AWS SCS-C02 分野別完全攻略 データ保護
AWS Security Specialty資格試験のデータ保護分野を完全網羅。KMS、RDS・S3の暗号化、Backup Vault Lock、Session Manager、Direct Connectなど、合格に必須の6つの重要トピックを体系的に解説します。
この記事のポイント
- 1KMSのカスタマー管理キーとAWS管理キーの適切な使い分けを理解する
- 2RDSとS3における保存時・転送時の暗号化実装パターンを習得する
- 3AWS Backup Vault Lockによるバックアップデータの不変性保護を理解する
- 4Session ManagerによるSSHキー不要のセキュアなインスタンスアクセスを実装できる
- 5Direct Connect VIFの使い分けとプライベート接続のセキュリティを理解する
- 6実際の試験問題を通じてデータ保護の統合的な設計力を向上させる
目次
AWS認定セキュリティ - 専門知識 試験構成
脅威検出とインシデント対応
セキュリティロギングとモニタリング
インフラストラクチャのセキュリティ
Identity and Access Management
データ保護
本記事の対象管理とセキュリティガバナンス
「データ保護」の全体像
AWS Security Specialty(SCS-C02)試験において、データ保護は、AWS環境におけるデータの機密性、完全性、可用性を確保するための核心的な分野です。この分野では、保存時および転送中のデータの暗号化、暗号化キーのライフサイクル管理、データのバックアップと復元、そしてデータの不変性の保証に関する深い知識が問われます。
単に暗号化技術を知っているだけでなく、規制要件(例: HIPAA, PCI DSS)やビジネス要件に応じて、コスト効率と運用負荷を考慮した最適なデータ保護戦略を設計する能力が求められます。KMS、S3、RDS、AWS Backupなどの主要サービスを横断的に理解し、それらを組み合わせて堅牢なセキュリティ体制を構築することが重要です。
試験で重要な6つのトピック
暗号化キー管理戦略(KMS)
カスタマー管理キーとAWS管理キーの使い分けを、制御レベル、監査要件、コンプライアンスの3軸で判断する。
RDSのデータ暗号化
保存時(スナップショット経由での既存DB暗号化)と転送時(TLS強制)の暗号化実装パターンを理解する。
S3の暗号化とアクセス制御
S3バケットポリシーを用いて、転送時のTLS暗号化と保存時の特定KMSキーによる暗号化を強制する。
バックアップデータの不変性保護
AWS Backup Vault Lockのコンプライアミスモードとガバナンスモードを理解し、バックアップの改ざんや不正な削除を防止する。
Session Managerによるセキュアアクセス
SSHキーや踏み台サーバーを廃止し、IAMベースのアクセス制御と監査可能なセッションログでインスタンスアクセスを保護する。
Direct Connectによるプライベート接続
Private VIF、Public VIF、Transit VIFを使い分け、オンプレミスとAWS間の通信をインターネットから分離し、転送中のデータを保護する。
暗号化キー管理戦略(KMS)
データ保護の基盤となるのが、AWS Key Management Service (KMS) を使った暗号化キーの管理です。試験では、カスタマー管理キーとAWS管理キーのどちらを選択するかが頻繁に問われます。判断の鍵は、制御レベル、監査要件、コンプライアンス要件の3軸で考えることです。
カスタマー管理キーは、キーポリシーによる詳細なアクセス制御、キーのローテーション管理、CloudTrailによる詳細な監査ログなど、完全な制御権をユーザーに提供します。そのため、「規制要件」「詳細な監査」「キーの一元管理」といったキーワードが登場した場合は、カスタマー管理キーが正解となる可能性が高いです。一方、AWS管理キーは、運用がシンプルで追加コストがかからないため、基本的な暗号化要件を満たせばよい場合に適しています。
AWS認定セキュリティ - 専門知識
練習問題
この問題のように、複数のAWSサービスにまたがる暗号化要件や、規制業界特有の管理・監査要件がある場合、カスタマー管理キーの選択が不可欠となります。各キータイプの特性を正確に理解し、要件に応じて使い分けることがデータ保護戦略の鍵です。
以下の記事では、カスタマー管理キーとAWS管理キーのさらに詳細な比較と、具体的な選択シナリオを学習できます。
RDSのデータ暗号化
Amazon RDSのデータ保護では、保存時の暗号化と転送時の暗号化の両方を実装することが不可欠です。特に重要なのは、既存の非暗号化DBインスタンスを暗号化する手順です。RDSではインスタンス作成後の暗号化有効化はできないため、スナップショットを作成 → 暗号化を有効にしてスナップショットをコピー → 暗号化されたスナップショットから復元という手順を踏む必要があります。このプロセスにはダウンタイムが伴う点も試験で問われるポイントです。
転送時の暗号化は、DBインスタンスのパラメータ(例: force_ssl)と、アプリケーションの接続文字列でTLS/SSLを強制することで実現します。これらを組み合わせることで、データベースの包括的な保護が可能になります。
AWS認定セキュリティ - 専門知識
練習問題
この問題で示されたように、既存の非暗号化RDSインスタンスを暗号化する手順は、資格試験で頻繁に問われる重要なプロセスです。また、AWS Configを組み合わせることで、予防的統制だけでなく発見的統制も実装でき、包括的なセキュリティ体制を構築できます。
以下の記事では、RDSの保存時・転送時暗号化の具体的な実装手順をさらに詳しく解説しています。
S3の暗号化とアクセス制御
Amazon S3のデータ保護では、バケットポリシーを用いた予防的な制御が極めて重要です。試験では、特定の条件下でのみS3へのアクセスを許可または拒否するポリシーの記述が問われます。特に重要なのが、転送時暗号化(TLS)の強制と、保存時の特定KMSキーによる暗号化の強制です。
TLS通信の強制には、aws:SecureTransport というグローバル条件キーを使用し、この値が false のリクエストを Deny します。一方、特定のKMSキーによる暗号化を強制するには、s3:x-amz-server-side-encryption-aws-kms-key-id ヘッダーを StringNotLikeIfExists 演算子で評価します。この演算子は、ヘッダーが存在しない(=暗号化されていない)場合や、指定したキーIDのパターンに一致しない場合にリクエストを拒否するため、非常に強力な制御を実現できます。
AWS認定セキュリティ - 専門知識
練習問題
この問題は、S3バケットポリシーがいかに強力な予防的セキュリティ制御であるかを示しています。StringNotLikeIfExistsのような特定の演算子を使いこなすことで、意図しない設定ミスや攻撃からデータを確実に保護できます。
以下の記事では、aws:SecureTransportによるTLS強制など、他の重要なポリシー制御パターンについても学習できます。
バックアップデータの不変性保護
ランサムウェア攻撃や内部関係者による不正な削除からデータを保護するためには、バックアップデータの不変性を保証することが不可欠です。AWS Backupでは、Vault Lock機能がこの要件を満たします。Vault Lockは、一度設定すると指定した期間、誰にも(たとえrootユーザーであっても)バックアップの削除や変更を許可しないWORM(Write Once, Read Many)モデルを実装します。
試験では、コンプライアンスモードとガバナンスモードの違いが問われます。コンプライアンスモードは一度ロックすると誰も解除できず、最も厳格な規制要件(例: SEC Rule 17a-4(f))に対応します。一方、ガバナンスモードは特定のIAM権限を持つユーザーがロックを解除できるため、より柔軟な運用が求められる場合に適しています。「規制要件」「法的保持」といったキーワードがあればコンプライアンスモードが正解の可能性が高いです。
AWS認定セキュリティ - 専門知識
練習問題
この問題のように、複数のAWSサービスにまたがる複雑なバックアップ要件(スケジュール、保持期間、不変性)を一元的に管理できるのがAWS Backupの強みです。特にVault Lockは、ランサムウェア対策や厳格なコンプライアミ要件を満たす上で決定的な役割を果たします。
以下の記事では、AWS Backup Vault Lockのコンプライアンスモードとガバナンスモードの違いなど、さらに詳細な機能について解説しています。
Session Managerによるセキュアアクセス
データ保護は、保存時や転送中だけでなく、EC2インスタンスへの管理アクセス中も考慮する必要があります。AWS Systems Manager Session Managerは、SSHキーや踏み台サーバーを不要にし、IAMポリシーに基づいたアクセス制御と、全てのセッション操作のロギングを可能にします。
これにより、SSHキーの漏洩や不正利用のリスクを根本から排除し、誰がいつどのインスタンスで何を実行したかを完全に監査できます。インバウンドポートを開ける必要がないため、インスタンスの攻撃対象領域を最小限に抑えつつ、安全な管理アクセスを実現する上で不可欠なサービスです。
AWS認定セキュリティ - 専門知識
練習問題
この問題が示すように、Session Managerは従来のSSHキーや踏み台サーバーに依存したアクセス方法の課題を根本的に解決します。IAMによる一元的な権限管理と完全な監査証跡を提供することで、運用効率とセキュリティを飛躍的に向上させることができます。
以下の記事では、VPCエンドポイントを利用したプライベート接続など、Session Managerのさらに高度な活用法を学習できます。
Direct Connectによるプライベート接続
オンプレミス環境とAWS間のデータ転送を保護するには、AWS Direct Connectによるプライベートネットワーク接続が重要です。インターネットを経由しない専用線接続により、データの盗聴や改ざんリスクを大幅に低減します。試験では、接続規模や管理要件に応じたVIF(Virtual Interface)タイプの選択が問われます。
小規模ならPrivate VIF、AWSのパブリックサービス(S3等)へ接続するならPublic VIF、そして数十〜数千のVPCを大規模に接続・管理するならTransit VIFを選択します。特に「多数のVPC」「マルチリージョン」「管理の簡素化」といったキーワードがある場合は、Transit VIFとTransit Gatewayを組み合わせた構成が最適解となります。
AWS認定高度なネットワーキング - 専門知識
練習問題
この問題のように、企業の成長に伴いVPCの数が増加するシナリオでは、初期のシンプルな接続形態ではすぐに限界が訪れます。Transit GatewayとTransit VIFを組み合わせた集中型アーキテクチャは、このような大規模でスケーラブルな要件に対するAWSのベストプラクティスです。
以下の記事では、Private VIF、Public VIFを含めた3つのVIFタイプの詳細な比較と、それぞれの最適な適用シナリオを学習できます。
まとめ
データ保護分野の効果的な学習戦略
この分野は、暗号化、キー管理、バックアップ、アクセス制御といった、セキュリティの根幹をなす技術が網羅されています。個々のサービスの機能を暗記するだけでなく、それらを組み合わせて多層的な防御をいかに設計するかという視点が重要です。
特に、KMSキータイプの選択、既存リソースの暗号化手順、ポリシーによる予防的制御、そしてバックアップの不変性確保は頻出トピックです。シナリオ問題では、提示されたコンプライアミ要件や運用要件を正確に読み取り、最も費用対効果とセキュリティレベルの高いソリューションを選択する能力が試されます。
tsumikiで学習する
この分野では、実際の企業のセキュリティ要件に基づいたシナリオ問題を数多く解くことが、合格への最短ルートです。各サービスの技術的な詳細を理解した上で、複数の要件を満たす最適解の選択を繰り返し練習することが重要です。
tsumikiの関連記事との組み合わせ学習により、詳細な技術知識と統合的な設計力の両方を効率的に習得し、AWS SCS-C02試験での確実な得点獲得を目指しましょう。