この記事の概要
2025/11/03
AWS Certified Advanced Networking - Specialty (ANS-C01)
を受験したので、その時の記録
復習用ノートとして、また後で見返して今後の資格試験受験時の参考用にまとめます。
この資格は3年前に取得し期限が迫ってきたので再受験しました。
前回の受験から3年経過していますが、ANS-C01 からバージョンアップされていないようです。
試験の概要
Specialty認定(AWSだけでなく各分野の専門知識を問われる資格試験)の中のネットワークに関する認定試験です。
この試験では「幅広い AWS のサービスに対応するネットワークアーキテクチャの設計と維持に関する専門知識を認定します。」とのこと。
※AWS公式より引用
◼︎ 試験要項
問題数 :65問
試験時間 :180分
受験料 :¥40,000(税別)
合格ライン:100~1000点中750点(約72%)
受験資格 :なし
有効期限 :3年
◼︎ 出題範囲
| 分野 | 出題割合 |
|---|---|
| 第 1 分野: ネットワーク設計 | 30% |
| 第 2 分野: ネットワーク実装 | 26% |
| 第 3 分野: ネットワークの管理と運用 | 20% |
| 第 4 分野: ネットワークセキュリティ、コンプライアンス、ガバナンス | 24% |
2025/10時点の最新バージョン(Ver.2.0) 試験ガイドに記載されているものです。
バージョンアップで範囲等は変更されるので、受験時は公式の試験ガイドを確認してください。
AWS Certified Advanced Networking - Specialty (ANS-C01) 試験ガイド
◼︎ 出題形式
「択一選択問題」または「複数選択問題」のいずれかが出題されます。
MLAなどの新しいAWS認定試験では、「順序付け」や「内容一致」の問題もありますが、ANS-C01ではこれらの出題形式はまだ採用されていません。
勉強開始前の状態
AWSで動いているアプリケーションの開発/運用の業務を8年程度、現在も継続中。
AWS認定は15個取得済み。
- AWS認定ソリューションアーキテクトを受験した時の話
- AWS認定デベロッパーアソシエイトを受験した時の話
- AWS認定SysOpsアドミニストレーターアソシエイトを受験した時の話
- AWS認定ソリューションアーキテクトプロフェッショナルを受験した時の話
- AWS認定DevOpsエンジニアプロフェッショナルを受験した時の話
- AWS認定セキュリティ - 専門知識を受験した時の話
- AWS認定データベース - 専門知識を受験した時の話
- AWS認定アドバンストネットワーキング - 専門知識を受験した時の話
- AWS認定データ分析 - 専門知識を受験した時の話
- AWS認定機械学習 - 専門知識を受験した時の話
- AWS認定SAP on AWS - 専門知識を受験した時の話
- AWS Certified Data Engineer - Associate受験時の記録
- AWS Certified AI Practitioner(AIF)受験時の記録
- AWS Certified Machine Learning Engineer - Associate受験時の記録
※CLFはAll Certificateのために後半で取得したので特に書くこともなく記事にしていません。
勉強に使ったもの
1. AWS Skill Builder
AWS公式のE-Learningと問題集が無料で提供されているので、対象資格の関連コースを見ておきます。
「Official Practice Question Set」が練習問題、「Domain 1~4 Review」が分野ごとのE-Learningコースです。
ANSのE-Learningは言語が「日本語」となっていてもE-Learning内の動画は英語でした。(他の試験の場合動画も日本語のものもあります)
話している内容は日本語字幕をつけられるのですが、表示されている資料は英語のままなので少し解りづらいかも知れません。
2. オンライン問題集(非公式)
前回受験時に買い切りで購入したWhizlabsを再度利用しました。
235問(65問×3パターン+セクション問題が40問) 用意されています。
※FreeとFinalは他の問題と重複した内容のためカウントしていません。
3. 公式ドキュメント
問題集などで疑問に思った箇所や理解不足を感じた箇所を補うためにドキュメントを読んでいきます。
公式ドキュメントは分かりづらい書き方をしている場合が多いので、正確な仕様などは公式ドキュメント、概要の理解などは非公式の技術ブログなどで使い分けるといいかもしれません。
4. Amazon Q Developer
AWSの提供するAmazon Q DeveloperはAWSについて学習済みなので、AWSサービスに関する質問には素早く答えてくれます。わからないことがあったらすぐに質問できて非常に便利です。
設定方法は 
こちらのページがわかりやすかったです。
5. MCPサーバー
で「公式ドキュメントを読む」と書いたんですが、なかなか目的の記事が見つからなかったり、文章量が多くて読むのが大変なときもあると思います。
AWSでは公式ドキュメント内を検索できるMCPサーバーが用意されているので、これを活用してAmazon Q DeveloperなどのAIエージェントで検索させると目的のページに早くたどり着けたり、内容を要約してもらえたりして学習効率が大きく向上します。
設定は非常に簡単です。
6. AWSアカウント
実際に触ってみないとイマイチイメージしづらかったり、覚えづらい部分もあるので普段触らないサービスはチュートリアルなどで少し触っておきます。
時間がないときは対象AWSサービスの「リソース作成」画面だけでも触っておくと設定項目として登場する用語や概念を知ることができます。
勉強時間
約35時間
更新ということもありSkill Builderのコースの内容はだいたい履修済みだったので、問題集で間違えた問題について追加で調べながら覚えていくのがメインでした。
過去の学習ノートも自分の言葉で書いてあるので思い出しやすく、再学習に役に立ちました。
受験後
スコアは848で合格、前回受験時は700点台だったので少し成長を感じました。
プロフェッショナルの試験でも同様ですが、トランジットゲートウェイやDXゲートウェイ、サイト間VPNなどを使った大規模アーキテクチャは触る機会がなく、勉強のために構築してみることもできないので、実際の構成をイメージしづらくて難しく感じますね。
今回試験対策の中で初めてAmazon Q Developerを使いましたが、学習中に疑問点を気軽に質問できたり、AWSサービスで登場する概念や用語を体系的に説明してもらえるのは非常に便利ですね。今後も活用していこうと思います!
勉強ノート
試験のために勉強しながらまとめたノート
※ここに書いてあることは、あくまで私が理解が足りないと感じ、覚えたかったことだけです。試験範囲を網羅はしていません。
トランジットゲートウェイ
- 複数VPCをオンプレとサイト間VPNやDirect Connect接続する際のハブになる
- 複数リージョンにまたがる場合は各リージョンにトランジットゲートウェイを作成する
- RAMを使うことでマルチアカウントで1つのトランジットゲーをウェイを共有することもできる
VPNアクセラレーション
トランジットゲートウェイで利用できる高速化機能
オンプレ拠点とAWSリージョンが異なる国にある場合などの通信速度の遅延を解消できる可能性がある
Transit Gateway Network Manager
トランジットゲートウェイ周りの環境の可視化を行えるサービス
VPCエンドポイントサービス
AWSでホストしている独自サービスを他のVPC(他アカウント含む)へ公開・共有できる
この際NLBをサービス提供側のIFとして利用する(ALBは利用できない)
VPCエンドポイントと名前が似ているが「サービス」がつくと意味が変わる
AWS Direct Connect
Direct Connect Gateway
複数リージョンのDirect Connectを接続するグローバルリソース
VPC間のハブにはならないため、複数VPCの場合トランジットゲートウェイも組み合わせる
Direct Connect SiteLink
Direct Connectゲートウェイをハブとしてオンプレ拠点間をプライベート接続できる
プライベートVIFに対しSiteLinkの設定を有効化する
Virtual Interface(VIF)の種類
- Private VIF: VPC(VGW/TGW経由)への接続
- Public VIF: AWSパブリックサービス(S3、DynamoDBなど)への接続
- Transit VIF: Direct Connect Gateway経由でTransit Gatewayへ接続
MACsec
DX接続を暗号化することができる、物理層に近い部分で暗号化されるため帯域幅を圧迫しない
パブリックVIFとプライベートVIF
Direct ConnectのVIFにはパブリックとプライベートの2種類ある
- パブリックVIF: オンプレと非VPCサービス(DynamoDB、S3、SSMなど)との接続用、Direct Connect経由でVPCの外(インターネット)に出ていくために利用する
- プライベートVIF: オンプレとVPCサービス(RDS、EC2など)との接続用、VPCゲートウェイと組み合わせることでS3やDynamoDBなどの非VPCサービスにプライベート接続することもできる
BFD
BFD(Bidirectional Forwarding Detection:双方向転送検出))は2台の隣接するルータ間の転送パスの生存状況を調べて高速に障害を検知してルーティングプロトコルに通知する機能。
Direct Connect接続を複数構築し冗長化する場合、オンプレ側ルータでBFDを設定することで、Direct Connect障害発生時に素早くフェイルオーバーさせることができる。
Gateway Load Balancer
Gateway Load BalancerはAWS上のサービスのインターネットとのすべての通信を中継しFW、IDSなどの仮想アプライアンスを経由させたいケースで利用できる
Gateway Load Balancerはポート6081でGENEVEプロトコルを使用してターゲットにリクエストを転送する
AWS Cloud WAN
AWSのマネージドWANサービスで、複数リージョンにまたがったトランジットゲートウェイやVPCなどで構成されるグローバルネットワークを統合管理できるサービス
主な機能
- グローバルネットワークの一元管理
- 複数リージョンのネットワークを単一のダッシュボードで管理
- AWSとオンプレミスを統合したグローバルネットワーク
- 自動的なネットワークトポロジーの可視化
- 自動化されたネットワーク構築
- ポリシーベースの設定
- Transit Gatewayの自動作成と接続
- ルーティングの自動設定
- セグメンテーション
- ネットワークセグメント(論理的な分離)
- 部門別、環境別(本番/開発)の分離
- セグメント間のルーティング制御
AWS Network Manager
AWS Cloud WANコアネットワークとTransit Gatewayネットワークを一元管理できるサービス
Amazon CloudWatch Internet Monitor
AWS環境とインターネットとの間の通信の問題を可視化するサービス
Reachability Analyzer
VPC内の2つのリソース間のネットワーク到達可能性を分析及びデバッグできるサービス
以下のリソースを送信元と宛先に設定できる
- インスタンス
- インターネットゲートウェイ
- ネットワークインターフェイス
- Transit Gateway
- Transit Gateway アタッチメント
- VPC エンドポイントサービス
- VPC エンドポイント
- VPC ピアリング接続
- VPN ゲートウェイ
VPCエンドポイントのゲートウェイ型とインターフェイス型
VPCエンドポイントにはゲートウェイ型とインターフェイス型の2種類あり、ゲートウェイ型エンドポイントはDynamoDBとS3のみ提供されている
主な違い
- ゲートウェイ型はルートテーブルによりサブネット単位で宛先を切り替える
- インターフェイス型はDNSによりVPC単位で宛先を切り替えるか、リクエスト先のドメイン名指定により個別で切り替える方式から選べる
選択基準
DynamoDBまたはS3用のエンドポイントを作成する際どちらを選ぶべきか
結論としては、基本的にゲートウェイ型のほうがコストも安くすむため推奨となる
ただし、DX経由でS3やDynamoDBにアクセスしたい場合などインターフェイス型のほうが適しているケースもある
AWS Network Firewall
VPC内のネットワークトラフィックを保護するマネージド型のステートフルファイアウォールサービス。
VPC単位でファイアウォールを配置し、ファイアウォールポリシーでルールを設定する。
デプロイメントモデル
ファイアウォールの配置の仕方はいくつかある
- 集中型(Centralized): 一つのVPCに配置し、すべてのトラフィックを一元管理
- 分散型(Distributed): VPCごとに配置し、個別のルールを設定
- ハイブリッド型: インターネット向けは1つのVPC、VPC間の通信は各VPC
ロギングとモニタリング
2つのログタイプ
- Alert Log(アラートログ): ルールにマッチしたトラフィックのみ、脅威検出など
- Flow Log(フローログ): すべてのトラフィックフロー、監視や分析
3つのログ送信先
- Amazon S3: 長期保存、分析
- CloudWatch Logs: リアルタイム監視
- Kinesis Data Firehose: ストリーミング処理
AWS Control Tower
AWSのマルチアカウント環境を安全かつ効率的にセットアップし、管理するためのサービス。
Account Factoryを用いた標準化されたアカウントのプロビジョニングやガードレールによるセキュリティとコンプライアンスのベストプラクティスを強制などが行える。
Account Factory Customization (AFC)
AWS Control Towerでのアカウント作成時に自動的にカスタマイズを適用する機能。
ネットワークの東西南北
ネットワークトラフィックの方向を方角で表現することがある
- 南北トラフィック(North-south traffic): データセンター(またはVPC)とインターネット間の出入りのトラフィック
- 東西トラフィック(East-west traffic): データセンター(またはVPC)内のデバイス間のトラフィック
ALBとNLB
ALBとNLBはそれぞれ異なる特徴を持っており、要件に応じて使い分ける
選択肢がALB/NLBで別れている場合、問題文中にどちらかが対応していない要件が含まれていないか確認する
| 機能 | NLB | ALB |
|---|---|---|
| TLSオフロード | できない | できる |
| WAF | 紐づけできない | 紐づけできる |
| エンドポイントサービス | 紐づけできる | 紐づけできない |
| IP固定 | できる | できない |
| パスやクエリによる振り分け | できない | できる |
| WebSocket通信 | できない | できる |
AWS Load Balancer Controller
ELBをKubernetesクラスタから管理する事ができるツール。
Kubernetes IngressリソースとしてALBを、Kuberntes ServiceリソースとしてNLBを利用することができるようになる。
ローカルやCloudShellなどのKubernetes管理を行う環境にインストールして利用する。
VPCトラフィックミラーリング
特定のENIのネットワークトラフィックをキャプチャし、送信することができる。
送信先ターゲットとして
- ENI(分析用EC2インスタンス)
- NLB
- GLB
のいずれかを設定できる。
VPCフローログと用途が近いが、トラフィックミラーリングは完全なパケットキャプチャが行えるため、VPCフローログでは確認できないペイロードやアプリケーションデータまで取得したい場合に利用する。
例)すべてのパケットをNLB背後のIDSに送信し検査する。
VPCにおけるDHCP
VPCではDHCPオプションセットにより以下を設定できる
- DNS解決の有効/無効
- DNS解決の際のクライアントのドメイン名
- VPC内で利用するDNSサーバー
- VPC内で利用するNTPサーバー
デフォルトDHCPオプションセットとカスタムDHCPオプションセットがあり、デフォルトDHCPオプションセットではAmazonProvidedDNSサーバーなどが利用される
カスタムDHCPオプションセットを利用するとVPC内から社内DNSサーバーを利用する事もできる
※AWSリソース固有のDNS名はAmazonProvidedDNSに登録されているため、単純にDNSサーバーを変えるだけだとこれらが解決できなくなる
NAT64/DNS64
- IPv6からIPv6のアドレス変換をNAT64、DNSサーバがIPv4-IPv6変換アドレス用プリフィクスを返す機能をDNS64という
- これらを組み合わせることでIPv6専用ネットワークからIPv4専用ネットワークへの通信を可能にする、IPv6への移行のための技術
- VPCやNAT GWはNAT64/DNS64をサポートしている