〜リアル・技術・現実・そしてちょっと笑える本音〜
かつて私はこう思っていました。
「でかいセキュリティ資格に受かったら、サクッとサイバーセキュリティ職に転職できるよね?」
HAHAHAHA。
甘かった。
世界はこう言いました:
「夢見るのは自由だけど、現実は別だよ。」
これは、
●AWS Security Specialty に合格した話
●しかも ベンチ(無プロジェクト)状態で
●そして それだけではキャリアが変わらなかった現実
●ついでに、セキュリティ資格の真実と
●ドメイン別の技術ポイント+勉強法
を全部まとめた、本音しかない記事です。
🌑 1. 試験前:私は“ベンチウォーマー”だった
当時の私は:
●プロジェクトなし
●クラウドなし
●セキュリティも関わってない
●ただ会社で“ログインしてる人”
スケジュールはこんな感じ:
●9:00 — ログイン
●9:01 — コーヒー
●9:02 — 「やばい、クビになる前に何か学ばないと…」
●10:00 — AWS 入門動画を見る
●12:00 — 失業への恐怖
●14:00 — 勉強開始
●18:00 — メンタル崩壊
●20:00 — 睡眠(心が折れた状態)
でも、ベンチ生活にはメリットがひとつありました。
圧倒的な“時間”
そして、何より
恐怖のパワーはすごい。
⚡ 2. AWS Security Specialty の何が難しいの?
この試験は単なる AWS クイズではありません。
必要なのは:
✔ 現実的なアーキテクチャ理解
✔ 多層防御の考え方
✔ ログ分析
✔ 脅威モデル
✔ インシデント対応
✔ IAM 地獄
✔ 暗号化の深い理解
✔ サービスの落とし穴知識
つまり、こういうことです:
用語を知っているか” の試験ではない。
本番でどう動くか” を問う試験。
🧠 3. 全ドメイン解説(技術を噛み砕いて分かりやすく)
🔐 ドメイン 1 — インシデント対応(12%)
「クラウド炎上中。どうする?」
必要な理解:
●CloudTrail(マルチリージョン、データイベント、整合性検証)
●GuardDuty
●IAM Access Analyzer
●VPC Flow Logs(OFF / ACCEPT / ALL)
●Config Rules
典型問題:
●EC2 が乗っ取られた → 原因を突き止める
●キー漏洩 → どうローテーションする?
●不審な API コール → 誰が何をした?
●S3 情報漏えい → ログで追跡する
Tips:
→ ログがないと何もできない
→ 自動化(SNS + Lambda)を好む問題が多い
🧱 ドメイン 2 — ロギング & モニタリング(20%)
AWS が大好きな分野。
ログの種類を区別できることが重要:
サービス - 何が分かる?
CloudTrail - API コール履歴
CloudWatch - Logs アプリ / OS ログ
GuardDuty - 脅威検知
Config - 設定の変化
Access Analyzer - ポリシーの異常
Flow Logs - ネットワーク動作
試験の罠:
CloudTrail は** 必ず**:
●マルチリージョン
●S3 + KMS 暗号化
●オブジェクトロック
●整合性検証
●組織単位
Tips:
→ 何がどのログで検知できるかを暗記せよ
👤 ドメイン 3 — IAM(Identity Access Management)
「IAM は宗教である」
理解必須:
●SCP vs Permission Boundary vs IAM Policy
●ロール委任
●セッションポリシー
●一時クレデンシャル
●Cross-account アーキテクチャ
●IAM Identity Center(新SSO)
●KMS ポリシーとの関係
試験のメンタル破壊ポイント:
●IAMロール
●バケットポリシー
●KMS キーポリシー
●SCP
●信頼ポリシー
●境界ポリシー
全部混ぜて出してきます。
それで一言:
「なぜ拒否される?」
地獄です。
🔏 ドメイン 4 — データ保護(18%)
覚えるべき:
●KMS 鍵タイプ
●エンベロープ暗号
●S3 暗号化の種類
●EBS 暗号化
●RDS 暗号化(不可逆)
●CloudHSM(クラスター構造)
試験トラップ:
S3 暗号化 ON
≠
アップロードされたオブジェクトが暗号化されている
Tips:
→ KMS の権限問題は試験の半分くらい出る
🔒 ドメイン 5 — インフラ保護(26%)
●SG vs NACL
●NAT ゲートウェイ
●WAF
●Shield Standard / Advanced
●PrivateLink
●Endpoint Policy
●VPC 設計
AWS の“正解思考”:
●DB は絶対にパブリックに置くな
●LB 以外は基本プライベート
●NAT Instance より NAT Gateway
●WAF + Shield セット推奨
🛡️ ドメイン 6 — アプリケーションセキュリティ(16%)
●Secrets Manager
●Parameter Store
●Lambda セキュリティ
●CI/CD
●ECR スキャン
●API Gateway 認証(IAM / Cognito / Lambda Authorizer)
試験トラップ:
●Lambda env に秘密情報
●公開 ECR
●無暗号化 SQS
●API 全開放
📘 4. 私の勉強法(“ベンチ版”リアル)
正直、スマートに勉強したわけではありません。
焦りと恐怖のハイブリッドでした。
やったこと:
✔ ACloudGuru / Udemy(基礎)
✔ TutorialsDojo(これが決め手)
✔ 自分で図を書きまくる
✔ Well-Architected Security Pillar 読破
✔ IAM を触りすぎてアクセス権エラーを量産
✔ 小さなラボ構築
✔ ガチで壊して直す(最高の学習)
🧨 5. 合格後…現実を見た
試験合格!
証明書もらった!
LinkedInに投稿した!
テンションMAX!
そして数週間後…
何も起きなかった。
●すぐに職が変わるわけでもなく
●誰かがスカウトしてくれるわけでもなく
●魔法の扉が開くこともない
理由はシンプル:
資格は“スタートライン”であって、
キャリアアップのショートカットではない。
資格が証明するのは:
✔ 概念を覚えた
✔ 図が読める
証明しないのは:
✘ 本番の事故対応ができる
✘ IAM 地獄で生き残れる
✘ 開発者にセキュリティを説明できる
✘ ビジネスリスクに変換できる
🔥 6. これが現実(LinkedIn は教えてくれない)
**1️⃣ 試験は “座学”。
仕事は “ラスボス戦”。**
2️⃣ 経験 > 資格(残酷だけど本当)
3️⃣ 資格はあなたを守らない。あなたが守るのは本番のクラウド。
4️⃣ ツールは変わる。原理は変わらない。
5️⃣ 資格 ≠ 即セキュリティエンジニア
🚀 7. その後、どうやって本当にセキュリティに入ったのか?
●次の経験が全てでした:
●実際のセキュリティ設定
●開発チームへの説明
●脆弱性対応
●アーキテクチャレビュー
●IAM の深い理解
●ビジネスリスクの翻訳
●モニタリング改善
●小規模なインシデント対応
実務こそが本物の“資格”です。
🌈 8. AWS Security Specialty を受ける人へ
✔ ラボを最優先
✔ IAM を死ぬほど理解せよ
✔ KMS / S3 / ネットワークは必須
✔ 全文暗記より“シナリオ理解”
✔ Well-Architected を読め
✔ TD問題集を使え(最強)
✔ 「なぜそうするのか?」を自問せよ
✔ 合格=ゴールではない
🧩 9. 最後に:資格は武器。戦い方は現場で覚える。
AWS Security Specialty を取る価値はあります。
これは間違いない。
ただし、
●職が変わる魔法ではない
●経験を代替しない
●問題解決能力を証明しない
●セキュリティのプロを保証しない
試験は “記憶を証明” する。
現場は “理解を証明” する。
そして本当のセキュリティエンジニアは、
●壊し
●直し
●守り
●設計し
●伝え
●学び続ける
その積み重ねで生まれます。