小西秀和です。
この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 セキュリティ – 専門知識(AWS Certified Security – Specialty)」に特化した形で紹介するものです。
重複する内容については省略していますので、併せて元記事も御覧ください。
また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。
ALL | Networking | Security | Database | Analytics | ML | SAP on AWS | Alexa |
---|---|---|---|---|---|---|---|
DevOps | Developer | SysOps | SA Pro | SA Associate | Cloud Practitioner |
「AWS 認定 セキュリティ – 専門知識」とは
「AWS 認定 セキュリティ – 専門知識(AWS Certified Security – Specialty)」は一言で言えばAWSプラットフォームのセキュリティ保護をAWSサービスを活用して設計・構築・運用ができる専門知識を検証する認定と言えるでしょう。
セキュリティに関するAWS Ramp-Up GuidesではAWS Cloud Practitioner Essentialsの学習リソースが記載されているため、「AWS 認定 クラウドプラクティショナー(AWS Certified Cloud Practitioner)」を先に取得するのもよいかもしれません。
また、後述の『「AWS 認定 セキュリティ – 専門知識」の学習方法』で紹介している「試験ガイド」や「Exam Readiness」を確認していただければわかると思いますが、学習しておくべきAWSサービスは「セキュリティ」に関連するサービス全般にわたります。
そして、多くのAWSサービスの特徴を理解した上で、さらに高度なセキュリティ環境を実現するソリューションやトラブルシューティングの知識が必要とされるため数あるAWS認定の中でも難易度の高い認定です。
「AWS 認定 セキュリティ – 専門知識」の学習方法
この認定に関係しているAWSの関連カテゴリと主要AWSサービスには以下のものが挙げられます。
【関連カテゴリ】:「セキュリティ、アイデンティティ、コンプライアンス」「マネジメントとガバナンス」など
【主要AWSサービス】:EC2、S3、S3 Glacier、IAM、Artifact、Cognito、Directory Service、GuardDuty、Inspector、Macie、Secrets Manager、Security Hub、Shield、SSO、WAF、CloudHSM、KMS、Certificate Manager、CloudTrail、CloudWatch、Config、Health、Organizations、Systems Manager、CloudFront、Direct Connect、VPC、Athena、Kinesis、SESなど
学習順 | 学習リソース | 学習リソースの活用ポイント | 費用(税別) |
---|---|---|---|
随時 | AWSドキュメント | AWSドキュメントのうち上記に挙げた【関連カテゴリ】および【主要AWSサービス】に関係するものを中心に読みます。ただし、量が膨大なため以降の順番の中で辞書的に使用して、最後に受験まで余裕があったら学習過程で気づいた重要部分やサービス間連携する機能から優先的に熟読するという使い方をしています。 | 無料 |
随時 | AWS認定対策本 | 受験するAWS認定の対策本が出版されていれば、その本から学習していくことも効率的な方法だと思います。私の場合は受験当時に対策本があまり無かったため、使用する機会がありませんでした。 現在は私の同僚達が執筆した「AWS 認定 セキュリティ – 専門知識」の対策本も出版されています。 |
2,000円~4,000円程度 |
随時 | 検索エンジンでキーワード検索 | 後述の学習リソースでわからなかったキーワードや内容を随時、検索エンジンで検索して出てきたブログなどを参考にします。特に日本語だけではなく英語で検索することは日本語サイトにはまだ掲載が少ない情報を英語圏のサイトから得ることで理解を深めることができるためおすすめです。 | 無料 |
1 | 試験ガイド | 試験ガイドで受験するAWS認定の試験範囲とどのような内容が出題されるかを把握します。 | 無料 |
2 | サンプル問題 | 試験ガイドとセットで掲載されているサンプル問題を解いて、出題傾向を把握します。 | 無料 |
3 | AWS Skill Builder(Exam Readiness(試験準備)) | Exam Readinessは試験準備のための要点がまとめられているデジタルトレーニングです。該当するAWS認定に関連するAWSサービスや出題傾向をここで把握します。「AWS 認定 セキュリティ – 専門知識」にもExam Readinessはあるため受けてみることをおすすめします。 | 無料 |
4 | AWSサービス別資料 | AWS Black Belt Online Seminarの資料が中心に掲載されており、重要ポイントが非常によくまとめられています。上記に挙げた【関連カテゴリ】および【主要AWSサービス】に関係する資料内の知識は受験前に最低限インプットしておきます。 | 無料 |
5 | AWS ナレッジセンター | AWSのユーザーから最も頻繁に寄せられる質問と要望に対する回答がまとめられているため、AWS認定は勿論のこと実務でも非常に参考になります。上記に挙げた【関連カテゴリ】および【主要AWSサービス】に関係するQ&Aの知識は受験前に最低限インプットしておきます。 | 無料 |
6 | AWS Skill Builder(AWS Certification Official Practice Question Sets(模擬試験)) | 受験するAWS認定の出題傾向や重要点を確認できるため、試験直前の腕試しではなく可能な限り早い段階で受けることをおすすめします。受験する分野の既存知識があれば最初に受けても良いと思います。模擬試験はAWS Skill Builderに移行されてからは受験料が無料になりました。 | 無料 |
7 | AWS Skill Builder(Learning plans) | Learning plansはデジタルトレーニングを分野ごとにまとめた学習プランです。「AWS 認定 セキュリティ – 専門知識」に関連する「Security Learning Plan」で学習をすすめると効率的でしょう。 | 無料 |
8 | AWS Skill Builder(Introduction、Primer、Deep Dive) | 各サービス毎にIntroduction、Primer、Deep Diveといったデジタルトレーニングが用意されている場合があります。私は自分が詳しく知らないAWSサービスを検索して存在すれば受けるようにしていました。 | 無料 |
9 | よくある質問 | 各サービス毎に用意されている「よくある質問」も一般的なQ&Aが記載されています。AWSナレッジセンターが実践的なQ&Aであるのに対して、基礎知識の整理と確認に有用です。上記に挙げた【関連カテゴリ】および【主要AWSサービス】に関係するQ&Aを中心に読んでいきます。 | 無料 |
10 | AWS Blog日本語版(Category: Security, Identity, & Compliance) | 受験するAWS認定に関連するサービスの記事を中心に問題解決方法、アーキテクチャ、事例、認定が新設・改定される前にリリースされた機能追加について情報収集をします。AWS認定だけではなく業務でも有用なので定期的に読む習慣をつけると良いと思います。 | 無料 |
11 | AWS Blog英語版(AWS Security Blog) | 英語版は「セキュリティ、アイデンティティ、コンプライアンス」分野のカテゴリに特化した「AWS Security Blog」があるため、問題解決方法、アーキテクチャ、事例、認定が新設・改定される前にリリースされた機能追加の内容を中心に読んでおきます。 | 無料 |
12 | AWS Events Content | 過去のAWS Summitやre:Inventの資料などを検索して、受験するAWS認定に関連するサービスを学習します。特にre:InventのBreakout Sessionなどのセッションで説明されている内容は参考になります。 | 無料 |
参考:
AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ
AWS Blog
Welcome to AWS Documentation
Tech Blog with related articles referenced
「AWS 認定 セキュリティ – 専門知識」の学習過程で重要だと思った点
ここからは私が「AWS 認定 セキュリティ – 専門知識」の学習過程でAWS認定のみならず実務的にも重要だと思った点をまとめてみます。
ただし、重要だと思う点に個人差があること、この記事の執筆時に思い出せず書き忘れがある可能性もあることをご了承ください。
Amazon EC2
- Classic Load Balancer、Network Load BalancerのTCPプロトコルを使用したインスタンスでのSSL/TLSの終端(エンドツーエンド暗号化)
https://aws.amazon.com/jp/blogs/compute/maintaining-transport-layer-security-all-the-way-to-your-container-using-the-network-load-balancer-with-amazon-ecs/ - Application Load BalancerのセキュリティポリシーによるSSL/TLS暗号化プロトコルの指定
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/application/create-https-listener.html#describe-ssl-policies - NAT GatewayとElastic Load Balancingの基本的な構成(パブリックサブネットに配置するユースケース)
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Scenario2.html
https://www.slideshare.net/AmazonWebServicesJapan/20191029-aws-black-belt-online-seminar-elastic-load-balancing-elb - Amazon EC2インスタンスでの~/.ssh/authorized_keysファイルのメンテナンス
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-key-pairs.html
Amazon S3
- Amazon S3 VPCエンドポイントの使い方
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-endpoints-s3.html - Amazon S3のプロキシサーバーを使用したアクセス
https://www.slideshare.net/AmazonWebServicesJapan/20180731-aws-black-belt-online-seminar-amazon-s3 - Amazon S3のセキュリティベストプラクティス(保管時と転送中のデータ暗号化など)
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/security-best-practices.html
Amazon S3 Glacier
- ボールトロックポリシーに不具合がある場合にはロックを停止して最初から再開する。
https://docs.aws.amazon.com/ja_jp/amazonglacier/latest/dev/vault-lock.html
https://docs.aws.amazon.com/ja_jp/amazonglacier/latest/dev/api-AbortVaultLock.html
AWS IAM
- IAMポリシーの基本的な概念、見方、記述方法の理解
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_examples.html - IAMロールのスイッチによるクロスアカウントアクセス
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html - Microsoft Active Directoryを使用したフェデレーションでIAMロールを使用してAWSリソース権限を設定する。
https://aws.amazon.com/blogs/security/how-to-establish-federated-access-to-your-aws-resources-by-using-active-directory-user-attributes/ - AWSリソースへのアクセス権を第三者に付与する場合の外部IDを使用したクロスアカウントロール
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html - IAMユーザーの認証情報レポートの取得
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_getting-report.html - アクセスキーを管理するためのベストプラクティスとIAMユーザーのアクセスキー管理(アクセスキーの更新方法など)
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html
AWS Artifact
- AWS Artifactの概要
https://aws.amazon.com/jp/artifact/faq/
Amazon Cognito
- ウェブIDフェデレーションでAmazon Cognitoを使用するパターンと使用しないパターン(既存のウェブIDフェデレーションアプリを使用する場合はAssumeRoleWithWebIdentity APIで実装)
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_oidc.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_oidc_cognito.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_oidc_manual.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_oidc_user-id.html
AWS Directory Service
- AWS Managed Microsoft ADのユースケース(オンプレミスADのAWSクラウドへの拡張など)
https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_use_cases.html
Amazon GuardDuty
- GuardDutyの監視対象とIPS、IDSとの違い
https://pages.awscloud.com/rs/112-TZM-766/images/%5BS-16%5DAWSInnovate_Online_Conference_2020_Spring_SecurityIncidnetResponse_ans.pdf - GuardDutyで信頼できる許可IPアドレスを登録する方法
https://aws.amazon.com/jp/premiumsupport/knowledge-center/guardduty-trusted-ip-list/
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_upload-lists.html
Amazon Inspector
- Amazon Inspectorの概要
https://docs.aws.amazon.com/ja_jp/inspector/latest/userguide/inspector_introduction.html
Amazon Macie
- Amazon Macieの概要
https://aws.amazon.com/jp/macie/faq/
AWS Secrets Manager
- AWS Secrets ManagerによるAmazon RDSのシークレットの自動ローテーション(AWS Systems Managerパラメータストアには無い機能)
https://docs.aws.amazon.com/ja_jp/secretsmanager/latest/userguide/rotating-secrets-rds.html
AWS Security Hub
- AWS Security Hubの概要
https://aws.amazon.com/jp/security-hub/faqs/
AWS Single Sign-On(AWS SSO)
AWS WAF
- AWS WAFのFAQ
https://aws.amazon.com/jp/waf/faq/ - AWS WAFとAWS Shieldの違い(保護レイヤ、保護対象の攻撃)
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-chapter.html
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-overview.html
AWS CloudHSM
- AWS CloudHSMの概要とユースケース
https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/introduction.html
AWS KMS
- AWS KMSのベストプラクティス
https://d1.awsstatic.com/whitepapers/International/jp/KMS_Best_Practices_Whitepaper_JP.pdf - AWS KMSのキーローテーションの仕組み(AWS管理CMKとカスタマー管理CMKにおける自動と手動の違い、ローテーション間隔の違い)
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html - 独自作成したキーマテリアルをインポートした場合のCMK再作成と手動キーローテーション
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/importing-keys.html#reimport-key-material
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html#rotate-keys-manually - AWS KMSのキーポリシーの例
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/key-policies.html#key-policy-example - Amazon RDSでのAWS KMSの使い方(AWS KMSはリージョン固有なため、コピー先リージョンでの復号権限付与と再暗号化が必要)
https://aws.amazon.com/jp/blogs/news/securing-data-in-amazon-rds-using-aws-kms-encryption/
AWS Certificate Manager
- AWS Certificate Managerの概要とELBへの適用方法
https://aws.amazon.com/jp/certificate-manager/faqs/
https://aws.amazon.com/jp/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/
AWS CloudTrail
- AWS CloudTrailの概要
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-concepts.html - AWS CloudTrailによるIAMユーザーアクティビティの追跡
https://aws.amazon.com/jp/premiumsupport/knowledge-center/view-iam-history/ - AWS CloudTrailログの一元管理(AWS Organizationsで組織の証跡を作成する場合、独立したAWSアカウントで集約する場合)
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/creating-trail-organization.html
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html - AWS CloudTrailログファイルの暗号化
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html
Amazon CloudWatch
- Amazon CloudWatchエージェントのトラブルシューティング
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/troubleshooting-CloudWatch-Agent.html - Amazon CloudWatch Logsの概要とエージェントの設定
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/AgentReference.html - Amazon CloudWatchカスタムメトリクスを発行する方法(PutMetricData権限の使用)
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/publishingMetrics.html - Amazon CloudWatch Logsメトリクスフィルターによるログイベントの監視
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/MonitoringLogData.html - Amazon CloudWatch Logsにログをプッシュできない場合のトラブルシューティング
https://aws.amazon.com/jp/premiumsupport/knowledge-center/cloudwatch-push-logs-with-unified-agent/
https://aws.amazon.com/jp/premiumsupport/knowledge-center/push-log-data-cloudwatch-awslogs/
AWS Config
- AWS Configの概要
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/WhatIsConfig.html - AWS Configマネージドルールで設定変更管理できる内容
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/managed-rules-by-aws-config.html - AWS Systems Manager Automationを使用したAWS Configルール非準拠のAWSリソースの自動修復
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html
AWS Health
- AWS Personal Health DashboardとAWS Service Health Dashboardの違い
https://aws.amazon.com/jp/premiumsupport/technology/personal-health-dashboard/
https://aws.amazon.com/jp/premiumsupport/knowledge-center/aws-service-status/
AWS Organizations
- サービスコントロールポリシー(SCP)の概要とユースケース
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps_examples.html
AWS Systems Manager
- AWS Systems Managerパラメータストアの特徴(SecureStringパラメータ作成は無料、AWS Secrets Managerのようなローテーション機能は含まれていない)
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/systems-manager-parameter-store.html - AWS Systems ManagerパラメータストアでのAWS KMSによる暗号化(使用方法とトラブルシューティング)
https://docs.amazonaws.cn/en_us/kms/latest/developerguide/services-parameter-store.html
Amazon CloudFront
- オリジンアクセスアイデンティティ(OAI)を使用してAmazon CloudFrontとAmazon S3バケットの間のアクセス制御をする
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html - Amazon CloudFrontとAmazon S3を使用した安全な静的ウェブサイト
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/getting-started-secure-static-website-cloudformation-template.html - Amazon CloudFrontではAWS Certificate Managerのリージョンを米国東部(バージニア北部、us-east-1)に変更する必要がある
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html#https-requirements-aws-region
AWS Direct Connect
- Direct ConnectのPublic VIFを使用してAWS Site-to-Site VPNを構築するアーキテクチャ(AWS Direct Connectは専用線だがそのまでは暗号化されない)
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html
Amazon VPC
- VPCフローログの見方と例
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-records-examples.html - セキュリティグループとネットワークACLの違い(ステートフル、ステートレス、エフェメラルポートの扱い)
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Security.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_SecurityGroups.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-network-acls.html - VPCエンドポイントによるプライベート接続
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/endpoint-services-overview.html - Traffic MirroringとVPC Flow Logsの違い(フローログではパケット詳細は見れない)
https://docs.aws.amazon.com/ja_jp/vpc/latest/mirroring/flow-log.html - セキュリティグループのユースケース(同じセキュリティグループ内のルール記述方法など)
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/security-group-rules-reference.html - VPCでのDNSサポートの有効化と無効化
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html
Amazon Athena
- Amazon Athenaクエリに必要な権限(Amazon S3バケット権限を含む)
https://aws.amazon.com/jp/premiumsupport/knowledge-center/access-denied-athena/ - Amazon Athenaを使用したAWS CloudTrailログのクエリ
https://docs.aws.amazon.com/ja_jp/athena/latest/ug/cloudtrail-logs.html
Amazon Kinesis
- Amazon Kinesis Data Streams、Amazon Kinesis Data Firehoseを使用してAmazon Elasticsearch Serviceにログをリアルタイム送信する方法
https://docs.aws.amazon.com/ja_jp/elasticsearch-service/latest/developerguide/es-aws-integrations.html#es-aws-integrations-kinesis
https://aws.amazon.com/jp/blogs/news/send-apache-web-logs-to-amazon-elasticsearch-service-with-kinesis-firehose/
https://aws.amazon.com/jp/blogs/news/ingest-streaming-data-into-amazon-elasticsearch-service-within-the-privacy-of-your-vpc-with-amazon-kinesis-data-firehose/
Amazon SES
- TLS暗号化をサポートした送信時のSMTPエンドポイントとポート
https://docs.aws.amazon.com/ja_jp/ses/latest/DeveloperGuide/smtp-connect.html
AWS Security Incident Response Guide(セキュリティインシデント対応ガイド)
- セキュリティインシデント発生時の操作と対応例(調査対象の削除保護、隔離、再起動をしないでスナップショット作成、メモリキャプチャ)
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-security-incident-response-guide/prepare-processes.html
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-security-incident-response-guide/infrastructure-domain-incidents.html