AWS認定試験の合格に必要な知識を確認します。
前提
下図の通り,ソリューションアーキテクトにはアソシエイトレベルとプロフェッショナルレベルの二種類があります。本稿では,専門レベルのセキュリティスペシャリティ(SCS)に関して,C01バージョンの試験とC02バージョンの試験の違いを確認します。旧試験と新試験の違いを把握することで,現在実施されているバージョンの試験でよく狙われる範囲を把握することができます。
背景
従来,SCSはC01バージョンの試験が実施されていましたが,2023年7月11日からC02バージョンの試験が実施されています。バージョン改定直前までは公式サイトにて告知の文言が挿入されていたのですが,現在では削除されているようです。そのため,2023年7月11日からSCS-C02にアップデートされるという公式のアナウンスは見つけることができませんでした。
C01とC02の試験ガイドは下記のURLから確認できます。本稿では,上記試験ガイドを比較して,SCSにおけるC01とC02の違いをまとめていきます。
結論
マルチアカウント管理とリソース管理についての出題分野が追加された。特に,IAMを用いたクロスアカウント制御は必須になりそう。ベースの知識として証明書の管理方法は理解しておくとよい。
詳細
以下では,試験ガイドの見出しに沿って,それぞれでC01とC02の違いを洗い出していきます。
評価する能力
C01の試験ガイドとC02の試験ガイドで差分はありませんでした。
推奨されるAWSの知識
C01とC02ともに,3〜5年相当のセキュリティ分野の経験が必要とされています。また,特にAWSワークロードについては2年以上の実務経験が必要とされています。C01では具体的な知識には言及がないものの,C02では推奨されるAWSの知識の解像度を上げており,具体的に必要とされる知識が明示されるようになりました。同時に,C02では試験範囲外の対象も明示されるようになりました。
試験内容
試験の概要は,以下の通り変更はありません。
| 項目 | C01 | C02 |
|---|---|---|
| 最低合格スコア | 750/1000 点 | 750/1000 点 |
| スコアのスケール | $\cm$ | $\cm$ |
| 問題数 | 65 問 | 65 問 |
C01とC02の両方で「スコアに影響しない採点対象外の設問が10問含まれる」と明記されています。これは,受験者の成績を収集し,今後採点対象の設問として使用できるかどうかを評価するためのダミー問題で,受験者にはどの設問が採点対象外かは知らされません。
C02の対象範囲では,インシデント対応の分野に「脅威検出」が明示されるようになり,「管理とセキュリティガバナンス」が追加されました。これらの変化に伴って全体の比重も調整されています。
| C01 | 比重 | C02 | 比重 |
|---|---|---|---|
| インシデント対応 | 12% | 脅威検出とインシデント対応 | 14% |
| ログと監視 | 20% | セキュリティロギングとモニタリング | 18% |
| インフラストラクチャのセキュリティ | 26% | インフラストラクチャのセキュリティ | 20% |
| ID およびアクセス管理 | 20% | Identity and Access Management | 16% |
| データ保護 | 22% | データ保護 | 18% |
| - | - | 管理とセキュリティガバナンス | 14% |
脅威検出が追加されたのは,AWS側の脅威検出サービスで機能が充実してきたことが背景にあると考えられます。もちろん,C01でも脅威検出の内容は試験で出題されていたはずですので,出題の実態と出題範囲の体裁を整えるための変更だとも捉えられます。一方,後述の通り,管理とセキュリティガバナンスに関しては,マルチアカウント統制に関する設問が増えることが予測されます。これは社会的ニーズによるものだと考えられます。
C02から追加された「脅威検出」と「管理とセキュリティガバナンス」について深堀りしておきましょう。C02の試験ガイドからは,各分野で必要とされる知識が細やかに明示されるようになっていますので,そちらから引用してみます。
脅威検出に関しては「AWSのサービスを使用してセキュリティの脅威と異常を検出する」という表現が用いられています。したがって,C02で追加された脅威検出の分野に関してはAWSのサービスがどのような要件を満たすことができるのか,という観点でおさえておくとよいでしょう。具体的には,下記のサービスが明記されています。
- GuardDuty
- Security Hub
- Macie
- AWS Config
- IAM Access Analyzer
- Detective
- Athena
- CloudWatch
次に,管理とセキュリティガバナンスで必要となる知識は大きく4つに分けられます。
- AWSアカウントを一元的にデプロイして管理する戦略を策定する(アカウント管理)
- クラウドリソースのための安全で一貫したデプロイ戦略を実装する(リソース管理)
- AWSリソースのコンプライアンスを評価する(コンプラ評価)
- アーキテクチャレビューとコスト分析を通じてセキュリティギャップを特定する(コスト・アーキ)
これらの4つを表でまとめると下記のようになります。
| 必要な知識 | 該当するAWSの概念 | 一言 |
|---|---|---|
| アカウント管理 | IAM OrganizationsとSCP Control Tower | クロスアカウント制御等が問われそう OrganizationsのOUに関する理解は必須 |
| リソース管理 | CloudFormation タグ バージョン Service Catalog Firewall Manager Resource Access Manager | IaCで管理することのメリットを理解する 意外なサービスがRAMで制御可能だったりする |
| コンプラ評価 | Macie Config Security Hub Audit Manager | AWSのサービスと要件が一対一で対応しがち |
| コスト・アーキ | Trusted Advisor Cost Explorer Well-Architected Tool | おまけみたいなもの |
試験範囲内のサービス
C01では試験範囲内のサービスは明示されていませんが,C02では明示されるようになりました。
試験範囲内のサービス
| 分類 | サービス名 |
|---|---|
| マネジメントとガバナンス | AWS Audit Manager AWS CloudTrail Amazon CloudWatch AWS Config AWS Organizations AWS Systems Manager AWS Trusted Advisor |
| ネットワークとコンテンツ配信 | Amazon Detective AWS Firewall Manager AWS Network Firewall AWS Security Hub AWS Shield Amazon VPC VPC エンドポイント ネットワーク ACL セキュリティグループ Network Access Analyzer AWS WAF |
| セキュリティ アイデンティティ コンプライアンス | AWS Certificate Manager (ACM) AWS CloudHSM AWS Directory Service Amazon GuardDuty AWS Identity and Access Management (IAM) Amazon Inspector AWS Key Management Service (AWS KMS) Amazon Macie AWS Single Sign-On |
特に,付録の冒頭では試験の対象となる主要な概念が記載されていますが,そこには「証明書管理」が含まれています。これはSCSのC01・C02の両者で理解が必須となるベースの知識となっていますので,最低でも下記の問いには答えられるようにしておきたいです。
- 証明書とは何を実現するためのものか
- AWSでは証明書はどのサービスでどのように管理されているか
- CloudFront/ALB/EC2という典型的な構成で証明書はどのように利用するか
試験範囲外のサービス
SCSでは,C02から試験範囲外のサービスが明記されるようになりました。
試験範囲外のサービス
| 分類 | サービス名 |
|---|---|
| - | アプリケーション開発サービス IoT サービス 機械学習 (ML) サービス メディアサービス 移行と転送サービス |
コメント