LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@talomina

AWS Certified Security - Specialty 受験記録

Posted at

はじめに

AWS Certified Security - Specialty取得のために勉強したことをまとめます。

こちらのサイトに試験ガイドや模擬問題が提供されています。

勉強したこと

約1か月ほどかけて、いろいろ勉強しました。

AWS Certified Security - Specialty Official Practice Question Set (SCS-C02 - 日本語)

公式問題集だけあって本番の再現度が高くて役立ちました。

AWS認定Specialty – Security(SCS-C02)試験 対策トレーニングコース

毎回お世話になっているUdemy。日本語の講座はこれしかありませんでした。一通り解説動画をみて、演習問題をやりました。

【新試験 SCS-C02】AWS 認定 Security - Specialty試験概要解説【AWS Certified Security - Specialty サンプル問題解説 #0】

サーバーワークス宮澤さんの試験解説動画です。試験時間が3時間近くに及ぶことの辛さ。事前に覚悟することができて、よかったです。

要点整理から攻略する『AWS認定 セキュリティ-専門知識』

上記のYoutubeで紹介されていた本。一つ一つのサービスについて説明されているのでとても役立ちました。Udemyを見てもよくわからない部分が多かったので、買ってよかったです。巻末についていた演習問題も結構本番に役立ちました。

試験ガイドについて

6つの分野から問題が出されるそうなので、試験ガイドの中にある出題範囲のリストをベースに何となく大事そうだと思ったポイントを記載しておきます。

第 1 分野: 脅威検出とインシデント対応 (採点対象コンテンツの 14%)

  • アクセスキーを公開してしまった時の対応。対象のアクセスキーを削除するのではなく、無効化してIAM Access アドバイザーでキーが最後に利用された日時をチェックする。
  • EC2が侵害された時の対応。シャットダウンはNG。Security Groupを全部外して、ネットワーク的に孤立させる。メモリとEBSダンプ。ネットワークキャプチャ。
  • EBS暗号化キーを

第 2 分野: セキュリティロギングとモニタリング (採点対象コンテンツの 18%)

  • SNSのアラート通知が届かなくなった場合、利用者が誤って無効化してしまっている可能性大。
  • VPCフローログはVPC内の通信履歴を保持するが、DNSクエリなどの通信の中身まではわからない。

第 3 分野: インフラストラクチャのセキュリティ (採点対象コンテンツの 20%)

  • WAFによる防御はなるべくインターネット側で行う。Cloudfront→ALB→EC2ならALBでなくCFで。
  • DDOSにはCloudfront。StaticコンテンツはS3。
  • S3の個人情報はMacie。常時検出して発見されたらバケットをフルスキャン。Eventbridge経由でSNS通知。
  • 想定外の国からのアクセスはR53の地域別ルーティングでブロック。
  • セキュリティグループはステートフルなので往路のみで復路の通信定義不要。Network ACLはステートレスなので、往路と復路のそれぞれの通信を定義する。
  • DDOS攻撃のテストは指定のAPNパートナーにやってもらうこと。

第 4 分野: Identity and Access Management (採点対象コンテンツの 16%)

  • 多数のアカウントはOrganizationで管理。全体のポリシーはOUにSCPを設定して書ける。
  • IAMアクセスアドバイザーとIAMアクセスアナライザーは似て非なるもの。

第 5 分野: データ保護 (採点対象コンテンツの 18%)

  • EBSの暗号化キーを削除してしまった場合の対応。EBSをデタッチしないで中身をコピーする。デタッチしたら複合化できなくなる。
  • GraiciaのVault LockはINITを開始しても24時間以内ならAbortしてやり直せる。
  • 既存のEBSやRDSは暗号化できない。新しく暗号化したものを作ってコピーする。
  • KMSのキーローテーションを自動化する場合、最短は90日まで。

第 6 分野: 管理とセキュリティガバナンス (採点対象コンテンツの 14%)

  • S3のオブジェクトロックはガバナンスモードは管理者以外変更できない、コンプライアンスモードはrootユーザ含め誰も変更できない。指定期間の間。
  • 権限の境界はホワイトリスト形式。書いてないものにはアクセスさせない。

新橋航空会館テストセンター

今回初めて新橋のテストセンターを利用しました。外壁工事中で古いビルに見えましたが、中はとてもきれいで快適に受けることができました。

1000000560.jpg

少し早めに到着して直前の詰め込み勉強しましたが、こちらのスターバックスが空いていて(おそらく休日だから)良かったです。

おわりに

普段から多少はAWSのセキュリティのことをあれこれ調べたりしているので、思い立って今回挑戦しました。しかし、セキュリティ特化とはいえ広い範囲のそれなりに深い知識が求められるので、勉強するのはなかなか大変でした。直前で模擬問題をやっても正解率は60%くらいとか。なんとか合格できてホッとしました。

今回試験の1か月ほど前に申し込みをして自分にプレッシャーをかけてから挑みましたが、試験の料金が44,000円とお高いので、申し込む瞬間は勇気が要りました。落とした時に失うものが大きすぎるのです。一応、プラクティショナーでもらった半額クーポンは利用しましたが、失敗した場合もう一度44,000円を失うわけですから。

今回いくつかの教材を利用しましたが、その全てでお勧めしていたのは「BlackBeltを見て読んで理解しましょう」ということです。試験をパスする最短ルートではないかもしれませんが、しっかり身に着けるのは大切ですよね。

参考文献

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?