Uncategorized

gaiyo

 

以下は AWS Certified Security – Specialty(SCS-C02 ※2025 版)の出題範囲を踏まえ、「このサービスならココを暗記!」という優先度の高いポイントをカテゴリ別にまとめたチートシートです。(★=最重要、☆=重要、△=余裕があれば)

1. アイデンティティ & アクセス管理

サービス優先度最低限暗記すべきポイントひっかけ/試験トラップ
IAM最小権限、ポリシー評価ロジック(明示Denyが最優先)/インライン vs 管理ポリシーAWS-managed policyは更新されうる=監査時はJSON確認
IAM Identity Center (旧AWS SSO)SCIM or 手動同期でフェデレーション/Permission Setsは一括ロール生成/2025-07-14以降 CloudTrail イベント簡素化 (aws.amazon.com)古い「sso-directory-*」イベント名は廃止予定
STS連携API(AssumeRole、AssumeRoleWithSAML/OIDC、GetSessionToken)と有効期限上限(最大12 h/例外=OIDCは1 h)CLI --duration-seconds が長過ぎて失敗
Resource Access Manager (RAM)Cross-account VPC Subnet、Route 53 Resolver rule共有RAM 共有≠Organizations SCP
AWS Organizations & SCPDeny優先/ポリシーはOU階層継承/サービス制御ポリシーはRootでも無効化可アカウントリミットではなくOU単位の適用漏れ
Verified Accessユーザ+デバイス強制でゼロトラストアクセス/IdP統合はOIDC必須/ALBやVPN不要 (aws.amazon.com)通信経路はVPCエンドポイントのみ=インターネット経由不可
Amazon Cognitoユーザプール⇔IDプール連携/トークン署名はRS256MFA必須設定はユーザプール側

2. データ保護 & 暗号化

サービス優先度最低限暗記すべきポイントひっかけ/試験トラップ
KMSCMK種別(対称/非対称/ハイブリッド)/Grant vs IAM policy/自動ローテ=365日Grants は「CreateGrant」でリアルタイム委譲;削除はRetireGrant/RevokeGrant
CloudHSMFIPS 140-2 Level 3/キー脱出可/JCE, PKCS#11CloudHSM と KMS custom key-store の違い混同
ACMパブリック証明書自動更新(LB, CF)/プライベートCAは別サービスACM = TLS in-flight、S3暗号化とは無関係
S3暗号化オプション(S3-managed[AES256], SSE-KMS, SSE-C)/Block Public Access(BPA)KMS暗号化時はkms:EncryptionContext:aws:s3:arn条件
EBS暗号化スナップショットは暗号化AMIへ継承/暗号化コピー時に新KMSキー指定可別アカウント転送→再暗号化要
RDS暗号化は作成時のみ/スナップショット共有は暗号なしor同KMSマルチAZ自動フェイルで暗号キー共有
DynamoDBSSE-enabled by default (2023以降)/KMS key変更はReEncrypt不要DAXキャッシュは平文

3. ネットワーク & 境界防御

サービス優先度最低限暗記すべきポイントひっかけ/試験トラップ
VPCSG=stateful/instance‐level、NACL=stateless/subnet‐level/VPC Flow Logsはアウト/イン転送の前後SG自己参照sg-*はリージョン限定
VPC EndpointsGateway(Egress S3/Dynamo) vs Interface(PrivateLink)/エンドポイントポリシー出力方向時にSGを忘れる
VPC Lattice共有サービスネットワーク/IAM Auth or Passthrough/L7-RBAC制御 (docs.aws.amazon.com)ENIは自動配置→SG管理必須
AWS Network FirewallSuricata互換ルール/状態保持ルールグループTGWで中央集約時はRoute Table設定
AWS WAFWebACL → Resource(LB, CloudFront, API GW)/Rate-based Rule (固定5分Window)aws:SourceIp CIDR制限はWAFではなくLB側SG
Shield AdvancedL3-4 + L7 DDoS保護/AWS DDoS Response TeamGlobal Accelerator含む
Firewall ManagerWAF/SG/BPA集中管理/Org全体デプロイ先リージョン制限

4. モニタリング & 検知

サービス優先度最低限暗記すべきポイントひっかけ/試験トラップ
CloudTrail管理Planeデフォルト/データPlaneは明示/組織Trail/証跡改ざん検出(KMS, CloudWatch Logsまで暗号)Lambda DataEvent未有効で見落とし
GuardDutyVPC Flow/S3 DataPlane/DNSログでML検知/Protection Plan=全リージョン必須“Finding type = Recon:IntRecon”=攻撃予兆
Security HubCIS Benchmark, PCI-DSS標準/Security Hub -> FMS AutoRemediation支払いは集計件数ではなくFindings
Amazon DetectiveGuardDuty/Security Hubから関連性グラフアカウントリージョン単位有効化
CloudWatchAlarms + Metric Filters で CloudTrailログ検知KMSログ暗号化はLogs側

5. ガバナンス・コンプライアンス & インシデント対応

サービス優先度最低限暗記すべきポイントひっかけ/試験トラップ
AWS Config記録対象=リージョン毎/Conformance Pack/Aggregate Viewオーガナイゼーション連携=Trusted Access要
AWS Audit Manager自動証跡マッピング→証拠保管Control取込は手動
AWS BackupVault vs Plan/Cross-Region(CR)コピーでKMS切替DynamoDB‐PITRとは別
Incident ManagerOpsCenter, PagerDuty統合/Automatic Incident Creation (CloudWatch, SHub)SSM OpsItem と混同注意
Control TowerGuardrails (強制/通知)/Landing Zone新規アカウントはAccount Factory経由

使い方と覚え方のヒント

  1. 「優先度★」は満点必須
    公式模擬試験でも7割以上がこれらから出題されます。
  2. ポリシー⇔実行ロール⇔ログの流れを一筆書きでメモすると横断学習になります。
    例:CloudTrail → S3/KMS → CloudWatch Logs → Metric Filter → SNS。
  3. 新サービス・名称変更は出題されやすい
    例:IAM Identity Centerイベント名の整理、Verified Access や VPC Lattice のゼロトラスト機能。 これらは re:Invent 2024 以降のトピックとして要注意です。(aws.amazon.com, aws.amazon.com, docs.aws.amazon.com)
  4. 暗号化は“KMS か否か”でまず分類
    ほとんどのストレージ系サービスは「デフォルトSSE・KMS選択可」というパターン。例外(EMR OSS暗号や DAX 等)を覚えて差分で対策。

仕上げアクション

  • 公式 Exam Guide SCS-C02 のドメインをこの表にマッピングし、空白があれば追記。
  • Black-belt動画(とくに GuardDuty、Security Hub、KMS)は倍速で再視聴して論点を上書き。
  • 過去問演習では「なぜ他の選択肢が誤りか」をこの表の“トラップ列”と照合してみてください。

これを紙1枚に印刷して机の前に貼れば、最後の追い込みに役立ちます。健闘を祈ります!

RELATED POST