#はじめに
以前、こちらの記事でAWS認定セキュリティ取得に向けたポイントをまとめた
AWS 認定セキュリティの取得に向けての学習
具体的にどのように取り組んでいくかを記載する。
ちなみに、私は『AWS 認定ソリューションアーキテクト – プロフェッショナル』を取得しているため、ある程度AWSの全体概要を理解している状態である。(ただし、実務経験はなし)
#準備するもの
- 市販:要点整理から攻略する『AWS認定 セキュリティ-専門知識』
- AWS サービス別資料
- AWS 初心者向けハンズオン
- AWS Well-Architected Framework のセキュリティの柱
- AWSデジタルコンテンツ(無料)
##AWSデジタルコンテンツ
セキュリティ関連で日本語のコンテンツは下記がある
- Getting Started with AWS Security, Identity, and Compliance (Japanese)
- AWS Security Fundamentals (Second Edition) (Japanese)
- AWS Foundations: Securing Your AWS Cloud (Japanese)
- Deep Dive with Security: AWS Identity and Access Management (IAM)
- Protect Your Web-facing Workloads with AWS Security Services
- Exam Readiness: AWS Certified Security – Specialty
#第1フェーズ
対策本:要点整理から攻略する『AWS認定 セキュリティ-専門知識』をまずは一通り、目を通してどのようなサービスが問題として出て、それぞれがどのような機能なのかの全体像を掴む。
##カテゴリ
AWSの公式より、問題の配分と分野は下記の通りである。
| 分野 | 出題の比率 |
|---|---|
| インシデント対応 | 12% |
| ログ記録とモニタリング | 20% |
| インフラストラクチャのセキュリティ | 26% |
| Identity and Access Management | 20% |
| データ保護 | 22% |
これらに各サービスを当てはめて整理する。
このようにしてみると、どのサービスから学ぶべきか見えてくると思います。
またBlackBeltに資料があるかの有無も記載した。
※▲はメイン情報がないことを示している。(アップデート情報などはある)
###インシデント対応(12%)
- AWS Config | blackbelt◯
- AWS Systems Manager | blackbelt◯
- Amazon CloudWatch | blackbelt◯
- AWS Trusted Advisor | blackbelt◯
- AWS CloudTrail | blackbelt◯
- AWS CloudFormation | blackbelt◯
- Amazon Macie | blackbelt◯
- Amazon GuardDuty | blackbelt◯
- AWS Security Hub | blackbelt◯
- Amazon Detective | blackbelt◯
###ログ記録とモニタリング(20%)
- Amazon CloudWatch | blackbelt◯
- AWS Config | blackbelt◯
- AWS CloudTrail | blackbelt◯
- AWS X-Ray | blackbelt◯
- Amazon Inspector | blackbelt◯
- S3 | blackbelt◯
- Amazon Athena | blackbelt◯
- VPCFlow Logs | blackbelt×
- Amazon QuickSight | blackbelt▲1 blackbelt▲2
- Amazon Kinesis | blackbelt◯
- Amazon Elasticsearch Service | blackbelt◯
###インフラストラクチャのセキュリティ(26%)
- AWS WAF | blackbelt▲
- AWS Shield | blackbelt◯1 blackbelt◯2
- AWS Firewall Manager | blackbelt×
- Amazon Route53 | blackbelt◯1 blackbelt◯2
- Amazon CloudFront | blackbelt◯
- Elastic Load Balancing | blackbelt◯
- AWS Auto Scaling | blackbelt◯
- Amazon API Gateway | blackbelt◯
- Amazon Virtual Private Cloud | blackbelt◯
- Security Group | blackbelt×
- AWS Artifact | blackbelt◯
###Identity and Access Management(20%)
- AWS IAM | blackbelt◯1 blackbelt◯2
- AWS Directory Service | blackbelt◯
- Amazon Cognito | blackbelt◯
- AWS Organizations | blackbelt◯
###データ保護(22%)
- AWS Key Management Service | blackbelt◯
- AWS CloudHSM | blackbelt◯
- Amazon Elastic Block Store | blackbelt◯
- Amazon RDS | blackbelt◯
- Amazon DynamoDB | blackbelt◯
- Amazon S3 | blackbelt◯
- AWS Secrets Manager&Parameter Store | blackbelt×
#第2フェーズ
各サービスがどのような機能なのかを説明できるように、本やBlackBeltを熟読する。
まずは、サービス名が出された時に、機能を一言で表せるかどうかで判断する。
参考として下記に一言で表した表を用意した。
| サービス名 | 機能 |
|---|---|
| IAM | AWSのサービスとリソースに対する認証認可を提供する |
| Directory Service | AWS内でマネージド型のMS ADを利用する |
| Cognito | Web/モバイルAPPのユーザーの認証認可を行う |
| Organizations | 複数AWSアカウントをまとめる |
| AWS WAF | Web Application Firewallのマネージドサービス |
| AWS Shield | DDos攻撃からシステムを守る |
| AWS Firewall Manager | AWS WAF、AWS Shield Advanced、VPC SGのポリシーを一言管理 |
| Route53 | DNSのマネージドサービス |
| CloudFront | 静的・動的データを高速に配信するCDN |
| ELB | アプリケーションへのトラフィックを複数のターゲットに分散させる |
| Auto Scaling | 事前設定に応じてサービス構成するリソースを自動増減させる |
| API Gateway | APIを作成、公開するためのサービス |
| VPC | AWS上に論理的に分離された領域を作成し、仮想NW環境を作る |
| Security Group | インスタンスに対する送受信トラフィックへのアクセス制御を行う |
| AWS Artifact | AWSのコンプライアンスドキュメントをダウンロードできる |
| KMS | データ暗号化に使用される暗号化キーの作成と管理を行う |
| CloudHSM | (より厳重に)データ暗号化に使用される暗号化キーの作成と管理を行う |
| EBS | EC2で使用されるストレージボリューム |
| RDS | リレーショナルデータベースを提供する |
| DynamoDB | NoSQLデータベースサービス |
| S3 | インターネットストレージサービス |
| Secrets Manager | パスワードなどの認証情報を管理する |
| Secrets ManagerのParameter Store | (プレーンな)パスワードなどの認証情報を管理する |
| CloudWatch | AWSサービスのメトリックス、ログ、イベントといったデータを収集し、可視化する |
| Config | AWSリソースやEC2、オンプレサーバの設定変更管理、変更履歴のモニタリングを行う |
| CloudTrail | AWSアカウントに対する操作のイベントログを記録する |
| X-Ray | APP内で発生するサービス間リクエストを収集&分析する |
| Inspector | セキュリティ評価のためのサービス |
| S3にログ収集 | ログファイルや結果ファイルがS3バケットに保存 |
| Athena | S3に格納されているデータに対し、SQL分析できる |
| VPCFlow Logs | VPC内のIPトラフィック状況をログとして保存するVPC機能 |
| QuickSight | マネージド型のビジネス分析(BI)する |
| Kinesis | ストリームデータを高速に取り込み、集約する |
| Elasticsearch Service | RESTful分析検索/分析エンジン(Elasticsearch)のクラスタをAWS上にデプロイして、利用する |
| Systems Manager | EC2やオンプレサーバを制御、管理する |
| Trusted Advisor | AWSが推奨するベストプラクティスに則り、アドバイスを提供 |
| CloudFormation | JSON/YAML形式でAWSリソースをテンプレートファイル化し、構築を自動化する |
| Macie | S3にある個人情報などを機密データとして自動発見し、通知/保護処理を実行する |
| GuardDuty | AWSで発生する不正やセキュリティイベント等の脅威を検出するサービス |
| Security Hub | AWSのセキュリティ状況やコンプライアンス準拠状況を1箇所で確認できる |
| Detective | AWSサービス情報をインプットに、潜在的なセキュリティ問題/不審なアクティビティを分析/調査できる |
その後、詳しい機能の理解を身につけていく。
##AWSドキュメント
主要なサービスにはAWSが提供するドキュメントやベストプラクティスがあるので、そちらも熟知する
#第3フェーズ
以下の観点で各サービスの機能の理解をする。
###視点
- どの範囲のセキュリティサービスなのか
- どのように設定をするのか
- どのような仕組みなのか
- どのような選択肢があるのか
- どのような制限があるのか
###知識
- データの保護・暗号化方法
- セキュアな通信方法
- AWSリソースの保護(セキュア対策)方法
- ログの収集と監視および確認方法
- セキュリティ問題が起こったときの対応方法
- 日常的な運用とリスク
- 設定の確認や評価の方法
- 各AWSサービス同士の連携
#第4フェーズ
次に、問題を解いてみる。
対策本:要点整理から攻略する『AWS認定 セキュリティ-専門知識』の各ページにある問題や巻末にある問題にチャレンジしてみた。大体7割〜8割取れたら良い方と思われる。
また、もっと問題を解きたいと言う人は下記にもチャレンジしてみると良い。
#第5フェーズ
問題も解いて、繰り返し対策本やBlackBeltを読み込んで自信がついたら試験にチャレンジ!!
申し込みはこちらから可能です。
持ち物や申し込みの仕方やオンライン試験も対応しており、初めての方は焦るかもしれませんが、その辺りはググってみてください!!
#最後に
AWS認定セキュリティの取得に向けた対策をまとめました!ぜひご参考に