AWS SCS-C02 分野別完全攻略 インフラストラクチャのセキュリティ
AWS Security Specialty資格試験のインフラストラクチャのセキュリティ分野を完全網羅。ネットワークセキュリティ、コンテナセキュリティ、パッチ管理、地理的制限など主要トピックの実践的な使い分けから統合設計まで、合格に必要な知識を体系的に解説します。
この記事のポイント
- 1ネットワークセキュリティツールの使い分けと統合設計を理解する
- 2コンテナセキュリティの包括的な実装戦略を習得する
- 3地理的制限とアクセス制御の多層防御を構築する
- 4実際の試験問題パターンを通じて実践力を身につける
- 5関連記事への導線で深い理解を促進する
目次
AWS認定セキュリティ - 専門知識 試験構成
脅威検出とインシデント対応
セキュリティロギングとモニタリング
インフラストラクチャのセキュリティ
本記事の対象Identity and Access Management
データ保護
管理とセキュリティガバナンス
「インフラストラクチャのセキュリティ」の全体像
AWS Security Specialty(SCS-C02)試験において、インフラストラクチャのセキュリティは最も技術的で実践的な分野の一つです。この分野では、ネットワーク層からアプリケーション層まで、多層防御アーキテクチャの設計・実装能力が問われます。
この分野の特徴は、単独のサービス知識だけでなく、複数のセキュリティツールを適切に組み合わせる統合設計力が重要となることです。たとえば、地理的制限ではCloudFront、WAF、Route53の使い分けと組み合わせ、ネットワークセキュリティではNetwork Firewall、Config、VPC機能の適切な選択が求められます。
試験で重要な8つのトピック
コンテナセキュリティの統合戦略
ECR基本スキャンと拡張スキャン(Inspector)の使い分け。CI/CDパイプライン統合、継続的監視、規制要件対応の包括的な実装。
地理的制限の多層実装
CloudFront、WAF、Route53による多層防御。エッジレベル、アプリケーションレベル、DNSレベルでの制限とレート制限の組み合わせ。
ネットワークセキュリティツールの使い分け
Network FirewallとAWS Configのプロアクティブ制御とリアクティブ評価。マルチアカウント環境での一元管理と自動修復。
ネットワーク診断手法の選択
VPC Flow LogsとReachability Analyzerの「事前診断」vs「事後分析」。接続問題の効率的な特定と根本原因分析。
大規模パッチ管理の自動化
Systems Manager Patch Managerによる企業規模のパッチ管理。パッチベースライン、メンテナンスウィンドウ、コンプライアンス監視。
セキュアコンピューティング環境
AWS Nitro Enclavesによる機密データ処理。暗号化キーの隔離、コンプライアンス要件、アプリケーション統合。
ハイブリッド接続のセキュリティ
Direct Connect vs Site-to-Site VPNの適切な選択基準。帯域幅、セキュリティ、コスト、冗長性の総合的な評価。
ネットワーク分析手法の最適化
VPC Flow LogsとTraffic Mirroringの「ログレベル」vs「パケットレベル」分析。効率性と詳細性のバランス。
コンテナセキュリティの統合戦略
コンテナセキュリティでは、ECR基本スキャンと拡張スキャン(Inspector)の適切な使い分けが重要です。基本スキャンはプッシュ時の即座のスキャンにより、CI/CDパイプライン内での早期脆弱性検出に最適です。拡張スキャンは継続的なスキャンにより、新しいCVEに対する自動再スキャンとSecurity Hub統合による一元管理を実現します。
効果的なコンテナセキュリティ戦略では、開発段階での基本スキャンと運用段階での拡張スキャンを組み合わせ、包括的な脆弱性管理を構築します。以下の問題で、具体的な選択基準を確認しましょう:
AWS認定セキュリティ - 専門知識
練習問題
コンテナセキュリティの統合戦略では、開発効率と包括的な監視のバランスが重要です。基本スキャンと拡張スキャンを適切に組み合わせることで、開発速度を維持しつつ、規制要件を満たす継続的なセキュリティ管理を実現できます。
以下の記事では、ECRスキャン機能の詳細な実装方法と運用のベストプラクティスを学習できます。
地理的制限の多層実装
地理的制限では、CloudFront、WAF、Route53の3つのサービスを適切に組み合わせることで、効果的な多層防御を構築できます。CloudFrontの地理的制限は国レベルでのシンプルなブロック、AWS WAFは地理的条件とレート制限の組み合わせによる複雑な制御、Route53ジオロケーションはDNSレベルでの地域別誘導を提供します。
実際のシナリオでは、「地域制限+レート制限」の要件がある場合はCloudFront+WAFの組み合わせ、「シンプルな国別制限」ならCloudFront単体が最適です。以下の問題で、具体的な実装パターンを確認しましょう:
AWS認定セキュリティ - 専門知識
練習問題
地理的制限の多層実装では、各サービスの特性を活かした適切な組み合わせが重要です。CloudFrontでの基本的な地理的ブロックと、WAFでの高度な条件制御を組み合わせることで、ライセンス要件とセキュリティ要件の両方を満たす包括的なソリューションを構築できます。
以下の記事では、各サービスの地理的制限機能の詳細な比較と実装方法を学習できます。
ネットワークセキュリティツールの使い分け
ネットワークセキュリティでは、Network FirewallとAWS Configの根本的な違いを理解することが重要です。Network Firewallはプロアクティブなトラフィック制御を提供し、IDS/IPS機能やリアルタイムの脅威ブロックを実現します。AWS Configはリアクティブな構成評価を行い、セキュリティグループなどの設定変更を検出・修復します。
マルチアカウント環境では、Network Firewall + Firewall Managerによる一元的なポリシー管理が効果的です。構成の修正が必要な場合は、AWS Config + Lambdaによる自動修復が最適です。以下の問題で、適切な選択基準を確認しましょう:
AWS認定セキュリティ - 専門知識
練習問題
ネットワークセキュリティツールの使い分けでは、制御の対象と方式を明確に区別することが重要です。トラフィック制御にはNetwork Firewall、構成管理にはAWS Configという基本原則を理解し、要件に応じた適切な選択を行いましょう。
以下の記事では、Network FirewallとAWS Configの詳細な機能比較と実装パターンを学習できます。
ネットワーク診断手法の選択
ネットワーク診断では、VPC Flow LogsとReachability Analyzerの「事前診断」vs「事後分析」という根本的な違いを理解することが重要です。Reachability Analyzerは実際のトラフィックなしで設定上の接続性を即座に分析し、Flow Logsは実際に発生したトラフィックを記録・分析します。
「設定の事前検証」や「接続問題の迅速な特定」にはReachability Analyzer、「異常トラフィック調査」や「セキュリティインシデント調査」にはFlow Logsが最適です。以下の問題で、具体的な選択基準を確認しましょう:
AWS認定セキュリティ - 専門知識
練習問題
ネットワーク診断手法の選択では、分析のタイミングと必要な情報の性質を明確に理解することが重要です。緊急対応や設定検証にはReachability Analyzer、履歴分析や詳細調査にはFlow Logsという使い分けを覚えましょう。
以下の記事では、両ツールの詳細な機能比較と実践的な活用方法を学習できます。
大規模パッチ管理の自動化
大規模なEC2フリートでは、Systems Manager Patch Managerによる統一的なパッチ管理が不可欠です。パッチベースラインで承認・拒否パッチを定義し、パッチグループで環境別に管理、メンテナンスウィンドウで適用タイミングを制御します。コンプライアンスダッシュボードでは、全体のパッチ適用状況を一元監視できます。
特に金融機関や医療機関などの規制業界では、HIPAAやPCI-DSS要件を満たす厳格なパッチ管理プロセスが求められます。自動化により人的ミスを排除し、監査証跡を確保することが重要です。以下の問題で、実装方法を確認しましょう:
AWS認定セキュリティ - 専門知識
練習問題
大規模パッチ管理の自動化では、統一的な管理と詳細な制御のバランスが重要です。Patch Managerを活用することで、複雑な要件を満たしながら運用負荷を最小化できます。
以下の記事では、Patch Managerの詳細な設定方法とベストプラクティスを学習できます。
セキュアコンピューティング環境
機密データ処理では、AWS Nitro Enclavesによる隔離されたコンピューティング環境が重要な選択肢となります。Nitro Enclavesは、EC2インスタンス内に独立したコンピューティング環境を作成し、暗号化キーや機密データを親インスタンスからも分離して処理できます。
特に金融機関での暗号化キー管理、医療機関でのPHI(保護医療情報)処理、規制要件でのデータ主権確保において、Nitro Enclavesは他のサービスでは実現困難な高度なセキュリティレベルを提供します。
AWS認定セキュリティ - 専門知識
練習問題
機密データ処理における隔離環境の選択では、隔離レベルと実装方式を明確に区別することが重要です。ネットワーク分離にはVPC、物理分離には専有インスタンス、プロセス分離にはNitro Enclavesという基本原則を理解し、セキュリティ要件に応じた適切な選択を行いましょう。
以下の記事では、AWS Nitro Enclavesの詳細な機能と実装パターンを学習できます。
ハイブリッド接続のセキュリティ
オンプレミス環境とAWS間の接続では、Direct ConnectとSite-to-Site VPNの適切な選択が重要です。Direct Connectは専用線による高帯域幅と安定した接続、VPNはインターネット経由での柔軟性とコスト効率を提供します。
セキュリティ要件、帯域幅要件、コスト制約、冗長性要件の総合的な評価により、最適な接続方式を選択する必要があります。多くのエンタープライズ環境では、両方式のハイブリッド構成が採用されています。
AWS認定セキュリティ - 専門知識
練習問題
ハイブリッド接続における冗長性設計では、接続方式と暗号化レベルを明確に区別することが重要です。パフォーマンス重視にはDirect Connect、暗号化重視にはSite-to-Site VPN、両方の要件を満たすにはDirect Connect + VPNという基本原則を理解し、金融機関のような厳格な要件に応じた適切な選択を行いましょう。
以下の記事では、Direct ConnectとSite-to-Site VPNの詳細な機能比較と実装パターンを学習できます。
ネットワーク分析手法の最適化
ネットワーク分析では、VPC Flow LogsとTraffic Mirroringの「ログレベル」vs「パケットレベル」という分析粒度の違いを理解することが重要です。Flow Logsはメタデータレベルの効率的な分析、Traffic Mirroringは完全なパケットデータによる詳細分析を提供します。
「効率的な傾向分析・異常検出」にはFlow Logs、「詳細なフォレンジック調査・パフォーマンス分析」にはTraffic Mirroringが最適です。実際の運用では、段階的なアプローチによる組み合わせ利用が効果的です。
AWS認定セキュリティ - 専門知識
練習問題
ネットワークトラフィック分析における手法選択では、分析粒度とパフォーマンス影響を明確に区別することが重要です。メタデータ分析にはFlow Logs、パケットレベル分析にはTraffic Mirroring、アプリケーション層保護にはWAFという基本原則を理解し、フォレンジック調査のような詳細分析要件に応じた適切な選択を行いましょう。
以下の記事では、VPC Flow LogsとTraffic Mirroringの詳細な機能比較と実装パターンを学習できます。
まとめ
インフラストラクチャのセキュリティ分野の効果的な学習戦略
この分野は技術の深い理解と統合設計力が同時に求められる最も実践的な領域です。単独のサービス機能だけでなく、複数サービスの適切な組み合わせパターンを理解することが、試験成功の鍵となります。
tsumikiで学習する
この分野では実践的な問題演習が特に効果的です。各サービスの個別機能を理解した上で、実際のシナリオでの適切な選択基準を身につけることが重要です。
関連記事との組み合わせ学習により、技術的な深掘りと統合的な設計力の両方を効率的に習得し、AWS SCS-C02試験での確実な得点獲得を目指しましょう。