスにおける 脆弱性の検出 と リスクの軽減(修正) を行いたい。
- 脆弱性とは、CVE(共通脆弱性識別子)に該当するようなソフトウェアレベルの問題。
- 要件は「自動的なスキャンと修正対応」が求められる。
■ 正解の選択肢と解説
✅ D. Amazon Inspector を使用して EC2 インスタンスをスキャンします。AWS Systems Manager Patch Manager を使用して、セキュリティパッチと更新を適用します。
解説:
- Amazon Inspector は EC2 インスタンスの脆弱性(例:未修正のパッケージやCVE)を自動スキャンし、重大度付きで検出。
- Patch Manager はその脆弱性を修正するためのパッチ適用(OSパッチ、アプリケーションパッチ)を自動化できる。
- この組み合わせにより、検出 → 軽減(修正) までを AWS ネイティブで一元管理 できる。
- これが最も「要件を満たすソリューション」として適切。
■ 不正解の選択肢の理由
| 選択肢 | 理由 |
|---|---|
| A | ウイルス対策やファイアウォールでは、脆弱性(CVE)を検出・管理できない。Run Command はスキャン機能もない。 |
| B | GuardDuty Malware Protection はマルウェア検出目的で、CVEベースの脆弱性スキャンは行わない。 |
| C | CloudWatch + EventBridge はログ監視/イベント駆動の仕組みで、脆弱性スキャンや修正は対象外。 |
■ SCS試験で押さえておくべきポイント
- ✅ Amazon Inspector は CVE(Common Vulnerabilities and Exposures)に基づく脆弱性スキャンを行う。
- ✅ Patch Manager は脆弱性のあるパッケージやOSのパッチ適用を自動化できる。
- ✅ Amazon Inspector は 継続的スキャン・自動通知が可能。
- ❌ GuardDuty Malware Protection は脆弱性スキャンではなく、マルウェア検出に特化している。
- ✅ セキュリティ強化には「脆弱性検出 + 修正パッチ適用」という一連のプロセスを意識して選択すること。
この問題は、EC2のセキュリティ対策における自動化ツールの選定が問われています。SCS試験では、Inspector × Patch Managerの連携が頻出かつ重要なトピックです。しっかり使い分けを覚えておきましょう。
以下に 問題5 を指定フォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
あるセキュリティ管理者が会社のルートユーザーアカウントの機能を制限しています。同社は AWS Organizations を使用しており、すべての機能が有効になっています。管理アカウントは、請求および管理目的で使用されていますが、AWS リソースの運用には使用されていません。
セキュリティ管理者が組織全体のメンバーアカウントのルートユーザーアカウントの使用を制限する方法を選択してください。
■ 選択肢(文字列を編集せずに出力)
A. IAM ユーザーポリシーを設定して、各組織メンバーアカウントのルートアカウント機能を制限します。
B. Organizations に OU を作成し、ルートユーザーの使用を制御する SCP をアタッチします。すべてのメンバーアカウントを新しい OU に追加します。
C. AWS CloudTrail を設定して Amazon CloudWatch Logs と統合します。RootAccountUsage のメトリクスフィルターを作成します。
D. 組織ルートでルートユーザーアカウントの使用を無効にします。各組織メンバーアカウントのルートユーザーアカウントの多要素認証 (MFA) を有効にします。
■ 正解の選択肢と解説
✅ B. Organizations に OU を作成し、ルートユーザーの使用を制御する SCP をアタッチします。すべてのメンバーアカウントを新しい OU に追加します。
解説:
- SCP(Service Control Policy) は AWS Organizations の OU(組織単位)に適用可能で、アカウント全体、つまり IAM ユーザーやルートユーザーを含めたアクションを制限できます。
- SCP は
"aws:PrincipalArn": "arn:aws:iam::*:root"のような条件付きで、ルートユーザーの全操作を明示的に拒否できます。 - メンバーアカウントすべてを OU に追加し、その OU にこの SCP を付与すれば、組織全体でルートユーザーの操作を制限可能です。
■ 不正解の選択肢の理由
| 選択肢 | 理由 |
|---|---|
| A | IAM ポリシーは IAM ユーザーやロール向けのものであり、ルートユーザーには適用不可。制限できない。 |
| C | CloudTrail + CloudWatch は ルートユーザーの使用を監視はできても、制限はできない。目的を満たさない。 |
| D | ルートユーザーの使用を 完全に無効化する手段は存在しない。MFA は保護強化にはなるが、使用制限にはならない。 |
■ SCS試験で押さえておくべきポイント
- ✅ SCP は IAM ポリシーと異なり、ルートユーザーを含むアカウント全体のアクションを制御可能。
- ✅ ルートユーザー制限は
"aws:PrincipalArn": "arn:aws:iam::*:root"条件付きの SCP で実施。 - ✅ AWS Organizations の OU 単位で SCP を設計・管理することがベストプラクティス。
- ❌ IAM ポリシー、CloudTrail、MFA は制限目的では使えない(補助的な監視・保護手段)。
この問題は、AWS Organizations × SCP を用いたルートユーザー制御の代表的な問題です。
SCS試験では、SCPの適用対象・制御可能な主体(ルートユーザー含む)を明確に理解しておくことが重要です。
以下に 問題6 を指定フォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
ある企業は、Amazon CloudWatch Logs のロググループに保存されているデータを 90 日間保持する必要があります。企業は、この要件に準拠していないロググループの保持期間が検出された際に、AWS Security Hub で通知を受け取る必要があります。
この要件を満たす適切な通知を提供するソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A. ロググループの保持期間を評価する AWS Config マネージドルールを使用します。Security Hub で AWS Config 統合が有効になっていることを確認します。
B. ロググループの保持期間を評価するために、CloudWatch Logs でデータ保護ポリシーを作成します。
C. Security Hub の自動化ルールを作成し、ロググループの保持期間を評価するように設定します。
D. ロググループの保持期間を評価する Security Hub カスタムアクションを作成します。
■ 問題文の要件の概要
- CloudWatch Logs のロググループ保持期間が「90日」である必要がある。
- これに準拠していない場合に自動的に検出・通知が必要。
- 通知先は AWS Security Hub。
- 評価と通知は自動かつ継続的であることが求められている。
■ 正解の選択肢と解説
✅ A. ロググループの保持期間を評価する AWS Config マネージドルールを使用します。Security Hub で AWS Config 統合が有効になっていることを確認します。
解説:
- AWS Config のマネージドルール
cloudwatch-log-group-retention-period-checkを使えば、CloudWatch Logs のロググループが 指定した保持期間(例:90日)に準拠しているか を継続的に評価可能。 - AWS Config と Security Hub の統合を有効にすれば、非準拠検出時に Security Hub に Finding(検出結果)として通知される。
- これにより、要件である「保持期間違反の自動検出と Security Hub 通知」が実現される。
■ 不正解の選択肢の理由
| 選択肢 | 理由 |
|---|---|
| B | CloudWatch Logs の データ保護ポリシーは、ログ内容のマスキングや検出ルールの機能であり、保持期間の監視や評価には使えない。 |
| C | Security Hub の自動化ルールはFinding処理用。保持期間の評価自体はできない。評価の元になるFindingが必要。 |
| D | Security Hub のカスタムアクションは手動実行が基本。自動で評価・検出する用途には不向き。 |
■ SCS試験で押さえておくべきポイント
- ✅ AWS Config はリソースの構成準拠性を評価するサービス。マネージドルールの活用が基本。
- ✅ Security Hub と Config を統合すれば、非準拠のリソースをセキュリティ検出として集約可能。
- ❌ Security Hub は 評価機能を持たないため、CloudWatch Logs の保持期間のような構成チェックは Config で行う。
- ✅ Security 要件の通知連携には「Config → Security Hub」の流れを作るのが王道。
この問題は、構成管理(AWS Config)とセキュリティ通知(Security Hub)の統合活用を問う典型問題です。サービスの役割分担を正しく理解していれば迷わず正解にたどり着けます。
以下に 問題7 を指定フォーマットで整理・解説します。
■ 問題文(文字列を編集せずに出力)
ある企業は、Amazon CloudFront を使用して HTTP ライブストリーミング (HLS) でライブ動画コンテンツを有料加入者にストリーミングしています。HLS は動画コンテンツをチャンクに分割し、ユーザーが異なる条件に基づいて適切なチャンクをリクエストできるようにします。動画イベントは数時間続くため、動画全体は数千のチャンクで構成されています。
オリジン URL は公開されておらず、すべてのユーザーは CloudFront URL にアクセスする必要があります。同社は、有料ユーザーを内部リポジトリと発行済みの CloudFront キーペアに対して認証するウェブアプリケーションがあります。
コンテンツを保護する最もシンプルで効果的な方法を選択してください。
■ 選択肢(文字列を編集せずに出力)
A. CloudFront キーペアを使用して、ユーザーがコンテンツにアクセスするために使用する署名付き Cookie を設定するアプリケーションを開発します。
B. Lambda@Edge がコンテンツへのアクセスを認証および承認するために受け取るセキュリティトークンを発行するアプリケーションを開発します。
C. CloudFront キーペアを使用して、ユーザーがコンテンツにアクセスするために使用する署名付き URL を作成するアプリケーションを開発します。
D. CloudFront の URL をアプリケーション内で暗号化し、ユーザーが認証された後に AWS KMS を使用してリアルタイムで URL を復号します。
■ 問題文の要件の概要
- HLS 形式で数千のチャンクに分割された動画コンテンツを配信。
- 全ユーザーは CloudFront 経由でアクセス。
- 内部認証済みユーザーのみが視聴可能。
- 最もシンプルかつ効果的な保護手段を求めている。
■ 正解の選択肢と解説
✅ A. CloudFront キーペアを使用して、ユーザーがコンテンツにアクセスするために使用する署名付き Cookie を設定するアプリケーションを開発します。
解説:
- HLS 動画は数千の小さなチャンクファイルから構成されるため、リクエストごとに個別に署名を付与する署名付き URL では非効率。
- 一方、署名付き Cookie を使えば、一度発行された Cookie により複数のリソースに対してまとめてアクセス制御が可能。
- CloudFront の署名付き Cookie はユーザー認証後、全チャンクを一括で制御可能なため、配信効率・セキュリティ・実装の簡潔さのバランスが良い。
■ 不正解の選択肢の理由
| 選択肢 | 誤っている理由 |
|---|---|
| B | Lambda@Edge によるセキュリティトークンチェックは柔軟だが複雑でコストがかかる。HLSのように高頻度アクセスされるケースではオーバーヘッドが大きい。問題文の「シンプルで効果的」という要件に反する。 |
| C | 署名付き URL は単一または少数のオブジェクト配信に最適。HLS のように数千のチャンクを扱うケースでは、個別の署名が必要になり、管理が煩雑で非効率。 |
| D | CloudFront の URL をアプリケーションで暗号化・復号する設計は、不要に複雑でかつリアルタイムストリーミングには不向き。KMS をリアルタイムで使うのも非現実的。 |
■ SCS試験で押さえておくべきポイント
- ✅ CloudFront 署名付き Cookie vs URL の違いを理解:
- 署名付き URL:1つまたは少数ファイル対象。ダウンロード・単体動画に適する。
- 署名付き Cookie:HLS・多チャンク・ストリーミング向き。
- ✅ HLS 配信では Cookie によるアクセス制御が パフォーマンス・管理性・セキュリティの観点から最適。
- ✅ 「シンプル」「効果的」などのキーワードがある場合は、Lambda@Edge や複雑な KMS 操作は基本的に不正解。
この問題は、CloudFront のアクセス制御手段の選定に関する頻出テーマであり、署名付き Cookie の用途とメリットを理解しているかが問われます。SCS 試験では非常に重要な知識です。
