自主学習用のまとめノートです
試験配点:30%(採点対象コンテンツ)
AWSを利用する上での「責任の境界線」を明確にし、ユーザーが自身のデータやシステムを保護するために必要なサービス、概念、およびアクセス管理手法について学びます。
1. AWS 責任共有モデル
AWSにおけるセキュリティは、AWSとユーザーが協力して維持する「責任共有モデル」に基づいています。
サービスの管理レベルによる責任の違い
| サービスタイプ | 代表例 | お客様の責任 | AWS の責任 | 覚え方 |
|---|---|---|---|---|
| IaaS (非マネージド) |
EC2 | OS パッチ、アプリ、ネットワーク設定 | 物理インフラ、ハイパーバイザ | 「サーバーを借りる」= 中身は自分で管理 |
| PaaS (マネージド) |
RDS, Lambda | データ管理、アクセス権限 | OS、エンジンのパッチ適用、インフラ | 「サービスを借りる」= AWS が面倒見てくれる |
2. セキュリティ、ガバナンス、コンプライアンス
コンプライアンスとデータ保護
| 概念 | 説明 | 具体例 | 試験での問われ方 |
|---|---|---|---|
| AWS Artifact | 第三者監査レポートをオンデマンド取得 | ISO、PCI、SOC レポート | 「SOC レポートが欲しい」→ Artifact |
| 保管中の暗号化 | ストレージ上のデータを保護 | S3、EBS の暗号化 | Encryption at Rest |
| 転送中の暗号化 | ネットワーク上のデータを保護 | SSL/TLS 通信 | Encryption in Transit |
| データの所在 | 明示的にコピーしない限りリージョン内に保持 | 東京リージョンのデータは東京に残る | コンプライアンス要件で重要 |
モニタリングと監査サービス(CloudWatch / CloudTrail / Config)
この3つのサービスは混同しやすいので、しっかり区別しましょう。
3つのサービスの違い
| サービス | 何を見る? | 答える質問 | たとえ話 | 覚え方 |
|---|---|---|---|---|
| CloudWatch | メトリクス(数値) | 「今、調子はどう?」 | 体温計・血圧計 | Watch = 見張り番 |
| CloudTrail | API 操作履歴 | 「誰が何をした?」 | 防犯カメラの映像 | Trail = 足跡を追う |
| AWS Config | 設定の変更履歴 | 「設定がどう変わった?」 | 部屋の模様替え記録 | Config = 設定 |
具体例で理解する
ある日、EC2 インスタンスのセキュリティグループが変更されたとします。
| 質問 | 答えてくれるサービス | 回答例 |
|---|---|---|
| 「EC2 の CPU 使用率は?」 | CloudWatch | 「現在 45% です」 |
| 「誰がセキュリティグループを変えた?」 | CloudTrail | 「田中さんが 10:30 に変更しました」 |
| 「セキュリティグループは何がどう変わった?」 | AWS Config | 「ポート 22 が新たに開放されました」 |
各サービスの詳細
| サービス | 主な機能 | 具体的な使いどころ |
|---|---|---|
| CloudWatch | メトリクス監視、アラート、ログ集約 | CPU 80% 超えたら通知、エラーログの検索 |
| CloudTrail | 全 API コールの記録(90日間無料保存) | セキュリティ調査、不正アクセスの追跡 |
| AWS Config | 設定変更の記録、コンプライアンスルール | 「暗号化が無効になったら検知」などのルール設定 |
試験ポイント:
- 「パフォーマンス監視」「CPU 使用率」「アラート」→ CloudWatch
- 「誰が操作した」「API ログ」「監査」→ CloudTrail
- 「設定変更の追跡」「コンプライアンス違反の検出」→ AWS Config
その他の監査サービス
| サービス | 役割 | 使いどころ |
|---|---|---|
| Audit Manager | コンプライアンス評価の自動化 | SOC 2、PCI DSS などの監査準備 |
セキュリティ情報の入手先
AWS のセキュリティに関する情報は、以下のリソースから入手できます。
| リソース | 何がわかる? | どんな時に使う? | 覚え方 |
|---|---|---|---|
| AWS Knowledge Center | よくある質問と回答 | 具体的な問題の解決策を探す | 「困った時の Q&A 集」 |
| AWS セキュリティブログ | 最新情報、ベストプラクティス | 新機能やセキュリティ動向を知る | 「公式の最新ニュース」 |
| AWS ドキュメント | サービス別の詳細ガイド | 設定方法や仕様を確認 | 「公式マニュアル」 |
| AWS Health Dashboard | サービス障害、セキュリティイベント | AWS 側の問題を確認 | 「AWS の健康診断結果」 |
| AWS Trusted Advisor | 環境のセキュリティチェック | 自分の設定の問題点を発見 | 「自動セキュリティ診断」 |
サポートプランとセキュリティ支援
| サポートプラン | Trusted Advisor | セキュリティサポート | 想定ユーザー |
|---|---|---|---|
| Basic | 基本 7 項目のみ | フォーラムのみ | 個人学習、検証 |
| Developer | 基本 7 項目のみ | メール(営業時間内) | 開発・テスト環境 |
| Business | 全チェック項目 | 24/7 電話・チャット | 本番ワークロード |
| Enterprise | 全チェック項目 | TAM + セキュリティレビュー | ミッションクリティカル |
試験ポイント: 「全ての Trusted Advisor チェックを利用したい」→ Business 以上のサポートプラン
3. AWS のアクセス管理 (IAM)
アクセス管理の基本は、ユーザーに必要最小限の権限のみを与える最小権限の原則です。
IAM の主要コンポーネント
| コンポーネント | 説明 | 使いどころ | 例 |
|---|---|---|---|
| IAM ユーザー | 個人またはアプリに紐付く永続的な ID | 特定の人がコンソールにログイン | 開発者の田中さん |
| IAM グループ | ユーザーの集合 | 同じ権限を複数人に一括付与 | 「開発者グループ」 |
| IAM ロール | 一時的に引き受ける権限セット | サービス間連携、クロスアカウント | EC2 が S3 にアクセス |
| IAM ポリシー | 許可/拒否を定義した JSON | 権限の詳細設定 | 「S3 読み取り専用」 |
ルートユーザーの取り扱い
| 項目 | 内容 | 理由 |
|---|---|---|
| 権限 | 全リソースへの無制限なアクセス | アカウント作成時の最初のユーザー |
| 日常利用 | 禁止(使わない) | 権限が強すぎて危険 |
| MFA | 必須で有効化 | 不正アクセス防止 |
| ルート専用タスク | 請求情報の変更、アカウント閉鎖など | IAM ユーザーでは実行不可 |
ポリシーの種類
| ポリシータイプ | アタッチ先 | 使いどころ | 例 |
|---|---|---|---|
| アイデンティティベース | ユーザー、グループ、ロール | 「誰が何をできるか」 | 開発者に EC2 起動権限 |
| リソースベース | S3 バケット等のリソース | 「このリソースに誰がアクセスできるか」 | 他アカウントに S3 アクセス許可 |
IAM ポリシー(JSON)の例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "arn:aws:s3:::example-bucket-name/*"
}
]
}
4. ネットワークセキュリティ
セキュリティグループ vs ネットワーク ACL
| 比較項目 | セキュリティグループ | ネットワーク ACL |
|---|---|---|
| 適用レベル | インスタンス(ENI) | サブネット |
| 通信の扱い | ステートフル(戻りは自動許可) | ステートレス(戻りも明示的に許可必要) |
| デフォルト動作 | インバウンド拒否、アウトバウンド許可 | すべて許可 |
| 拒否ルール | 設定不可(許可のみ) | 設定可能 |
| 覚え方 | 「個別のボディガード」 | 「サブネットの門番」 |
試験ポイント: 「サブネット内の全インスタンスに自動適用」「トラフィックを明示的に拒否」→ ネットワーク ACL
その他の主要セキュリティサービス
| サービス | 何を守る? | どう守る? | キーワード | 覚え方 |
|---|---|---|---|---|
| AWS Shield | インフラ全体 | DDoS 攻撃から保護 | Standard は無料、Advanced は有料 | Shield = 盾で攻撃を防ぐ |
| AWS WAF | Web アプリ | SQL インジェクション、XSS をブロック | ルールベースのフィルタリング | Web Application Firewall |
| Amazon Inspector | EC2、Lambda、コンテナ | 脆弱性を自動スキャン | 「脆弱性診断」 | Inspector = 検査官が弱点を見つける |
| AWS Trusted Advisor | AWS 環境全体 | ベストプラクティスを提示 | セキュリティ、コスト、パフォーマンス | 信頼できるアドバイザー |
| AWS Firewall Manager | 複数アカウント | WAF ルール、Shield を一元管理 | Organizations と連携 | 複数アカウントの FW を束ねる管理者 |
サードパーティセキュリティ製品(AWS Marketplace)
AWS ネイティブサービスだけでなく、Marketplace でサードパーティ製品も利用できます。
| カテゴリ | 代表製品 | AWS ネイティブとの違い | 選ぶ場面 |
|---|---|---|---|
| ファイアウォール | Palo Alto、Fortinet | より高度なルール、オンプレとの統一管理 | 既存製品との統合が必要な場合 |
| SIEM | Splunk、Sumo Logic | 複雑なログ相関分析、カスタムダッシュボード | CloudWatch では足りない高度な分析 |
| 脆弱性管理 | Qualys、Tenable | より詳細なレポート、業界標準のスコアリング | Inspector より詳細な評価が必要 |
| エンドポイント保護 | Trend Micro、CrowdStrike | リアルタイムマルウェア検出 | EC2 上のウイルス対策 |
試験ポイント: 「オンプレと同じセキュリティ製品を使いたい」「AWS サービスでは要件を満たせない」→ AWS Marketplace
5. AWS Organizations とマルチアカウント管理
なぜ複数のアカウントが必要なの?
企業では、1つの AWS アカウントだけでなく、複数のアカウントを使い分けることが一般的です。
たとえ話: 1つの大きな家に全員で住むより、部屋(アカウント)を分けた方が管理しやすいのと同じです。
AWS Organizations とは?
複数の AWS アカウントをまとめて管理するサービスです。会社の「本社」のような役割を果たします。
| できること | 説明 | たとえ話 |
|---|---|---|
| アカウントの一括管理 | 複数アカウントを1つの組織としてまとめる | 本社が支社を管理 |
| 一括請求 | 全アカウントの請求を1つにまとめる | 経理部門で一括処理 |
| OU(組織単位) | アカウントをグループ分けできる | 部署ごとにフォルダ分け |
| ルールの一括適用 | 全アカウントに共通ルールを設定 | 全社ルールを通達 |
OU(Organizational Unit): フォルダのようなもの。アカウントをグループ分けして、グループ単位でルールを適用できます。
サービスコントロールポリシー (SCP) とは?
「やってはいけないこと」を組織全体に強制するルールです。
IAM ポリシーとの違い
| IAM ポリシー | SCP | |
|---|---|---|
| 役割 | 「できること」を許可する | 「できること」の上限を決める |
| たとえ話 | 社員証で入れる部屋を決める | そもそも立入禁止エリアを決める |
| 適用対象 | 個人やグループ | アカウント全体 |
覚え方: SCP は「ガードレール」。道路の端に設置して「ここから先は行けない」と制限するもの。権限を与えるのではなく、制限するのが役割。
| よくある SCP の例 | 効果 |
|---|---|
| 特定リージョン以外を禁止 | 東京リージョン以外でリソースを作れない |
| 特定サービスを禁止 | 高額なサービスを使えないようにする |
| ルートユーザーの操作を制限 | 危険な操作を防ぐ |
試験ポイント: 「組織全体で特定の操作を禁止したい」→ SCP
AWS Control Tower とは?
マルチアカウント環境を「ベストプラクティス通りに」自動で構築してくれるサービスです。
Organizations との違い
| Organizations | Control Tower | |
|---|---|---|
| 役割 | アカウント管理の「道具」 | 道具を使って「お手本通りの環境」を自動構築 |
| たとえ話 | 工具セット | 工具 + 設計図 + 職人さん |
| セットアップ | 自分で設定が必要 | AWS のベストプラクティスで自動設定 |
| Control Tower の機能 | 説明 | たとえ話 |
|---|---|---|
| ランディングゾーン | 安全なマルチアカウント環境を自動構築 | 「モデルハウス」をそのまま建ててくれる |
| ガードレール | セキュリティルールを自動で設定・監視 | 自動でフェンスを設置 |
| アカウントファクトリー | 標準化されたアカウントを簡単に作成 | 規格統一された部屋を追加 |
試験ポイント: 「ベストプラクティスに従ったマルチアカウント環境を素早く構築」→ Control Tower
AWS Resource Access Manager (RAM) とは?
アカウント間でリソースを共有するサービスです。
なぜ必要?
| 共有できるリソースの例 | 使いどころ |
|---|---|
| VPC サブネット | 共通のネットワークを複数アカウントで利用 |
| Transit Gateway | アカウント間の通信を一元管理 |
| Route 53 Resolver | DNS 設定を共有 |
試験ポイント: 「アカウント間でリソースを共有したい」→ AWS RAM(覚え方:RAM = リソースのシェアハウス)
AWS Directory Service とは?
Active Directory(AD)を AWS で使えるようにするサービスです。
Active Directory って何?
Windows の世界で広く使われている「ユーザー管理システム」です。会社の PC にログインする時に使う仕組みと考えてください。
| タイプ | いつ使う? | たとえ話 | 覚え方 |
|---|---|---|---|
| AWS Managed Microsoft AD | 新しく AD を作りたい時 | AWS に新しい社員名簿を作る | 「AWS 上に AD を建てる」 |
| AD Connector | 既存の AD をそのまま使いたい時 | 会社の社員名簿と AWS を連携 | 「既存 AD への橋渡し」 |
| Simple AD | 小規模・低コストで AD が欲しい時 | 簡易版の社員名簿 | 「軽量版 AD」 |
試験ポイント: 「既存の Active Directory と AWS を連携」→ AWS Directory Service
6. 脅威検出とセキュリティ監視
セキュリティサービスの比較
| サービス | 主な機能 | 検出対象 | キーワード |
|---|---|---|---|
| GuardDuty | 脅威の継続的検出 | 侵害されたインスタンス、不正アクセス | 「脅威検出」「機械学習」 |
| Macie | S3 の機密データ検出 | PII、クレジットカード番号 | 「S3」「機密データ」 |
| Inspector | 脆弱性スキャン | ソフトウェアの脆弱性、ネットワーク露出 | 「脆弱性診断」 |
| Detective | セキュリティ調査 | GuardDuty アラートの根本原因 | 「調査」「分析」 |
| Security Hub | アラート一元管理 | 複数サービスの検出結果を集約 | 「一元管理」「ダッシュボード」 |
GuardDuty の詳細
| 項目 | 内容 |
|---|---|
| データソース | VPC フローログ、CloudTrail ログ、DNS ログ |
| 検出方法 | 機械学習 + 脅威インテリジェンス |
| 検出例 | マルウェア通信、暗号通貨マイニング、不正 API コール |
試験ポイント: 「侵害されたインスタンスやアカウントを特定」→ GuardDuty
Macie の詳細
| 項目 | 内容 |
|---|---|
| 対象 | Amazon S3 バケット |
| 検出方法 | 機械学習による自動分類 |
| 検出例 | 氏名、住所、クレジットカード番号、マイナンバー |
試験ポイント: 「S3 の機密データを検出」→ Macie
7. 認証情報と暗号化キーの管理
認証情報管理サービスの比較
| サービス | 用途 | 管理対象 | 特徴 |
|---|---|---|---|
| KMS | 暗号化キー管理 | マスターキー(CMK) | 多くの AWS サービスと統合 |
| Secrets Manager | シークレット管理 | DB 認証情報、API キー | 自動ローテーション対応 |
| Parameter Store | 設定値管理 | 設定パラメータ、シークレット | 低コスト、シンプル |
| CloudHSM | 専用 HSM | 暗号化キー | FIPS 140-2 Level 3 準拠 |
Secrets Manager の詳細
| 管理対象 | 例 | 自動ローテーション |
|---|---|---|
| DB 認証情報 | RDS のユーザー名/パスワード | ✅ 対応 |
| API キー | サードパーティサービスのキー | ✅ 対応 |
| その他 | SSH キー、トークン | ✅ 対応 |
試験ポイント: Secrets Manager はアプリケーションが使う認証情報を管理。コンソールのセキュリティ強化には使わない。
8. AWS IAM Identity Center(旧 AWS SSO)
複数の AWS アカウントやアプリケーションへのシングルサインオン(SSO)を提供します。
IAM Identity Center vs Amazon Cognito
| 比較項目 | IAM Identity Center | Amazon Cognito |
|---|---|---|
| 対象ユーザー | 社内ユーザー(従業員) | アプリの一般ユーザー(顧客) |
| 主な用途 | AWS コンソール、SaaS アプリへの SSO | Web/モバイルアプリのユーザー認証 |
| ID ソース | Active Directory、外部 IdP | ソーシャルログイン、独自ユーザープール |
| 覚え方 | 「社員のログイン管理」 | 「お客様のログイン管理」 |
試験ポイント: 「AWS マネジメントコンソールへの SSO」→ IAM Identity Center
9. VPC フローログ
VPC 内のネットワークインターフェイスの IP トラフィック情報をキャプチャする機能です。
| 項目 | 内容 |
|---|---|
| 記録内容 | 送信元/宛先 IP、ポート、プロトコル、許可/拒否 |
| 用途 | トラブルシューティング、セキュリティ分析 |
| 保存先 | CloudWatch Logs または S3 |
| 注意点 | トラフィックを「記録」するだけ。フィルタリングはしない |
試験ポイント: VPC フローログはファイアウォールではない。トラフィック制御には NACL やセキュリティグループを使う。
10. サービス別の責任共有モデル(詳細)
サービスタイプ別の責任分担
| サービス | OS パッチ | DB/ランタイム | データ暗号化 | アクセス権限 | サービスタイプ |
|---|---|---|---|---|---|
| EC2 | お客様 | - | お客様 | お客様 | IaaS |
| RDS | AWS | AWS | お客様 | お客様 | PaaS |
| Lambda | AWS | AWS | お客様 | お客様 | FaaS |
| S3 | AWS | - | お客様 | お客様 | オブジェクトストレージ |
| DynamoDB | AWS | AWS | お客様 | お客様 | NoSQL |
| WorkSpaces | お客様 | - | お客様 | お客様 | DaaS(特殊) |
特に注意が必要なサービス
Amazon WorkSpaces(仮想デスクトップ)
| 責任区分 | 担当 | 理由 |
|---|---|---|
| OS・ソフトウェアのパッチ | お客様 | 仮想デスクトップは「借りた PC」のようなもの |
| 基盤インフラ | AWS | WorkSpaces サービス自体の運用 |
AWS Lambda(サーバーレス)
| 責任区分 | 担当 | 理由 |
|---|---|---|
| コードのセキュリティ | お客様 | 自分で書いたコードは自分で守る |
| 保管中のデータ暗号化 | お客様 | フルマネージドでもデータは自己責任 |
| IAM ロール設定 | お客様 | どのリソースにアクセスできるか |
| OS・ランタイム | AWS | 実行環境は AWS が管理 |
試験ポイント: 「Lambda でお客様の責任は?」→ 保管中のアプリケーションデータの暗号化
11. AWS マネジメントコンソールのセキュリティ強化
| 方法 | 説明 | 効果 |
|---|---|---|
| MFA | パスワード + 認証デバイス | 不正ログイン防止 |
| 複雑なパスワード要件 | 長さ、文字種を強制 | パスワード推測を困難に |
| IAM Identity Center | SSO による一元管理 | 認証の集中管理 |
コンソールセキュリティに使わないもの
| サービス | 本来の用途 | コンソールセキュリティには? |
|---|---|---|
| セキュリティグループ | VPC インスタンスの保護 | ❌ 使わない |
| Secrets Manager | アプリの認証情報管理 | ❌ 使わない |
| ACM | SSL/TLS 証明書管理 | ❌ 使わない |
12. 試験対策:サービス早見表
「〇〇したい」→ 使うサービス
| やりたいこと | サービス | 覚え方 |
|---|---|---|
| API 呼び出し履歴を記録 | CloudTrail | Trail = 足跡(誰が何をした) |
| リソースのメトリクス監視 | CloudWatch | Watch = 見張り(数値を監視) |
| リソース設定の変更履歴 | AWS Config | Config = 設定(どう変わった) |
| 侵害されたインスタンス検出 | GuardDuty | Guard = 警備(脅威を見張る) |
| S3 の機密データ検出 | Macie | Macie = S3 専門の探偵 |
| EC2 の脆弱性診断 | Inspector | Inspector = 検査官(脆弱性チェック) |
| コンプライアンスレポート取得 | AWS Artifact | Artifact = 成果物(証明書類) |
| 複数アカウント一元管理 | AWS Organizations | 組織全体を束ねる |
| アカウント間でリソース共有 | AWS RAM | Resource Access Manager |
| コンソールへの SSO | IAM Identity Center | 社員のログイン管理 |
| Active Directory 連携 | AWS Directory Service | AD をクラウドで使う |
| DB 認証情報を管理 | Secrets Manager | シークレット(秘密)を守る |
| 暗号化キーを管理 | KMS | Key Management Service |
| DDoS 攻撃から保護 | AWS Shield | Shield = 盾 |
| Web 攻撃から保護 | AWS WAF | Web Application Firewall |
| 複数アカウントの FW 管理 | Firewall Manager | Organizations 全体の FW 管理者 |
| セキュリティアラート一元管理 | Security Hub | Hub = 中心(集約場所) |
| セキュリティの Q&A を調べる | Knowledge Center | 困った時の Q&A 集 |
| サードパーティ製品を導入 | AWS Marketplace | セキュリティ製品のストア |
混同しやすいサービスの違い
| 比較 | サービス A | サービス B | 決定的な違い |
|---|---|---|---|
| ログ系 | CloudTrail | CloudWatch | Trail = 操作ログ / Watch = 数値監視 |
| 設定系 | CloudTrail | Config | Trail = 誰がやった / Config = 何が変わった |
| 脅威系 | GuardDuty | Inspector | GuardDuty = 脅威検出 / Inspector = 脆弱性診断 |
| FW 系 | セキュリティグループ | NACL | SG = インスタンス / NACL = サブネット |
| 認証系 | Secrets Manager | KMS | Secrets = 認証情報 / KMS = 暗号化キー |
| SSO 系 | IAM Identity Center | Cognito | Identity Center = 社内 / Cognito = アプリユーザー |
13. 試験で頻出のシナリオ問題
シナリオ別の回答パターン
| シナリオ | キーワード | 回答 |
|---|---|---|
| 「アカウントで実行されたアクションのログ」 | ログ、操作履歴、API | CloudTrail |
| 「SOC 2 レポートを監査人に提供」 | コンプライアンス、監査レポート | AWS Artifact |
| 「サブネット内の全インスタンスにファイアウォール」 | サブネット、自動適用 | ネットワーク ACL |
| 「侵害されたインスタンスを検出」 | 脅威、侵害、検出 | GuardDuty |
| 「アカウントを作成して管理」 | マルチアカウント、一元管理 | AWS Organizations |
| 「Lambda でお客様の責任」 | 責任共有、Lambda | データの暗号化 |
| 「トラフィックを明示的に拒否」 | 拒否、ブロック | ネットワーク ACL |
| 「コンソールへの SSO」 | シングルサインオン、コンソール | IAM Identity Center |
| 「S3 の機密データを検出」 | S3、PII、機密 | Macie |