2
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

AWS 認定セキュリティの取得に向けた対策

Posted at

#はじめに
以前、こちらの記事でAWS認定セキュリティ取得に向けたポイントをまとめた
AWS 認定セキュリティの取得に向けての学習

具体的にどのように取り組んでいくかを記載する。
ちなみに、私は『AWS 認定ソリューションアーキテクト – プロフェッショナル』を取得しているため、ある程度AWSの全体概要を理解している状態である。(ただし、実務経験はなし)

#準備するもの

##AWSデジタルコンテンツ
セキュリティ関連で日本語のコンテンツは下記がある

#第1フェーズ
対策本:要点整理から攻略する『AWS認定 セキュリティ-専門知識』をまずは一通り、目を通してどのようなサービスが問題として出て、それぞれがどのような機能なのかの全体像を掴む。

##カテゴリ
AWSの公式より、問題の配分と分野は下記の通りである。

分野 出題の比率
インシデント対応 12%
ログ記録とモニタリング 20%
インフラストラクチャのセキュリティ 26%
Identity and Access Management 20%
データ保護 22%

これらに各サービスを当てはめて整理する。
このようにしてみると、どのサービスから学ぶべきか見えてくると思います。
またBlackBeltに資料があるかの有無も記載した。
※▲はメイン情報がないことを示している。(アップデート情報などはある)

###インシデント対応(12%)

###ログ記録とモニタリング(20%)

###インフラストラクチャのセキュリティ(26%)

###Identity and Access Management(20%)

###データ保護(22%)

#第2フェーズ
各サービスがどのような機能なのかを説明できるように、本やBlackBeltを熟読する。
まずは、サービス名が出された時に、機能を一言で表せるかどうかで判断する。
参考として下記に一言で表した表を用意した。

サービス名 機能
IAM AWSのサービスとリソースに対する認証認可を提供する
Directory Service AWS内でマネージド型のMS ADを利用する
Cognito Web/モバイルAPPのユーザーの認証認可を行う
Organizations 複数AWSアカウントをまとめる
AWS WAF Web Application Firewallのマネージドサービス
AWS Shield DDos攻撃からシステムを守る
AWS Firewall Manager AWS WAF、AWS Shield Advanced、VPC SGのポリシーを一言管理
Route53 DNSのマネージドサービス
CloudFront 静的・動的データを高速に配信するCDN
ELB アプリケーションへのトラフィックを複数のターゲットに分散させる
Auto Scaling 事前設定に応じてサービス構成するリソースを自動増減させる
API Gateway APIを作成、公開するためのサービス
VPC AWS上に論理的に分離された領域を作成し、仮想NW環境を作る
Security Group インスタンスに対する送受信トラフィックへのアクセス制御を行う
AWS Artifact AWSのコンプライアンスドキュメントをダウンロードできる
KMS データ暗号化に使用される暗号化キーの作成と管理を行う
CloudHSM (より厳重に)データ暗号化に使用される暗号化キーの作成と管理を行う
EBS EC2で使用されるストレージボリューム
RDS リレーショナルデータベースを提供する
DynamoDB NoSQLデータベースサービス
S3 インターネットストレージサービス
Secrets Manager パスワードなどの認証情報を管理する
Secrets ManagerのParameter Store (プレーンな)パスワードなどの認証情報を管理する
CloudWatch AWSサービスのメトリックス、ログ、イベントといったデータを収集し、可視化する
Config AWSリソースやEC2、オンプレサーバの設定変更管理、変更履歴のモニタリングを行う
CloudTrail AWSアカウントに対する操作のイベントログを記録する
X-Ray APP内で発生するサービス間リクエストを収集&分析する
Inspector セキュリティ評価のためのサービス
S3にログ収集 ログファイルや結果ファイルがS3バケットに保存
Athena S3に格納されているデータに対し、SQL分析できる
VPCFlow Logs VPC内のIPトラフィック状況をログとして保存するVPC機能
QuickSight マネージド型のビジネス分析(BI)する
Kinesis ストリームデータを高速に取り込み、集約する
Elasticsearch Service RESTful分析検索/分析エンジン(Elasticsearch)のクラスタをAWS上にデプロイして、利用する
Systems Manager EC2やオンプレサーバを制御、管理する
Trusted Advisor AWSが推奨するベストプラクティスに則り、アドバイスを提供
CloudFormation JSON/YAML形式でAWSリソースをテンプレートファイル化し、構築を自動化する
Macie S3にある個人情報などを機密データとして自動発見し、通知/保護処理を実行する
GuardDuty AWSで発生する不正やセキュリティイベント等の脅威を検出するサービス
Security Hub AWSのセキュリティ状況やコンプライアンス準拠状況を1箇所で確認できる
Detective AWSサービス情報をインプットに、潜在的なセキュリティ問題/不審なアクティビティを分析/調査できる

その後、詳しい機能の理解を身につけていく。

##AWSドキュメント
主要なサービスにはAWSが提供するドキュメントやベストプラクティスがあるので、そちらも熟知する

#第3フェーズ
以下の観点で各サービスの機能の理解をする。

###視点

  • どの範囲のセキュリティサービスなのか
  • どのように設定をするのか
  • どのような仕組みなのか
  • どのような選択肢があるのか
  • どのような制限があるのか

###知識

  • データの保護暗号化方法
  • セキュアな通信方法
  • AWSリソースの保護(セキュア対策)方法
  • ログの収集と監視および確認方法
  • セキュリティ問題が起こったときの対応方法
  • 日常的な運用リスク
  • 設定の確認評価の方法
  • 各AWSサービス同士の連携

#第4フェーズ
次に、問題を解いてみる。
対策本:要点整理から攻略する『AWS認定 セキュリティ-専門知識』の各ページにある問題や巻末にある問題にチャレンジしてみた。大体7割〜8割取れたら良い方と思われる。
また、もっと問題を解きたいと言う人は下記にもチャレンジしてみると良い。

#第5フェーズ
問題も解いて、繰り返し対策本やBlackBeltを読み込んで自信がついたら試験にチャレンジ!!
申し込みはこちらから可能です。
持ち物や申し込みの仕方やオンライン試験も対応しており、初めての方は焦るかもしれませんが、その辺りはググってみてください!!

#最後に
AWS認定セキュリティの取得に向けた対策をまとめました!ぜひご参考に

2
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?