どうも。くれとむです。
2023年7月17日にAWS認定セキュリティ-専門知識(SCS-C02)をスコア826で合格することができました。
- IT系の保有資格:AWS認定(CPP、SAA、DVA、SOA、SAP、DOP、ANS、SCS(New!))、基本情報技術者
- 経歴:SE 3年目
- AWS使用歴:システム構成検討、環境構築を6ヶ月ほど
SCSの新形式であるC02は、2023年7月から適用されたので、2023年7月時点ではあまり新形式対応の教材や問題集は揃っていません。
とは言っても、試験対象のサービスが大幅に増えたというよりは、出題分野の割合が変わったという感じです。
- 受験区分:SCS-C02
- 勉強期間:3週間(41時間)
- 試験対策:参考書、Udemy教材、AWS WEB問題集、AWS Blackbeltの活用、ChatGPTなど
本記事では、SCS-C02の概要と合格するための試験対策、勉強時間などをお伝えします。
これからSCS試験を受ける方の参考になれば幸いです。
Contents
Security – Specialty(SCS)とは?
AWS 認定セキュリティ – 専門知識では、AWS クラウドにおけるセキュリティソリューションの作成と実装に関する知識を認定します。この認定では、専門的なデータ分類と AWS のデータ保護メカニズム、データ暗号化方法とそれらを実装するための AWS メカニズム、および安全なインターネットプロトコルとそれらを実装するための AWS メカニズムについての理解も検証されます。
本試験の受験対象 / AWS認定Security- Specialtyサイトより
セキュリティの専門知識では、KMSによる暗号化や、GuardDuty、CloudTrail、AWS WAFなどのサービスが出題範囲だよ。
暗号化とかは目に見えにくいところだから、業務で携わっていなかったら最初はイメージをつけるのに苦労しそうだね。
SCSは他のプロフェッショナル試験や専門知識試験と比べると、易しい方だと感じました。
実際に受験してみて感じた難易度は、SAP=ANS > MLS > DOP > DAS > SCS > PAS >DBS > SOA > SAA > DVA > CLFという感じでした。
試験概要
- レベル: 専門知識
- 時間: 170 分
- 受験料: 40,000円(2024/4/1から適用)
- 形式: 選択式問題(65問)
- テスト方法: Pearson VUE テストセンターまたはオンライン監督付き試験
試験時間は170分で、問題数は65問です。
参考書、Black Belt資料、AWS公式ドキュメントなどで各サービスの重要ポイントを把握しつつ、Web問題を解きまくって、問題文の形式を覚えるのが一番の合格への近道だと思います。
試験範囲
以下のAWS公式サイトのSCS試験範囲から、ポイントを抜粋します。
AWS Certified Security – Specialty
各分野のパーセンテージは以下のようになっています。
| 第1分野 | 脅威検出とインシデント対応 | 14% |
| 第2分野 | セキュリティロギングとモニタリング | 18% |
| 第3分野 | インフラストラクチャのセキュリティ | 20% |
| 第4分野 | Identity and Access Management | 16% |
| 第5分野 | データ保護 | 18% |
| 第6分野 | 管理とセキュリティガバナンス | 14% |
この試験では、受験者が AWS プラットフォームのセキュリティ保護に関する知識を効果的に示すことができるか試される。
- 専門的なデータ分類と AWS のデータ保護メカニズムについて理解していること
→Amazon Secrets, AWS Systems Mangerの違いやS3バケットポリシーについて理解していること - データ暗号化方式と、それを実装するための AWS のメカニズムを理解していること
→KMS(カスタマーキー、AWSカスタマーキー、AWS管理キーなど)、SSE-S3, SSE-C , SSE-KMSの違い、について理解していること - セキュアなインターネットプロトコルと、それを実装するための AWS のメカニズムを理解していること
→AWS WAF、ADFS、AWS Managed Microsoft AD、AWS IAM Identity Center (AWS Single Sign-On)、Amazon Cognitoなどについて理解していること - AWS のセキュリティサービスと、安全な本番環境の提供のために使用するサービスの機能について実践的な知識を備えていること
→AWS CloudTrail、AWS Config、Lambda、Systems Mangerの自動修復機能、EC2が侵害された時の対応方法について理解していること。 - AWS のセキュリティサービスと機能を使った本番環境をデプロイしてきた 2 年以上の経験から得られたコンピテンシーを身に付けていること
- 一連のアプリケーション要件を満たすために、複雑なコスト、セキュリティ、デプロイに関してトレードオフを判断する能力があること
- セキュリティの運用とリスクについて理解していること
試験のガイドラインには、「セキュリティソリューションの設計と実装の分野で 3~5 年相当の経験が必要です。 また、AWS ワークロードのセキュリティ保護の分野で 2 年以上の実務経験が必要です。」との記載がありますが、2年以上の実務経験がなくても受験は可能です。
- マネジメントとガバナンス:
- AWS Audit Manager
- AWS CloudTrail
- Amazon CloudWatch
- AWS Config
- AWS Organizations
- AWS Systems Manager
- AWS Trusted Advisor
- ネットワークとコンテンツ配信:
- Amazon Detective
- AWS Firewall Manager
- AWS Network Firewall
- AWS Security Hub
- AWS Shield
- Amazon VPC
- VPC エンドポイント
- ネットワーク ACL
- セキュリティグループ
- Network Access Analyzer
- AWS WAF
- セキュリティ、アイデンティティ、コンプライアンス:
- AWS Certificate Manager (ACM)
- AWS CloudHSM
- AWS Directory Service
- Amazon GuardDuty
- AWS Identity and Access Management (IAM)
- Amazon Inspector
- AWS Key Management Service (AWS KMS)
- Amazon Macie
- AWS Single Sign-On
旧形式(C01)と新形式(C02)の違いは?
- 試験分野・割合が変更された
(第6分野に管理とセキュリティガバナンス(14%)が追加) - Network Access Analyzer が試験範囲のサービスに追加された
C01からC02の違いとしては、試験分野・割合が変更されたというのが主な変更点です。
具体的には、以下のように試験配分が変更されました。
| セクション | 新試験(SCS-C02) | 割合 | 旧試験(SCS-C01) | 割合 |
| 1 | 脅威検出とインシデント対応 | 14% | インシデントへの対応 | 12% |
| 2 | セキュリティロギングとモニタリング | 18% | ログ記録とモニタリング | 20% |
| 3 | インフラストラクチャのセキュリティ | 20% | インフラストラクチャのセキュリティ | 26% |
| 4 | Identity and Access Management | 16% | アイデンティティ管理とアクセス管理 | 20% |
| 5 | データ保護 | 18% | データ保護 | 22% |
| 6 | 管理とセキュリティガバナンス | 14% | – |
2つ目の変更点は、試験範囲にNetwork Access Analyzer が追加されたということで。
(Network Access Analyzerとは、AWS上のお客様のリソースへの意図しないネットワークアクセスを特定する機能です。)
SCSの勉強時間は?
SCSの学習に使った時間は、 約41時間 でした。
(スマホアプリで勉強時間を測っていました。)
勉強時間配分に関しては大体以下の感じです。
Udemyでの講座受講と問題集を解くのに多くの時間を使いました。
| 学習教材 | 勉強時間の配分 |
| Udemy(講義) | 15時間 |
| Udemy(問題集) | 3時間 |
| Web問題集 | 13時間 |
| 参考書 | 3時間 |
| メモ帳整理&確認 | 2時間 |
| BlackBelt | 5時間 |
| 合計 | 41時間 |
SCSの勉強方法
SCSの試験勉強にあたっては、以下のような方法を実施しました。
- SCSの参考書を読む
- Udemy教材を活用
(英語版のみ) - Tech StockのWEB問題集を解く
- YoutubeでAWS BlackBeltの動画視聴
- メモ帳にまとめる
- ChatGPTに分からないことを聞く
SCSの参考書を読む
試験範囲のサービス概要や、必要なアーキテクチャが体系的に学べるのが本書の良い点です。
これだけで試験に合格することは難しいですが、基礎を固めには有効だと思いました。
本書での学習に加えて、AWS WEB問題集を解くことをオススメします。
Web問題集でわからなかったことや、サービス概要を定期的に見返すのに本書を使うのが良いと思います。
なお新形式(C02)と旧形式(C01)の主な違いは、試験分野の配分が変わったことなので、新形式、旧形式といったことを意識して勉強する必要はないと個人的には思います。
Udemy教材を活用
Udemyで以下2つの教材を活用しました。
Udemyは月に2,3度セールがあり、2,000〜3,000円ほどで購入可能なので、セールのタイミングを狙って購入することをオススメします。
SCSで出題される各サービス概要を網羅的に学ぶことができる講座です。
サービス数が非常に多いにも関わらず、重要ポイントが簡潔にまとめられおり、
15.5時間の動画にSCS合格のためのエッセンスがぎゅっと凝縮されています。
残念ながら、こちらの教材は英語です(日本語の自動字幕あり)。
しかしスライドは図が多くて分かりやすいかつ、日本語の自動字幕もあります。
特に英語に苦手意識がない方にはおすすめします。
SCSの模擬問題を100問解くことができます。
こちらの教材も英語の問題集ですが、Chromeの日本語翻訳機能を使えば、
日本語で問題を解いて解説を見ることができます。
(日本語が不自然に翻訳されることもありますが、本番の問題でも不自然な日本語は多々あるので、良い練習だと思って解いてみてください。)
- UdemyのSCS対策講座は英語(日本語の自動字幕あり)
(英語の問題集は、Chromeで日本語翻訳をすると学習しやすいのでオススメ。) - 出題範囲のサービスの重要ポイントが網羅されている
- セール中に購入すれば、2,000〜3,000円ほどで購入可能
Tech StockのWEB問題集を解く
TechStock|AWS WEB問題集で学習しよう
このサイトでは、SCSの模擬問題を430問以上解くことができます。
有料ではありますが、問題数が多く問題自体の質と解説のクオリティも高いため、合格に向けた事前学習には欠かせないと思います。
SCSを含めた専門知識の問題はプロフェッショナルプランに加入することで解くことができます。
4,580円(税込)で90日間の利用が可能です。
- SCSの模擬問題は430問以上
- SCSの問題を解くためには、プロフェッショナルプラン加入が必要
YoutubeでAWS BlackBeltの動画をみる。
Youtubeに投稿されているBlackBeltの動画を見ることもおすすめします。
各サービスごとに大体40分くらい動画で要点が分かりやすくまとめられています。
分かりやすい動画ばかりなので、AWS概要を学ぶにはもってこいです。
通常速度だと時間がかかりすぎるので、1,25倍〜1,5倍速にして動画視聴していました。
- AWS Trusted Advisor
- Amazon Inspector
- Amazon GuardDuty Malware Protection
- Amazon Detective
- Amazon Macie
- Amazon Cognito
- AWS Managed Microsoft AD
- AWSアカウント シングルサインオンの設計と運用
自分なりのメモ帳に要点をまとめる
Web問題集で何回も間違えるところや問題でよく出てくるパターン、
ノートでもメモ帳でもなんでも良いので自分なりにメモしておくことをおすすめします。
(例:「SCPはPrincipalとNotPrincipal、NotResourceをサポートしていない」など)
自分で書いたものを試験直前に見返すことで、自分がどこでつまづきやすいのか
覚えられないところはどこなのかを再確認することができます。
僕が試験用に作成したSCSメモ帳 → AWS SCS学習メモ,pdf
ChatGPTに分からないことを質問する
ChatGPTに分からないことを聞くという勉強方法が非常にお勧めです。
今までは疑問に思ったことを調べるにしても、Googleキーワード検索だと中々自分の知りたい情報が見つからないという苦労もありました。
ChatGPGに聞けば、自分の知りたいことを分かりやすくかつ的確に教えてくれます。
(Yahoo知恵袋で聞くような内容が、一瞬で返ってくるようなイメージです。)
SAMLとOpen ID Connectとは?
SAML(Security Assertion Markup Language)とOpenID Connectは、どちらもウェブベースのシングルサインオン(SSO)プロトコルですが、異なる目的と使用方法を持っています。
SAMLは、企業や組織間での信頼関係を確立し、ユーザーの認証および認可情報をセキュアに共有するためのプロトコルです。SAMLでは、認証元となるサービスプロバイダ(SP)と認証情報を持つユーザーを認証するIDプロバイダ(IdP)の間で情報のやり取りが行われます。ユーザーはIdPに対して認証を行い、認証が成功した場合、IdPは署名されたSAMLトークンを生成してSPに送信します。SPは受け取ったトークンを検証し、ユーザーを認証および認可します。
・・・
たまに嘘の情報を教えてくることもありますが、自身の知りたいことを文章ベースで調べることができるのは、非常に助かります。
正直、ChatGPTなしの勉強はもう考えられないくらい重宝していました。
(僕自身は、3,500円/月の有料プランでGPT-4を使用していますがGPT-3.5でも十分使えるレベルだと思います。)
SCSを取得すると何が良いの?
SCSを取得することで、どのような良いことがあるのでしょうか。
セキュリティ関連のサービスが体系的に学べる
SCSの学習を通じて、セキュリティ関連のAWSのサービスが体系的に学べます。
よく混同しがちなところで言うと、AWS Trusted Advisor、Amazon GuardDuty、Amazon Detective、AWS Inspector、Amazon Macie、Amazon CloudTrail、AWS Security Hubなどの違いやユースケースなども理解できるようになります。
僕自身もSCSの勉強を行う前は、上記のサービスについて違いがあまり分かっていませんでした。
しかしSCSの学習を行う中で、それぞれの特徴について体系的に学ぶことができました。
その他にも、クロスアカウントのアクセスロールやフェデレーションIAMロール、Amazon Cognito、AWS Managed Microsoft AD、AD Connector、Simple ADなどの概念も学ぶことができます。(この辺りのサービスを理解するのが特に難しいと感じました。。)
セキュリティ面を考慮したAWS構成を理解できる
SCSにおいてセキュリティを向上させるためのAWS構成を理解できるようになります。
例えば、CloudFront、ALBをAWS WAFと連携して、DDoS攻撃のソースとなるIPアドレスを自動的にブロックする構成や、Amazon Config&EventBridge&Lambda組み合わせて標準設定変更を自動修正する構成などを理解できるようになります。
逆に言えば、AWS WAFによるIPアドレス検査を行っていない場合は、「この構成でセキュリティ面での担保は取れているのか?」などの判断ができるようになります。
一般的なセキュリティの知識も身に付く
SCSの試験勉強を通じて、一般的なセキュリティ関係の知識も身につけることができます。
例えば、SSH接続やSSL/TLSによる暗号化、証明書作成、暗号化キーによる暗号化(対称暗号化、非対称暗号化、エンベロープ暗号化など)、IdP、SSO、アイデンティティストア、WAF、DDoS、クロスサイトスクリプティングなどです。
各サービスについて調べていくうちに、上記のようなセキュリティ用語がたくさん出てきます。
それらの用語について理解を進める中で、AWSに限らない一般的なセキュリティ知識も蓄えることができました。
まとめ
今回、AWS認定Security – Specialty(SCS-C02)に合格しましたが、正直、具体的な中身の処理は理解できていないところが多いです。(特にCognitoのユーザープール、IDプールなどの仕組みやKMSによるキーマテリアルの置換、IdPの設定方法など)
セキュリティサービスの中身を机上のみで理解するのは非常に難しと感じました。
実際に使える知識にするためには、やはり実務での経験が非常に大切だと感じました。
ただ、SCSの試験に合格すると言うことに焦点を当てた場合は、AWS認定試験の中でも合格自体はしやすい方だと感じました。
逆に言えば、完全に理解していなくても合格できてしまうので、しっかりと実力を身につけたい場合は、試験に合格して学習を終わるのではなく、自己啓発(実務に携われる方は実務で)などを通して、さらに実践的なセキュリティの知識を身につけていくことが大切だと感じました。
最後まで見ていただきありがとうございました!
