AWS学習ナビは誰でも利用できますか？

はい、広告付きですべての機能を無料でご利用いただけます。アカウント登録をすると学習履歴の保存やスマート出題機能が使えるようになります。

どのAWS認定試験に対応していますか？

SAA（ソリューションアーキテクトアソシエイト）、SAP（ソリューションアーキテクトプロフェッショナル）、DVA（デベロッパーアソシエイト）、CLF（クラウドプラクティショナー）など主要なAWS認定試験に対応しています。

問題はどのように生成されていますか？

Amazon BedrockのClaude（大規模言語モデル）とAWS公式ドキュメントを参照するナレッジベースを組み合わせてAIが作成しています。

Specialty

Advanced Networking Specialty

試験概要

AWS Certified Advanced Networking – Specialty（ANS-C01）は、AWS ネットワーキング領域における最高峰の認定試験で、大規模・ハイブリッド・グローバルなネットワークアーキテクチャを設計・実装・運用・トラブルシュートできる深い専門知識を評価します。試験時間は 170 分、出題数は 65 問、合格スコアは 750/1000 で、Network Design（30%）／Network Implementation（26%）／Network Management & Operation（20%）／Network Security, Compliance, Governance（24%）の 4 ドメインから構成されます。VPC・Transit Gateway・Direct Connect・Cloud WAN・Route 53・PrivateLink・VPC Lattice・Global Accelerator といった AWS ネットワーキングサービスのみならず、BGP（AS Path / Local Preference / MED / Communities）・OSPF・TCP/UDP・MTU/PMTUD・IPv6・MACsec・DNS（DNSSEC 含む）といったネットワークプロトコルレベルの理解が前提知識として要求されます。Specialty 試験全般の傾向として、「同じ要件を満たす複数の構成案から、可用性・スループット・運用負荷・コスト・セキュリティのトレードオフを踏まえて最適解を 1 つ選ぶ」設問が中心となるため、単なるサービス名の暗記ではなく実装・運用経験に裏打ちされた判断力が問われます。

対象者・前提知識

オンプレミス DC とのハイブリッド接続、マルチアカウント・マルチリージョンの大規模 VPC アーキテクチャ、グローバルバックボーンの構築・運用を実務で担っているネットワークエンジニア・クラウドアーキテクトが主たる受験者像です。AWS 推奨では 5 年以上のネットワーク実装・運用経験（うち 2 年以上が AWS 環境）が望ましいとされています。Solutions Architect Associate / Professional 取得済みであれば VPC・サブネット・ルートテーブルの基礎は固まっていますが、ANS-C01 ではさらに BGP のルーティングポリシー設計、Direct Connect の VIF（Private / Public / Transit）の使い分けと LAG／SiteLink、Transit Gateway のアタッチメント・ルートテーブル設計、Cloud WAN のセグメント／ポリシー、Network Firewall・GWLB・PrivateLink・VPC Lattice によるサービス間トラフィック制御を、実装経験ベースで説明できるレベルが求められます。エンタープライズの基幹ネットワーク移行を主導する設計者、通信キャリア／SI ベンダーのネットワークアーキテクト、マルチクラウドのインターコネクト設計に携わるエンジニアに最適です。

ドメイン構成

ネットワーク設計

30%

Transit Gateway のアタッチメント種別（VPC・VPN・Direct Connect Gateway・Connect・Peering）と、それぞれのルートテーブル association／propagation 動作を完全に理解しましょう。Connect アタッチメント（GRE + BGP、最大 5 Gbps × 4 ピア）による SD-WAN 統合、Direct Connect Gateway による複数リージョン・複数アカウント横断の Private/Transit VIF 共有、SiteLink によるリージョン間 DC 直結が頻出です。Cloud WAN ではコアネットワークポリシー（JSON / YAML）でセグメント定義・shared-segments・segment-actions を記述し、属性ベースで VPC を自動アタッチするモデルを理解しておきましょう。AWS IPAM はマルチアカウント・マルチリージョンの CIDR を階層スコープで管理し、CIDR 重複防止・予約・履歴を提供します。Wavelength Zone・Local Zone・Outposts のネットワーク経路（親リージョンへの戻り経路、carrier gateway）も設計対象です。

ネットワーク実装

26%

Direct Connect の VIF は 3 種類で、Private VIF は単一 VPC（または DXGW 経由で複数 VPC）に直接接続、Public VIF は AWS パブリックサービス（S3 等）への BGP 経路広告、Transit VIF は Direct Connect Gateway + Transit Gateway で多 VPC・多リージョンに展開する用途です。LAG は最大 4 本の物理リンクを LACP で集約し帯域と冗長性を両立、MACsec は専用接続（Dedicated Connection）でのみ L2 暗号化を提供します。Site-to-Site VPN は IPsec で 2 トンネル冗長が基本、Accelerated VPN は Global Accelerator 経由で AWS エッジから取り込みレイテンシーを改善します。VPC エンドポイントは Gateway 型（S3・DynamoDB のみ、ルートテーブル経由・無料）と Interface 型（PrivateLink、ENI 課金）で性質が大きく異なります。CloudFront オリジン保護は S3 なら OAC、ALB ならカスタムヘッダー検証 + Managed Prefix List（com.amazonaws.global.cloudfront.origin-facing）の組み合わせが定石です。

ネットワーク管理と運用

20%

VPC Flow Logs はカスタムフォーマットで pkt-srcaddr / pkt-dstaddr（NAT 越しの真の送受信元）、tcp-flags、traffic-path、flow-direction を取得でき、Parquet 出力 + Hive パーティション + Athena で大規模分析を効率化できます。Transit Gateway Flow Logs では TGW アタッチメント・ルートテーブル単位のトラフィックを把握できます。Reachability Analyzer は静的解析でセキュリティグループ・NACL・ルートテーブル・IGW/NAT GW・TGW・PrivateLink を辿り、なぜ通信できないかを根本原因まで特定します。Network Access Analyzer はネットワーク到達性スコープ（誰がインターネットから DB サブネットに到達可能か等）を継続検査します。CloudWatch Network Monitor は複数プローブから ENI / オンプレへのパケットロス・レイテンシーを連続計測し、Internet Monitor はインターネット経路の品質を可視化します。Traffic Mirroring は ENI 経由でパケットを GWLB / IDS にコピーし、ペイロード検査を実現します。

ネットワークセキュリティ、コンプライアンス、ガバナンス

24%

Network Firewall はステートレスルール（5-tuple、Pass/Drop/Forward to stateful）とステートフルルール（5-tuple Strict ordering、Suricata 互換シグネチャ、Domain List による FQDN フィルタ、TLS SNI 検査）の二段構成で、Suricata ルールでは flow:established 等のキーワードで East-West 制御が可能です。Inspection VPC パターンでは Transit Gateway のスポーク RT に 0.0.0.0/0 → Inspection VPC アタッチメント、Inspection RT に各スポークを propagate することで、East-West と North-South の両方を集中検査できます。Gateway Load Balancer は GENEVE カプセル化でサードパーティ FW/IDS アプライアンスを水平スケール展開し、GWLB Endpoint（GWLBE）で透過挿入します。Direct Connect MACsec は IEEE 802.1AE で L2 ホップ間を AES-256 暗号化、Dedicated Connection（10/100 Gbps）でのみ利用可能です。AWS Verified Access は IdP + デバイスポスチャ（Jamf / CrowdStrike）でゼロトラストアクセスを提供し、VPN レスでアプリケーション単位の認可を実現します。Route 53 Resolver DNS Firewall は外向き DNS クエリのドメインフィルタリングで C2 通信を遮断します。

出題傾向

ネットワーク設計（ドメイン 1、30%）が最大ウェイトで、Transit Gateway のマルチルートテーブルによるセグメンテーション（共有サービス VPC・本番 VPC・開発 VPC の相互到達制御）、Direct Connect Gateway + Transit VIF を用いたマルチリージョン接続、Cloud WAN のコアネットワークポリシーによるグローバルセグメントとリージョン間ルーティング設計、AWS IPAM による複数アカウント・複数リージョンを横断する CIDR 計画が頻出テーマです。IPv6 デュアルスタック設計（Egress-Only IGW、IPv6-only サブネット、Dual-stack ALB/NLB）も近年大きく出題比重を増しています。

ネットワーク実装（ドメイン 2、26%）では、Direct Connect LAG とアクティブ／アクティブ BGP（ECMP）による帯域集約、Site-to-Site VPN のアクセラレーション（Global Accelerator 経由）、Route 53 Resolver の Inbound/Outbound エンドポイントと Forwarding Rule による双方向 DNS 解決、PrivateLink プロバイダー／コンシューマー設計、CloudFront オリジン保護（OAC / カスタムヘッダー / Managed Prefix List）、NLB の client IP preservation・proxy protocol v2、ALB の相互 TLS（mTLS）が出題範囲です。VPC Lattice によるサービス間通信のアプリケーション層制御も新傾向として押さえる必要があります。

ネットワーク管理と運用（ドメイン 3、20%）では、VPC Flow Logs（カスタムフォーマット・Parquet・Athena 分析）、Transit Gateway Flow Logs、Reachability Analyzer / Network Access Analyzer による到達性・露出経路の自動検査、CloudWatch Network Monitor のマルチプローブ可視化、Traffic Mirroring と IDS/IPS（Suricata）連携が頻出です。

ネットワークセキュリティ・コンプライアンス・ガバナンス（ドメイン 4、24%）では、AWS Network Firewall のステートフル（Domain List / Suricata 5-tuple）／ステートレスルール、Inspection VPC + Transit Gateway での集中検査アーキテクチャ、Gateway Load Balancer（GENEVE）によるサードパーティアプライアンス展開、Direct Connect MACsec、Route 53 Resolver DNS Firewall、AWS Verified Access によるゼロトラスト設計が中心テーマで、特に「全 East-West トラフィックを集中ファイアウォールで検査する TGW ルートテーブル設計」は ANS-C01 の象徴的な出題パターンです。

学習のポイント

Specialty 試験の特性として、選択肢の 4 つすべてが「動作はする」状況が珍しくありません。問題文中の制約（SLA・帯域・レイテンシー要件・運用負荷・コスト・コンプライアンス）を最初に列挙し、満たさない選択肢を機械的に除外する読み方を徹底しましょう。「LEAST operational overhead」「MOST cost-effective」「automatically fails over」など修飾語の取り違えが致命傷になります。

BGP は ANS-C01 の前提知識です。Direct Connect の冗長構成では「Active/Active は同一 BGP 属性 + ECMP」「Active/Standby は AS Path Prepending または Local Preference 操作」「障害検出は BFD で sub-second」というパターンを暗記し、なぜその属性なのかを Local Pref（送信元側で経路選択）と AS Path（受信側で経路選択）の挙動から説明できるようにしましょう。Public VIF・Private VIF・Transit VIF の使い分けと、SiteLink によるリージョン間 DC 直結も出題対象です。

Transit Gateway のルートテーブル設計はおそらく最頻出トピックです。「ハブ＆スポーク（共有 RT 1 本）」「セグメンテーション（Prod/Dev/Shared を別 RT・relay は Shared のみ）」「Inspection VPC 強制ルーティング（Spoke RT に 0.0.0.0/0 → Inspection アタッチメント、Inspection RT に各 Spoke を伝播）」の 3 パターンを、association（誰がそのテーブルを使うか）と propagation（どこから学習するか）の対比で図に描けるレベルまで仕上げてください。Cloud WAN との使い分け（VPC 数が多くポリシーベースの一元管理が必要なら Cloud WAN）も忘れずに。

ハイブリッド DNS は失点しやすいテーマです。Route 53 Resolver Inbound（オンプレ → AWS の名前解決）と Outbound + Forwarding Rule（AWS → オンプレへの転送）は方向が逆である点、Private Hosted Zone のクロスアカウント関連付け、DHCP Option Set、Resolver DNS Firewall（ドメインリストによる外向きクエリ制御）の役割を切り分けて整理しましょう。

ネットワークセキュリティでは「どこで何を防ぐか」のレイヤー分離が重要です。L3/L4 はセキュリティグループ・NACL・Network Firewall ステートレス、L7（HTTP）は WAF、DDoS は Shield Advanced + CloudFront、ドメインフィルタリングは Network Firewall ステートフル Domain List または Resolver DNS Firewall、East-West 検査は Inspection VPC + GWLB / Network Firewall、というマトリクスを頭に入れ、シナリオの要件に応じて積層できるようにしておきましょう。普段の業務でこの領域を担当している経験者でなければ太刀打ちできない試験のため、机上学習だけでなく自分のアカウントで TGW・Direct Connect（VIF はシミュレータ）・Network Firewall を実際に構築・破壊する反復が合否を分けます。