2021年3月にAWS認定セキュリティ専門(SCS-C01)に合格しましたので、合格を目指している方のご参考のために、私が行ってきた5つの学習をご紹介します。
バックグラウンドの違いなどで学習方法は千差万別だと思いますが、1つの参考にしていただければ幸いです。
バッググラウンド
プロフィールを見ていただくと分かりますが、2020年にクラウドプラクティショナー、ソリューションアーキテクトアソシエイト(SAA)を取得して、セキュリティ専門も3つ目の試験になります。
SAAが2020年9月、セキュリティ専門が2021年3月なので、半年ほど掛かっていますね。
ただ、業務繁忙等あったので、実際の学習は1か月半ほどでトータル50時間程度費やしたと思います。
業務ではほとんどAWS自体触らないのですが、会社から勉強用のIAMは発行してもらえているので、ちょこちょことマネジメントコンソールからいじって各サービスを確認できる環境がありました。
また、AWSの公式トレーニングも会社支援で受けることができたのはとてもラッキーでした。
気になる点数は以下です。
なお、セキュリティ専門は1000点満点中750点以上で合格です。
では、次から学習してきたことのご紹介になります!
学習①(AWS公式) 試験対策Eラーニング
まずはAWS公式の試験対策講座を見ることをお勧めします。
これを見ることでセキュリティ専門がターゲットとするカテゴリーやレベル感が分かります。
また、例題もあるので、どういうカテゴリーが苦手であるかが分かり、学習計画を立てる際の参考にもなります。
【Exam Readiness: AWS Certified Security – Specialty (Japanese)】
https://www.aws.training/Details/eLearning?id=45684
動画は英語版しかありませんが、日本語字幕が付いてます。
また、文章は日本語化されており、英語が苦手な人でも問題ないでしょう。
学習②AWSセキュリティ対策本
数多くのサイトで神本として紹介されている対策本です。
セキュリティ専門では2021年3月時点で唯一の対策本となっているので、どこから手を付ければいいか分からない人はひと通りこの本を読んで、苦手分野は次に紹介しているAWS公式のサービス別資料で知識を深める、というやり方が良いでしょう。
学習③(AWS公式) サービス別資料
サービスごとにスライド資料とYouTube動画が公開されています。
毎週開催されているオンラインセミナー(Black Belt Online Seminar)のアーカイブですね。
YouTubeは1つあたり1時間弱なので、苦手分野の学習には最適かと思います。
ただ、サービスによっては公開日が古いものがあり、実際に提供されているサービスとは制約事項等が異なる可能性がある点には注意が必要です。
学習④(AWS公式) 研修
3日間で21万(税別)の集合研修(コロナ禍においてはオンライン開催)です。
お金に余裕がある人や、会社の支援を受けれる人は最も効率的に学習できます。
Security Engineering on AWS (Japanese)
https://www.aws.training/Details/InstructorLedTraining?id=61092
認定試験対策用の研修ではないのですが、認定試験の求める学習レベルと同じところを目指す形になるので、実質的には試験対策としても非常に有用です。
私は受けるつもりはなかったのですが、タイミング的にたまたま会社支援で受講できることになったので参加しました(とてもラッキーでした)。
学習⑤自作メモ
とにかくサービスが多いのがクラウドの特徴です。
セキュリティは同じようなサービスも多く、馴染みがないサービスだらけだったりするので、少しでも理解を深めるためにも、自分用のメモを作って見返すようにしましょう。
私はGoogle Keepで以下のようなメモを作成してました。
これは私のメモで試験直前の状態のものですが、サービス名を記載しておくだけでも振り返りのきっかけになるので有用でした。
サービス名を聞いたときにすぐに実際のサービスを想像できるようにしておくことが大切です。
注意:このメモは私が実際に使っていたものですので、記載が誤っている可能性があります(誤りに気づいたら是非コメントで指摘ください)。また、実際の認定試験の出題とは無関係ですので、記載が多いところが試験に出る、とかそういうものではありません。記載が多い部分はあくまで私の苦手分野ということです。
■IAM
- AWSサービスやほかのサービスに権限を与えるのは基本的にIAMロール
■AD(AWS Managed Microsoft AD, Simple AD, AD Connector)
- オンプレのActive DirectoryのグループはIAMロールと紐づける
■Amazon Cognito
- IDプールサポートされているもの
- 開発者が認証したID
- OpenID (OIDC – Open ID Connect)
- SAML 2.0
■AWS Organizations
■AWS WAF
■AWS Shield
- DDoS攻撃対策
- Standardは無料(Advancedは有料)
- Standard:Cloud Front と Route 53の保護
- Advanced:EC2、ELBの保護
■AWS Firewall Manager
■Amazon Route 53
■Amazon Cloud Front
■Elastic Load Balancing (ALB/CLB, NLB)
- CLB/NLB/ALBはSSLの暗号解除の終端(SSLオフロード/SSLターミネーション)にできる
- SSLオフロードする際にAWS Certificate Managerから証明書を発行することができる
■AWS Auto Scaling
■Amazon API Gateway
■Amazon VPC(Virtual Private Cloud)
- VPCエンドポイントは2つ
- ゲートウェイVPCエンドポイント(S3とDynamoDBのみ)
- インタフェースVPCエンドポイント(VPCのENI[Elastic Network Interface]をPrivateLinkで対象サービスとリンクする)
- PrivateLinkはアプリケーションだけなど特定ポートのみの接続に適している
- VPC Peering はVPC同士を繋ぐのでVPC内のEC2はすべて繋がることになる
■Security Group
■AWS Artifact
■AWS KMS(Key Management Service)
- CMK(Customer Master Key), CDK(Customer Data Key)
- CMKは生成したリージョンでしか使えない
- CMKは3種類
- カスタマー管理[ローテ1年] SSE-KMS
- AWS管理[ローテ3年] SSE-S3など。キーポリシーの設定不可
- AWS所有[ローテなし]
- キーポリシーでKMSのキーを別アカウントに許可することは可能
- KMS許可:一時的なアクセス許可
■AWS Cloud HSM
■AWS Lambda
- 関数作成時に指定されたIAMロールに則って処理実行
■Amazon EBS(Elastic Block Store)
■Amazon RDS
■Amazon DynamoDB
■Amazon S3
- アクセス制御は3つ
- ユーザーポリシー(IAMポリシー)
- バケットポリシー[設定は20KBまで]
- アクセスコントロールリスト(ACL)
- Glacierのボールドロックは開始(Initiate)後24時間以内であれば停止(Abort)できる
- Access Analyzer(無料)を使って、意図しないアクセスができるようになっていないか確認ができる
■Amazon Athena
- S3に対してSQL発行
■AWS Secrets Manager, Parameter Store
■Amazon Cloud Watch
- (EC2) エージェントでCloud Watch Logs 登録
- (EC2) エージェントやスクリプトでカスタムメトリクスを登録
- Cloud Watch Insightで分析、検索、可視化
■AWS Cloud Trail
- アカウントの全操作ログを90日自動保存する
- 3種類ある
- 「管理イベント」(デフォルトON) マネコンへのログイン、EC2作成など
- 「データイベント」(デフォルトOFF) S3データ操作、Lambda実行など
- 「インサイトイベント」(デフォルトOFF) 異常なアクティビティ
- S3に保存する場合はデフォルトではSSE-S3で暗号化される(SSE-KMSを使うことも可能)
- 証跡を有効にすることで90日以上の保存や他アカウントのS3への書き込みが可能になる。
■AWS Config
- AWS Configで記録できるのはAWSリソースの設定内容の履歴とC2インスタンス、オンプレサーバのOS設定やアプリ設定
- 保存期間はデフォルト7年。保管先はS3。
- Configルールを使うことでAWSアカウント内の各設定がルールに準拠しているか確認できる
- アクセスキーの生成後の経過期間を検知することが可能だが最大90日まで
■AWS Systems Manager
■AWS Cloud Formation
■AWS Trusted Advisor
- コスト、パフォーマンス、セキュリティ、フォールトトレランス、サービスの5つの観点からチェックを実施する。
■AWS X-Ray
- AWSのサービス(EC2,ECS,Lambda,Beanstalk)間リクエストを収集する(オンプレは不可)
- 対象アプリにエージェントをインストールする必要がある
■Amazon Inspector
- EC2の脆弱性検知
- エージェントのインストールが必要(ネットワーク診断だけなら不要)
■VPC Flow Logs
- Cloud Watch Logs または S3 にログを保存
- VPC、サブネット、ENIの単位で作成が可能
■Amazon Quick Sight
- ログファイル等のグラフ化
■Amazon Kinesis
- Kinesis Family
- Kinesis Data Streams:データを処理・分析するカスタムアプリに最適
- Kinesis Data Firehose:AWSストレージサービスに保存する場合に最適
- Kinesis Data Analytics
- Kinesis Video Streams
- Kinesis Data FirehoseはElasticsearchへの連携機能がある。
■Amazon Elasticsearch Service
- オープンソースのRESTful分散検索/分析エンジン
■Amazon Macie
- S3上にある個人情報・機密情報をチェック
■Amazon Guard Duty
- Cloud Trail, VPC Flow Logs, DNS Logsがインプットとなる
- 不正やセキュリティイベントなどの脅威を検出
- 発生したイベントベース
- セキュリティの検知(セキュリティの調査はDetective)
■AWS Security Hub
■Amazon Detective
- 時系列に過去ログやセキュリティイベント情報をグラフで可視化
- セキュリティの調査(セキュリティの検知はGuard Duty)
- Guard Dutyが動いてる必要がある
- 情報の収集元はCloud Trail, VPC Flow Logs, Guard Dutyの3つ
■AWS Direct Connect
- デフォルトでは通信の暗号化はされない
■AWS Well Architected
- 5本の柱
- 運用の優秀性
- セキュリティ
- 可用性
- パフォーマンス効率
- コスト最適化
その他参考
ホワイトペーパーやWell Architectedの資料も余裕があれば見ておくとより理解が深まると思いますが、私は見ませんでした(見る余裕がありませんでした)。
AWSホワイトペーパーとガイド
https://aws.amazon.com/jp/whitepapers/
AWS Well-Architected
https://aws.amazon.com/jp/architecture/well-architected/
まとめ
セキュリティ専門は日常的に使うサービスではないものが多いので、サービス名から実際のサービスがイメージできるようになるのが第一の難関のように思います。
実際に使うとイメージが湧きやすいのですがOrganizationsが前提となっていたり、IAMの権限が必要だったりとすべてのサービスを試すのはなかなかハードルが高いです。
サービス名やキーワードを記したメモを日常的に見て記憶したり、サービス別資料などで深堀して理解していくことが認定試験合格への近道になります。
合格を目指している皆さんはぜひこの記事をご参考に頑張ってください!!
2023/12/28追記
freelance hub様にご紹介いただきました!是非こちらもご覧ください。
https://freelance-hub.jp/column/detail/416
「AWSをマスターしよう!勉強方法や認定資格の合格体験記まとめ」
2024/4/3追記
freelance hub様のTOPページのリンクも貼っておきます。
ご興味ある方は是非アクセスしてみてください。
https://freelance-hub.jp/project/
コメント
突然のご連絡失礼致します。
レバレジーズ株式会社の編集部です。
弊社のITフリーランス向け案件サイトにてヤマモト様のブログ記事を紹介させていただきたく、ご連絡いたしました。
詳細につきましては指定のメールアドレスまでご連絡できますと幸いです。ご検討の程何卒よろしくお願いいたします。
井樋様
ご連絡・ご対応ありがとうございます!
先ほど記事を更新し、リンクを貼らせていただきました。
今後ともよろしくお願いいたします。