【AWS認定資格】SCSのC01とC02の違いを徹底解説

AWS認定試験の合格に必要な知識を確認します。

目次

前提

下図の通り,ソリューションアーキテクトにはアソシエイトレベルとプロフェッショナルレベルの二種類があります。本稿では,専門レベルのセキュリティスペシャリティ(SCS)に関して,C01バージョンの試験とC02バージョンの試験の違いを確認します。旧試験と新試験の違いを把握することで,現在実施されているバージョンの試験でよく狙われる範囲を把握することができます。

AWS認定資格全12種

背景

従来,SCSはC01バージョンの試験が実施されていましたが,2023年7月11日からC02バージョンの試験が実施されています。バージョン改定直前までは公式サイトにて告知の文言が挿入されていたのですが,現在では削除されているようです。そのため,2023年7月11日からSCS-C02にアップデートされるという公式のアナウンスは見つけることができませんでした。

C01とC02の試験ガイドは下記のURLから確認できます。本稿では,上記試験ガイドを比較して,SCSにおけるC01とC02の違いをまとめていきます。

結論

マルチアカウント管理とリソース管理についての出題分野が追加された。特に,IAMを用いたクロスアカウント制御は必須になりそう。ベースの知識として証明書の管理方法は理解しておくとよい。

詳細

以下では,試験ガイドの見出しに沿って,それぞれでC01とC02の違いを洗い出していきます。

評価する能力

C01の試験ガイドとC02の試験ガイドで差分はありませんでした。

推奨されるAWSの知識

C01とC02ともに,3〜5年相当のセキュリティ分野の経験が必要とされています。また,特にAWSワークロードについては2年以上の実務経験が必要とされています。C01では具体的な知識には言及がないものの,C02では推奨されるAWSの知識の解像度を上げており,具体的に必要とされる知識が明示されるようになりました。同時に,C02では試験範囲外の対象も明示されるようになりました。

試験内容

試験の概要は,以下の通り変更はありません。

項目C01C02
最低合格スコア750/1000 点750/1000 点
スコアのスケール$\cm$$\cm$
問題数65 問65 問
試験の概要

C01とC02の両方で「スコアに影響しない採点対象外の設問が10問含まれる」と明記されています。これは,受験者の成績を収集し,今後採点対象の設問として使用できるかどうかを評価するためのダミー問題で,受験者にはどの設問が採点対象外かは知らされません。

C02の対象範囲では,インシデント対応の分野に「脅威検出」が明示されるようになり,「管理とセキュリティガバナンス」が追加されました。これらの変化に伴って全体の比重も調整されています。

C01比重C02比重
インシデント対応12%脅威検出とインシデント対応14%
ログと監視20%セキュリティロギングとモニタリング18%
インフラストラクチャのセキュリティ26%インフラストラクチャのセキュリティ20%
ID およびアクセス管理20%Identity and Access Management16%
データ保護22%データ保護18%
--管理とセキュリティガバナンス14%
試験分野の比較

脅威検出が追加されたのは,AWS側の脅威検出サービスで機能が充実してきたことが背景にあると考えられます。もちろん,C01でも脅威検出の内容は試験で出題されていたはずですので,出題の実態と出題範囲の体裁を整えるための変更だとも捉えられます。一方,後述の通り,管理とセキュリティガバナンスに関しては,マルチアカウント統制に関する設問が増えることが予測されます。これは社会的ニーズによるものだと考えられます。

C02から追加された「脅威検出」と「管理とセキュリティガバナンス」について深堀りしておきましょう。C02の試験ガイドからは,各分野で必要とされる知識が細やかに明示されるようになっていますので,そちらから引用してみます。

脅威検出に関しては「AWSのサービスを使用してセキュリティの脅威と異常を検出する」という表現が用いられています。したがって,C02で追加された脅威検出の分野に関してはAWSのサービスがどのような要件を満たすことができるのか,という観点でおさえておくとよいでしょう。具体的には,下記のサービスが明記されています。

  • GuardDuty
  • Security Hub
  • Macie
  • AWS Config
  • IAM Access Analyzer
  • Detective
  • Athena
  • CloudWatch

次に,管理とセキュリティガバナンスで必要となる知識は大きく4つに分けられます。

  1. AWSアカウントを一元的にデプロイして管理する戦略を策定する(アカウント管理)
  2. クラウドリソースのための安全で一貫したデプロイ戦略を実装する(リソース管理)
  3. AWSリソースのコンプライアンスを評価する(コンプラ評価)
  4. アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する(コスト・アーキ)

これらの4つを表でまとめると下記のようになります。

必要な知識該当するAWSの概念一言
アカウント管理IAM
OrganizationsとSCP
Control Tower
クロスアカウント制御等が問われそう
OrganizationsのOUに関する理解は必須
リソース管理CloudFormation
タグ
バージョン
Service Catalog
Firewall Manager
Resource Access Manager
IaCで管理することのメリットを理解する
意外なサービスがRAMで制御可能だったりする
コンプラ評価Macie
Config
Security Hub
Audit Manager
AWSのサービスと要件が一対一で対応しがち
コスト・アーキTrusted Advisor
Cost Explorer
Well-Architected Tool
おまけみたいなもの
C02で追加された「管理とセキュリティガバナンス」の概要

試験範囲内のサービス

C01では試験範囲内のサービスは明示されていませんが,C02では明示されるようになりました。

試験範囲内のサービス
分類サービス名
マネジメントとガバナンスAWS Audit Manager
AWS CloudTrail
Amazon CloudWatch
AWS Config
AWS Organizations
AWS Systems Manager
AWS Trusted Advisor
ネットワークとコンテンツ配信Amazon Detective
AWS Firewall Manager
AWS Network Firewall
AWS Security Hub
AWS Shield
Amazon VPC
VPC エンドポイント
ネットワーク ACL
セキュリティグループ
Network Access Analyzer
AWS WAF
セキュリティ
アイデンティティ
コンプライアンス
AWS Certificate Manager (ACM)
AWS CloudHSM
AWS Directory Service
Amazon GuardDuty
AWS Identity and Access Management (IAM)
Amazon Inspector
AWS Key Management Service (AWS KMS)
Amazon Macie
AWS Single Sign-On
C02で試験範囲内のサービス

特に,付録の冒頭では試験の対象となる主要な概念が記載されていますが,そこには「証明書管理」が含まれています。これはSCSのC01・C02の両者で理解が必須となるベースの知識となっていますので,最低でも下記の問いには答えられるようにしておきたいです。

  • 証明書とは何を実現するためのものか
  • AWSでは証明書はどのサービスでどのように管理されているか
  • CloudFront/ALB/EC2という典型的な構成で証明書はどのように利用するか

試験範囲外のサービス

SCSでは,C02から試験範囲外のサービスが明記されるようになりました。

試験範囲外のサービス
分類サービス名
-アプリケーション開発サービス
IoT サービス
機械学習 (ML) サービス
メディアサービス
移行と転送サービス
試験範囲外のサービス
シェアはこちらからお願いします!

コメント

コメントする

※ Please enter your comments in Japanese to distinguish from spam.

目次