AWS設定比較

約18分

専門

9/10

2025年7月19日

AWS SCS-C02 対策 SCPとControl Tower - 予防的制御 vs 統合的ガバナンス

Service Control Policy（SCP）とAWS Control Towerの使い分けを、予防的制御×自動化要件×規模要件の3軸で判断する。金融・製造業での統合管理要件と、特定操作禁止要件での適切な選択肢を実践問題で完全攻略。

この記事のポイント

1
予防的制御×自動化要件×規模要件の3軸判断法をマスターする
2
金融・製造業でのマルチアカウント管理要件の判断ポイントを把握する
3
特定操作禁止vs統合環境構築の使い分け基準を理解する

3軸判断法：適切な選択を導く思考プロセス

SCP vs Control Towerの選択を適切に行うには、3つの軸で体系的に判断することが重要です。この判断法により、複雑な要件や大規模環境でも迷うことなく適切な選択肢を導き出せます。

軸1：予防的制御レベル

特定のサービス・操作・リージョンを組織全体で禁止する必要があるか

軸2：自動化要件

アカウントプロビジョニング、設定標準化、監査の自動化が必要か

軸3：規模要件

既存アカウント活用か、大規模新規展開かの環境規模要件

SCP vs Control Tower

資格試験では、各ソリューションの制御範囲、自動化レベル、運用複雑性の違いを正確に理解することが重要です。特に、SCPは予防的制御に特化、Control Towerは包括的ガバナンスに特化、という特徴を押さえておきましょう。

AWS Organizations SCP

主要目的

予防的制御（拒否ポリシー）

制御範囲

特定のサービス・操作・リージョンの禁止

自動化レベル

ポリシー適用のみ（手動設定）

アカウント管理

既存アカウントに適用

コスト

追加料金なし

設定標準化

制限のみ（標準化は別途）

監査・コンプライアンス

CloudTrailで使用状況確認

主な適用場面

特定操作禁止、コンプライアンス強制

AWS Control Tower

主要目的

包括的ガバナンス（自動化）

制御範囲

アカウント全体のライフサイクル管理

自動化レベル

Account Factory、ガードレール、監査

アカウント管理

新規アカウント自動プロビジョニング

コスト

Config、CloudTrail等の使用料

設定標準化

自動的なベースライン適用

監査・コンプライアンス

継続的なコンプライアンス監視

主な適用場面

大規模マルチアカウント管理

AWS Organizations SCP

AWS Control Tower

主要目的

予防的制御（拒否ポリシー）

包括的ガバナンス（自動化）

制御範囲

特定のサービス・操作・リージョンの禁止

アカウント全体のライフサイクル管理

自動化レベル

ポリシー適用のみ（手動設定）

Account Factory、ガードレール、監査

アカウント管理

既存アカウントに適用

新規アカウント自動プロビジョニング

コスト

追加料金なし

Config、CloudTrail等の使用料

設定標準化

制限のみ（標準化は別途）

自動的なベースライン適用

監査・コンプライアンス

CloudTrailで使用状況確認

継続的なコンプライアンス監視

主な適用場面

特定操作禁止、コンプライアンス強制

大規模マルチアカウント管理

実際の運用では、要件に現れる特定のキーワードから適切なアプローチを瞬時に判断することが重要です。SCPとControl Towerは対立する選択肢ではなく、多くの場合組み合わせて使用されます。以下の基準により、どのような場面でそれぞれが活用されるかを理解できます。

要件別アプローチの判断基準

以下のキーワードや要件が問題文に現れた場合の、最適なアプローチを理解しましょう：

特定操作の厳格な禁止が必要 → SCP中心

「ルートユーザーの使用制限」「特定リージョンでの操作禁止」「セキュリティサービスの無効化防止」など、明確な拒否要件

大規模マルチアカウント管理が必要 → Control Tower中心

「50以上のアカウント管理」「アカウントプロビジョニングの自動化」「組織全体のガバナンス」「Account Factoryによる標準化」

包括的なガバナンス構築が必要 → Control Tower中心

「ベースラインセキュリティの自動適用」「継続的コンプライアンス監視」「ガードレールによる予防・検出制御」

既存環境での制御強化が必要 → SCP追加またはControl Tower + SCP

「現在のアカウント構造を維持しつつ制御を追加」「業界固有の規制要件への対応」「段階的なポリシー適用」

エンタープライズレベルの要件 → Control Tower + カスタムSCP

「金融機関や医療機関での厳格なコンプライアンス」「標準ガードレール + 業界特有制限」「包括的セキュリティ + 特定操作禁止」

両方を組み合わせるべき場面

多くの実際のシナリオでは、Control TowerとSCPを組み合わせて使用することで、最も効果的なガバナンスを実現できます：

既存Control Tower環境での追加制御

Control Towerが導入済みだが、ルートユーザー使用制限や特定サービス無効化防止など、より厳格な制御が必要

段階的なガバナンス強化

Control Towerでベースラインを構築後、業界固有の規制要件に対応するためのカスタムSCPを追加

包括的なセキュリティ要件

大規模マルチアカウント管理（Control Tower）と特定操作の厳格な禁止（SCP）の両方が求められる場合

エンタープライズレベルのコンプライアンス

金融機関や医療機関など、標準的なガードレールに加えて業界特有の制限が必要な環境

実践問題で確認

ここまでの理論を、実践的な練習問題で確認してみましょう。3軸判断法とキーワードを組み合わせて解答することで、確実に正解を導き出すことができます。

AWS認定セキュリティ - 専門知識

練習問題

ある企業は急速に成長しており、新しいビジネスユニットごとに新しいAWSアカウントを作成しています。現在、この企業は10のAWSアカウントを持っていますが、今後12ヶ月でさらに15〜20のアカウントを追加する予定です。セキュリティチームとクラウドアーキテクチャチームは、AWS環境全体でガバナンスと標準化を強化するよう指示されました。現在の環境： - 10の個別のAWSアカウントがあり、それぞれが手動で作成・設定されている - AWS Organizationsは設定されているが、基本的な組織構造のみに使用されている - 各アカウントのセキュリティ設定は一貫しておらず、一部のアカウントではセキュリティサービスが欠けている - コンプライアンス要件を満たすための標準化されたログ記録と監査の仕組みがない - 新しいアカウントのプロビジョニングプロセスは手動で時間がかかる CIOは、以下の目標を達成するための戦略を求めています： - 新しいAWSアカウントの迅速なプロビジョニング - すべてのアカウントにわたる一貫したセキュリティ制御の適用 - 規制コンプライアンス要件を満たすための監査機能の強化 - 手動設定エラーの削減セキュリティとガバナンスの目標を達成し、新しいアカウントの効率的なデプロイを可能にするために、この企業はどのような方法を実装すべきですか？

AWS認定DevOpsエンジニア - プロフェッショナル

練習問題

ある製造業企業は、AWS上でIoTプラットフォームを含む複数のワークロードを実行しています。同社の現在のAWS環境は、個別に管理されている多数のスタンドアロンAWSアカウントで構成されています。この構造により、以下のような課題が生じています： - 複数アカウントにわたる一貫したセキュリティポリシーの適用が困難 - 各アカウントにおけるリソース使用状況の可視性の欠如 - アカウント間でのログの統合と監査が煩雑 - 新しいAWSアカウントのプロビジョニングに時間がかかる - クロスアカウントでの権限管理が複雑 DevOpsチームは、これらの課題を解決し、すべてのAWSアカウントを効率的に管理するための統合された環境を構築したいと考えています。チームはどのようなアプローチを取るべきですか？

AWS認定セキュリティ - 専門知識

練習問題

大手金融機関は、AWS Control Towerを使用して多数のAWSアカウントを管理するマルチアカウント環境を構築しました。この組織は、すべてのアカウントに対して以下の厳格なセキュリティ要件を実装する必要があります： - ルートユーザーアクセスの使用を厳しく制限する - 特定のAWSリージョン以外でのリソースのデプロイを禁止する - すべてのAWSアカウントでAmazon GuardDutyとAWS Security Hubの無効化を防止する - 金融サービス規制に準拠するため、本番環境アカウントでのデータ暗号化を強制するセキュリティエンジニアは、これらの要件を最も効果的かつ一貫して適用するためのアプローチを推奨する必要があります。どのソリューションが最適ですか？

まとめ

3軸判断法（予防的制御レベル×自動化要件×規模要件）をマスターすることで、どんな複雑な要件でも確実に最適なソリューションを選択できます。

特定操作の禁止、IAMユーザーログイン拒否、リージョン制限など、組織全体での予防的制御とコンプライアンス強制を実現。細かな権限制御で確実にセキュリティポリシーを適用します。

マルチアカウント統合管理、自動プロビジョニング、ガードレールによる包括的ガバナンスを提供。大規模展開時の運用効率化と一貫したセキュリティ基準の維持を実現します。

特定操作の禁止やコンプライアンス強制が必要な場合はSCP、統合的なマルチアカウント管理や自動化が必要な場合はControl Towerが適している傾向があります。既存アカウント活用の場合は段階的アプローチも考慮しましょう。

理解度チェック

予防的制御レベル×自動化要件×規模要件の3軸判断法を使って、適切なソリューションを選択できるか？

問題文のキーワードから、SCPとControl Towerのどちらが適切か瞬時に判断できるか？

tsumiki-media

AWS SCS-C02 対策 SCPとControl Tower - 予防的制御 vs 統合的ガバナンス

この記事のポイント

目次

3軸判断法：適切な選択を導く思考プロセス

軸1：予防的制御レベル

軸2：自動化要件

軸3：規模要件

SCP vs Control Tower

AWS Organizations SCP

AWS Control Tower

要件別アプローチの判断基準

特定操作の厳格な禁止が必要 → SCP中心

大規模マルチアカウント管理が必要 → Control Tower中心

包括的なガバナンス構築が必要 → Control Tower中心

既存環境での制御強化が必要 → SCP追加またはControl Tower + SCP

エンタープライズレベルの要件 → Control Tower + カスタムSCP

両方を組み合わせるべき場面

既存Control Tower環境での追加制御

段階的なガバナンス強化

包括的なセキュリティ要件

エンタープライズレベルのコンプライアンス

実践問題で確認

AWS認定セキュリティ - 専門知識

AWS認定DevOpsエンジニア - プロフェッショナル

AWS認定セキュリティ - 専門知識

まとめ

SCP - 予防的制御による厳格なガバナンス

Control Tower - 統合管理による大規模ガバナンス

理解度チェック

他の問題も解いてみませんか？

tsumiki-media

Command Palette

目次

3軸判断法：適切な選択を導く思考プロセス

軸1：予防的制御レベル

軸2：自動化要件

軸3：規模要件

SCP vs Control Tower

AWS Organizations SCP

AWS Control Tower

要件別アプローチの判断基準

特定操作の厳格な禁止が必要 → SCP中心

大規模マルチアカウント管理が必要 → Control Tower中心

包括的なガバナンス構築が必要 → Control Tower中心

既存環境での制御強化が必要 → SCP追加またはControl Tower + SCP

エンタープライズレベルの要件 → Control Tower + カスタムSCP

両方を組み合わせるべき場面

既存Control Tower環境での追加制御

段階的なガバナンス強化

包括的なセキュリティ要件

エンタープライズレベルのコンプライアンス

実践問題で確認

AWS認定セキュリティ - 専門知識

AWS認定DevOpsエンジニア - プロフェッショナル

AWS認定セキュリティ - 専門知識

まとめ

SCP - 予防的制御による厳格なガバナンス

Control Tower - 統合管理による大規模ガバナンス

理解度チェック

関連記事

AWS SCS-C02 対策 Service Control Policy (SCP) 効果的なガバナンス戦略

AWS SCS-C02 対策 Control Tower マルチアカウントガバナンス

他の問題も解いてみませんか？