おちゃめなエンジニア日記

AWS Certified Security Specialty (SCS-C02) 合格体験記 | 2025年1月最新版

AWS認定資格のSecurity Specialty (SCS-C02)の学習方法と合格のためのポイントを詳しく解説

AWS Certified Security Specialty Badge

SCS-C02試験対応 🎯2025年の最新試験バージョンに対応した学習ガイドと試験対策を提供します。※ 注意:C01からC02への変更により試験の難易度が大幅に上昇しています。 より実践的なセキュリティ知識と、複雑なシナリオへの対応力が求められます。

資格概要

AWS Certified Security Specialtyは、AWSのセキュリティに関する深い知識と経験を証明する 専門資格です。データ保護、アクセス管理、暗号化、インシデント対応など、 クラウドセキュリティの包括的なスキルが評価されます。

資格のメリット

  • セキュリティの専門性の証明
  • クラウドセキュリティの実践力
  • コンプライアンス対応の知識
  • セキュリティアーキテクトとしてのキャリア形成

実際の試験体験から

Security Specialty試験は、実践的なセキュリティシナリオが中心です。 特に、IAMポリシー、KMS、CloudTrail、SecurityHub、GuardDutyなど、 AWSのセキュリティサービスに関する深い理解が必要です。 SCS-C02では、より複雑なシナリオと、実務により近い状況での 判断力が問われるようになっています。

合格体験:合格ラインの750点に対して、830点で合格。実務でのセキュリティ設計経験と、 ハンズオンラボでの実践的な学習が合格の決め手となりました。

⚠️ 重要:SCS-C02は、前バージョンのC01と比較して難易度が大幅に上昇しています。 特に、インシデント対応、コンプライアンス管理、暗号化戦略において、 より深い知識と実践的な経験が求められます。

テストセンターでの受験のコツ

初めての方向け:重要な注意点

  • 到着時間について

    予約時間の30分前でも受験可能な場合があります。早めの到着でも柔軟に対応してくれることが多いので、 時間に余裕を持って行くことをおすすめします。

  • 待ち時間の過ごし方

    公共交通機関の遅延で試験に遅れるのは避けたいところ...。早めにテストセンター付近に到着しておくのがベストですが、 実はテストセンターのロビーではあらゆる勉強が禁止されています。 そのため、周辺のカフェで時間を潰すことをおすすめします。筆者も近くのカフェで最後の見直しをしていました。

  • 持ち物チェック

    重要:有効な身分証明書が2つ必要です!筆者の場合は、マイナンバーカードと運転免許証の組み合わせでOKでした。 この2つの準備を忘れると受験できないので要注意です。

  • 事前準備(トイレ問題)

    受付前にトイレを済ませておきのが鉄則です。実は筆者、コーヒーを飲むと 異常なほどトイレが近くなるタイプなんです(笑)試験前のカフェでは、 緊張もあってついつい飲みすぎてしまい...。幸い受付前に気づきましたが、 試験中のトイレ退室は時間のロスになるので要注意です!

当日の流れ

  1. 受付で身分証明書を提示
  2. 持ち物を専用ロッカーに保管
  3. 試験室のルール説明
  4. 試験開始

💡 補足情報

AWS認定試験は、すべての資格で同じテストセンターのルールが適用されます。 一度受験経験があれば、次回からはスムーズに受験できるはずです。

頻出問題パターン(2025年1月最新)

Security Specialty試験の特徴は、実際のインシデント対応や設計判断に近い、 複雑なシナリオベースの問題が多いことです。私自身、最初は問題の長さに 圧倒されましたが、シナリオを整理して読み解くコツを掴むことで、 徐々に対応できるようになりました。ここでは、実際の試験でよく出題される パターンと、その攻略法をお伝えします。

シナリオ1:不正アクセスインシデントへの対応

深夜の異常ログイン

あなたは大手企業のセキュリティ担当者です。 真夜中の3時に、GuardDutyから「異常なIAMユーザーの振る舞い」 が検出されたというアラートを受け取りました。 調査の結果、普段は使用されていないIAMユーザーが、 通常とは異なる地域からEC2インスタンスの起動を試みていたことが判明。 どのように対応すべきでしょうか?

試験のポイント:このような問題では、「すぐにIAMユーザーを無効化する」という 選択肢が提示されることがあります。しかし、これは必ずしもベストな 初動対応ではありません。証拠保全と影響範囲の特定を 同時に進める必要があります。

推奨される対応手順
  1. CloudTrailでユーザーの行動履歴を確認

    - 過去数時間の全APIコールを調査 - 特に権限の変更や新しいリソースの作成に注目

  2. 一時的なセキュリティ対策の実施

    - 該当IAMユーザーに明示的なDeny権限を付与 - 影響を受けた可能性のあるリソースの隔離

  3. インシデントの記録と報告

    - AWS Config、VPCフローログ、CloudWatchログの保全 - セキュリティ対応チームへの詳細な報告

シナリオ2:大規模な暗号化移行プロジェクト

レガシーシステムの暗号化対応

金融系システムで、数百TBのデータを保持する既存のEBSボリュームと S3バケットについて、暗号化を有効化する必要が出てきました。 システムの停止時間は最小限に抑える必要があり、また、 暗号化キーの世代管理も求められています。

よくある誤解:「既存のEBSボリュームの暗号化は有効化できない」と思い込んでいる方が 多いのですが、実は適切な手順を踏めば可能です。ただし、その方法を 知っているかどうかが試験のポイントとなります。

推奨される移行戦略
  1. EBSボリュームの暗号化

    - スナップショットの作成 - 暗号化されたスナップショットへのコピー - 新しい暗号化ボリュームの作成とアタッチ

  2. S3バケットの暗号化

    - デフォルト暗号化の有効化 - S3バッチ操作による既存オブジェクトの暗号化 - バージョニングとMFAデリートの設定

  3. KMSキーの管理戦略

    - キーローテーションの自動化 - キーポリシーとIAMポリシーの適切な設定 - CloudTrailによる暗号化操作の監査

シナリオ3:マルチアカウント環境のセキュリティ統制

複雑な組織構造での統制

グローバル展開する企業で、100以上のAWSアカウントを管理しています。 各部門の自由度を保ちながら、セキュリティ基準の統一と コンプライアンス要件への対応が求められています。

試験での注意点:「各アカウントで個別に設定を行う」という選択肢は、 スケーラビリティとメンテナンス性の観点から適切ではありません。 Organizations機能を活用した中央管理の方法を理解しているかが 問われます。

効果的な統制アプローチ
  1. Organizations機能の活用

    - SCPによる権限の境界設定 - タグポリシーによるリソース管理の標準化 - 一括請求と予算管理の統合

  2. セキュリティサービスの統合

    - Security HubとGuardDutyの組織レベルでの有効化 - Macie、Detective、Inspectorの一元管理 - CloudTrailの組織トレイルの設定

  3. コンプライアンスの自動化

    - Config Rulesの組織全体での展開 - EventBridgeとLambdaによる自動修復 - Systems Managerによる設定管理の自動化

実装時の重要ポイント

Security Specialty試験では、以下の実装ポイントを押さえておくことが 重要です。これらは、実務でも即座に活用できる知見です:

1. IAMポリシーの設計原則

最小権限の原則は理解していても、実際の実装では悩むことが多いものです。 私の経験から、以下のアプローチが効果的でした:

  • まずは明示的なDenyから始める重要な操作は最初にDenyで保護し、必要に応じて緩和
  • 条件キーを効果的に活用aws:PrincipalTagやaws:SourceIPなどで、きめ細かい制御を実現

2. 監査ログの設計

「とりあえずCloudTrailを有効化しておけば大丈夫」という考えは 危険です。以下の点に特に注意を払う必要があります:

  • ログの完全性の担保ログファイルの検証を有効化し、改ざんを検知できる状態に
  • アラート設定の最適化重要な操作の検知と、誤検知のバランスを適切に調整

おちゃめなエンジニア

管理者

Web開発とラーメンを愛するエンジニア。技術の探求と美味しいラーメンを求めて日々奮闘中です。