[前回] AWS公式資料で挑むSCS認定(17)-Macie
はじめに
AWS公式の無料トレーニングコース
Exam Readiness: AWS Certified Security - Specialty (Japanese)
の最後にある模擬テスト(24問)を解いてみました。
結果見事に不合格、準備不足と判断し認定試験延期する羽目に(24時間前まで変更・キャンセル可)。
ちなみに、上記コースの出題分野別解説と例題、とても分かりやすかったです。
今回は、模擬テストの振り返り、自己分析となります。
不正解の原因をカテゴライズしてみると、
- 知識不足
- 解き方
- その他
1つずつ、紐解いてみます。
知識不足
- 似たようなサービスにおける守備範囲の差異
- DDoS対策に使用できるサービス複数あるが、守れる範囲は異なる
- Amazon GuardDutyはEC2を守れてもアプリケーション全体は守れない
- セキュリティグループに無制限アクセス設定がないかの確認は、AWS ConfigよりTrusted Advisorに軍配が
- DDoS対策に使用できるサービス複数あるが、守れる範囲は異なる
- サービスの「できる・できない」
- DynamoDB がサポートするのはIDベースポリシー(IAMポリシー)のみ、リソースベースポリシーはサポートしない
- S3パケットACLで設定できるのは、許可のみで拒否はできない
- CloudTrail はAPI使用をモニタリングできても、アクセス許可はチェックできない
- 連携できないサービス
- Trusted Advisor のチェックに基づき CloudWatch Events を設定することはできない
- Amazon Inspector で EC2インスタンスの AMI が正しいかはチェックできない
解き方
- 問題文を正しく理解できず齟齬や漏れ
- だれ(主語)が、だれから、何を、どう守りたいか
- アクセス許可を付与すべきは「管理者」「所有者」「利用者」「リソース」どっち?
- 守りたいのは、S3バケットなのかオブジェクト?
- S3バケットへのアクセスは、同じAWSアカウントから?パートナーアカウントから?
- セキュリティパッチ当てたいのは、EC2インスタンスのみか、オンプレミスサーバもか
- だれ(主語)が、だれから、何を、どう守りたいか
- 消去法をもっと積極的に使うべき
- 時間の節約になる
- 余計な選択肢を排除し、集中力高められる
- 実現できても手順が複雑な選択肢ははずれ
- AWS様のマネージドサービスが王道、サードパーティーはやむを得ないケースのみ
- CLIでスクリプト組んだりするソリューションはほぼはずれ
- お作法的に適切か否か
- アプリケーションでIAMユーザーのアクセスキーを使用できなくもないが、不適切
その他
- 問題文の日本語訳にくせがあり、すんなり理解できなかった(言い訳?)
- これは慣れでしょうか
おわりに
以上、模擬テストの反省回でした。
上記ポイントを意識しながら、引き続き試験準備進めようと思います。
次回をお楽しみに。