試験ガイド / Security Specialty
Specialty

Security Specialty

試験概要

AWS Certified Security – Specialty(SCS-C03)は、AWS セキュリティ領域における最高峰の認定試験で、脅威検出・インシデント対応・インフラセキュリティ・アイデンティティ管理・データ保護・セキュリティガバナンスの 6 ドメインを横断する深い専門知識と実装力を評価します。試験時間は 170 分、出題数は 65 問、合格スコアは 750/1000 で、Threat Detection & Incident Response(22% = 脅威検出 14% + インシデント対応 8% に近い構成)/Security Logging & Monitoring(18%)/Infrastructure Security(20%)/Identity and Access Management(16%)/Data Protection(18%)/Management & Security Governance(14%)から構成されます。GuardDuty・Security Hub・Macie・Detective・Inspector・Config・CloudTrail・KMS・CloudHSM・Secrets Manager・WAF・Shield・Network Firewall・IAM Identity Center・Organizations(SCP/RCP)・Control Tower・Audit Manager といった広範なセキュリティサービス群を、単独機能ではなく多層防御アーキテクチャとして組み上げる設計力が問われます。Specialty 試験らしく「複数の正解候補からトレードオフを踏まえて最善を 1 つ選ぶ」設問が中心で、IAM ポリシー評価ロジック・KMS キーポリシー解釈・CloudTrail 改ざん防止・S3 暗号化方式の選択など、実装経験がなければ判断が難しい問題が並びます。

対象者・前提知識

AWS でのセキュリティアーキテクチャ設計、SOC(Security Operations Center)運用、コンプライアンス対応、インシデントレスポンスを実務で担っているセキュリティエンジニア・クラウドセキュリティアーキテクトが主要受験者です。AWS 推奨では 5 年以上の IT セキュリティ実務経験(うち 2 年以上が AWS セキュリティ)が望ましいとされ、PCI DSS・HIPAA・ISMAP・GDPR 等の規制対応経験があると応用問題で有利です。CISO・セキュリティアーキテクト・脅威インテリジェンスアナリスト・DevSecOps エンジニア・監査対応リードに最適で、セキュリティ運用を本職としていない開発者・インフラエンジニアにとっては難易度が高い試験です。Solutions Architect Professional / DevOps Engineer Professional 取得済みであれば IAM・KMS・VPC の基礎は押さえられていますが、SCS-C03 ではさらに IAM ポリシー評価の 6 層(明示的拒否 → SCP → RCP → 許可境界 → アイデンティティポリシー → リソースポリシー)の挙動、KMS キーポリシー + IAM + Grant + VPC エンドポイントポリシーの相互作用、GuardDuty 検出タイプ別の自動隔離プレイブック、CloudTrail Lake と Security Lake の使い分けまで、実装ベースで判断できるレベルが求められます。

ドメイン構成

脅威の検出
16%
Amazon GuardDuty の検出タイプは UnauthorizedAccess(API 異常呼び出し)/Recon(ポートスキャン・列挙)/Trojan(C2 通信)/CryptoCurrency(マイニング)/Backdoor(DGA・Tor)/Behavior(異常行動)に大別され、保護プランとして S3 Protection(Data Events 不要で S3 異常検出)・EKS Protection(監査ログ + Runtime Monitoring)・Malware Protection(EBS スナップショットスキャン)・RDS Protection(ログイン異常)・Lambda Protection(実行時異常)・Runtime Monitoring(EC2/ECS/EKS の eBPF ベース)が個別に有効化できます。Macie は S3 の機密データ検出を行い、Managed Identifier(クレジットカード・SSN・国別 ID)と Custom Identifier(正規表現 + 近接キーワード)の組み合わせ、Allow List で誤検知を抑制します。Detective は GuardDuty / VPC Flow Logs / CloudTrail を自動取り込みしてエンティティ間の関係グラフを構築し、調査時間を大幅に短縮します。Security Hub は ASFF 形式で各サービスの findings を統合し、自動化ルール(Automation Rules)で重大度変更や Workflow Status 自動更新が可能です。Security Lake は OCSF 正規化された Parquet を S3 + Glue で集約し、Athena / OpenSearch / 3rd-party SIEM から横断分析できます。
インシデント対応
14%
インシデント対応は EventBridge ルール(GuardDuty Finding パターンマッチ)→ Lambda / SSM Automation Document による自動修復が定石で、Systems Manager Incident Manager でエスカレーション・チャットチャネル通知・ランブック実行を一元管理します。EC2 侵害時の隔離は「Forensic SG への置換 + Termination Protection 有効化 + EBS Snapshot 取得 + IAM Instance Profile Detach」が正解パターンで、停止(Stop)するとメモリ揮発するため避けます。IAM アクセスキー漏洩は削除ではなく Deactivate(調査のため履歴保持)→ CloudTrail で範囲特定 → 新キー発行が定石。S3 公開設定の修復は Config Rule s3-bucket-public-read-prohibited / public-write-prohibited + SSM Automation の Remediation Action で自動矯正、組織全体は Account-level Block Public Access を SCP で強制します。AWS Backup でクロスアカウント・クロスリージョンの不変バックアップ(Vault Lock)を維持しランサムウェア耐性を確保します。
インフラストラクチャセキュリティ
18%
Network Firewall はステートレスルール(5-tuple、Pass/Drop/Forward to stateful)とステートフルルール(Suricata 互換、Domain List による FQDN フィルタ、TLS SNI 検査、Strict / Default Action Order)の二段構成で、Inspection VPC + Transit Gateway により East-West・North-South を集中検査できます。AWS WAF はマネージドルール(Core Rule Set / Known Bad Inputs / SQLi / XSS / Bot Control / Account Takeover Prevention / Account Creation Fraud Prevention)、レート制限(Rate-based rule、5 分間ウィンドウ)、Captcha・Challenge アクション、ラベルによるルール連鎖が可能で、CloudFront / ALB / API Gateway / AppSync / App Runner にアタッチできます。Shield Advanced は L3/L4/L7 DDoS 防御 + DRT サポート + コスト保護を提供し、CloudFront・Global Accelerator・Route 53・ALB・EIP に適用します。SSM Session Manager は SSH ポート開放不要で IAM 認証 + KMS 暗号化 + CloudTrail / S3 セッションログ記録、EC2 Instance Connect Endpoint は Bastion レスで Session Manager と異なり SSH/RDP プロトコルそのものをトンネリングします。AWS Verified Access は IdP(Identity Center / OIDC)+ Trust Provider(Jamf / CrowdStrike 等のデバイスポスチャ)+ Cedar ポリシーでアプリケーション単位のゼロトラスト認可を実現します。
アイデンティティとアクセス管理
20%
IAM ポリシー評価は明示的拒否 → Organizations SCP(プリンシパル境界)→ Resource Control Policies(リソース境界、新登場)→ Permissions Boundary(IAM 主体の最大権限)→ アイデンティティポリシー → リソースポリシー → セッションポリシーの順で、いずれか 1 つでも Deny されたら全体 Deny です。クロスアカウント時はリソースポリシー側でも Allow が必須。aws:PrincipalOrgID / aws:SourceIp / aws:SourceVpce / aws:PrincipalTag / aws:ResourceTag / aws:RequestTag / aws:MultiFactorAuthPresent / aws:ViaAWSService といった条件キーの組み合わせは頻出です。IAM Identity Center は外部 IdP(SAML 2.0 / OIDC)+ SCIM 2.0 自動プロビジョニングで権限セットをアカウント・OU に割り当て、AssumeRole 時間を最大 12 時間に設定可能。IAM Roles Anywhere は ACM Private CA(または外部 PKI)の証明書を信頼アンカーとしてオンプレ/他クラウドのワークロードに STS 一時クレデンシャルを発行します。ABAC は aws:PrincipalTag = aws:ResourceTag のような Condition で「タグが一致するリソースのみ操作可」を実現し、IAM ロール数の爆発を防ぎます。Cognito は User Pool(認証)と Identity Pool(AWS リソースへの一時クレデンシャル発行)の役割分担を明確に押さえます。
データ保護
18%
AWS KMS のキーポリシーは「Principal + Action + Resource + Condition」で構成され、IAM ポリシーと両方の許可が必要(双方向許可)。Grant は CreateGrant API で一時的な委譲を発行し、AWS サービス(EBS・RDS・Lambda 等)が内部で利用します。マルチリージョンキー(MRK)はプライマリとレプリカで同一 KeyMaterial を持ち暗号文の相互復号が可能、ただし Key ID は異なるためポリシーは個別管理。BYOK は ImportKeyMaterial で実現し、外部キーストア(XKS)は HSM を AWS 外(オンプレ)に置きつつ KMS API で利用します。AWS マネージドキー(aws/service 形式)は手動ローテーション不可・ポリシー変更不可、カスタマー管理キーは年次自動ローテーションが可能。CloudHSM は FIPS 140-2 Level 3 が必須要件のときに選択し、SSL/TLS オフロード・Oracle TDE・PKI CA 用途に向きます。S3 暗号化は SSE-S3(AES-256、AWS 管理)/SSE-KMS(CMK ベース、CloudTrail 監査)/DSSE-KMS(二重暗号化、Top Secret 用途)/SSE-C(顧客提供キー)/CSE(クライアント側暗号化)から選択し、Bucket Keys 有効化で KMS API コストを大幅削減できます。S3 Object Lock はガバナンスモード(s3:BypassGovernanceRetention 権限保持者のみ解除可)とコンプライアンスモード(root を含めて誰も解除・削除不可、保持期間中は短縮も不可)の差を厳密に区別、加えて Legal Hold は無期限保持です。Secrets Manager の Lambda ローテーションは createSecret → setSecret → testSecret → finishSecret の 4 ステップで実装します。Nitro Enclaves は EC2 親インスタンスから完全分離された CPU/メモリで機密処理を実行し、KMS の Attestation 機能で「Enclave からのみ復号可能」な条件を実現します。
セキュリティ基盤とガバナンス
14%
AWS Organizations SCP はプリンシパル側のアクション境界、RCP(Resource Control Policies)はリソース側の上限を課す新ポリシーで、両者は AND 評価される点が重要です。Control Tower はランディングゾーンを自動構築し、予防的(SCP・CloudFormation Hooks)・検出的(Config ルール)の両面でガードレールを提供、カスタマイズには Account Factory for Terraform(AFT)や CfCT を使います。Config Conformance Pack は YAML テンプレートで CIS / PCI DSS / HIPAA 等のルール群を一括展開し、Organization 単位で集約レポートを生成します。AWS Audit Manager は事前定義フレームワーク(PCI DSS / HIPAA / GDPR / ISO 27001 / FedRAMP / NIST CSF)または Custom Framework に基づき、CloudTrail・Config・Security Hub・自動 SDK 呼び出しから証跡を継続収集し監査レポートを自動生成します。Security Hub のセキュリティ標準(AWS Foundational Security Best Practices / CIS AWS Foundations / PCI DSS / NIST SP 800-53)はコントロール単位で有効・無効化でき、Cross-Region Aggregation で集約管理します。AWS Artifact は SOC / PCI DSS / ISO 等のサードパーティ監査レポートを自己ダウンロードする窓口で、規制対応文書の取得経路として頻出です。

出題傾向

アイデンティティとアクセス管理(ドメイン 4、16%)はウェイト以上に重要なドメインで、IAM ポリシー評価の 6 層(明示的拒否 → SCP → RCP → 許可境界 → アイデンティティポリシー → リソースポリシー)と、aws:SourceIp / aws:SourceVpce / aws:PrincipalOrgID / aws:PrincipalTag / aws:ResourceTag といった条件キーの組み合わせ、IAM Identity Center による外部 IdP(Okta / Entra ID)連携と SCIM 自動プロビジョニング、ABAC によるスケーラブル権限設計、IAM Roles Anywhere による PKI 証明書ベースのオンプレ認証、IAM Access Analyzer の外部アクセス検出と未使用権限分析が頻出です。新登場の Resource Control Policies(RCP)はリソース側に組織レベルの上限を課し、SCP(プリンシパル側)と対をなす点が要注意です。

インフラストラクチャセキュリティ(ドメイン 3、20%)では、Network Firewall ステートフル(Domain List / Suricata)+ ステートレスの多層防御、AWS WAF のマネージドルール(CRS / Bot Control / ATP)+ レート制限、Shield Advanced(CloudFront / Global Accelerator / Route 53 / ALB に適用)、PrivateLink によるサービス公開時の境界制御、Verified Access のゼロトラスト、SSM Session Manager / EC2 Instance Connect Endpoint による踏み台レス接続が中心です。

データ保護(ドメイン 5、18%)では、KMS のキーポリシーと IAM ポリシー双方が許可を必要とする「双方向許可」原則、Grant による一時委譲、マルチリージョンキー、BYOK と外部キーストア(XKS)、S3 暗号化の SSE-S3 / SSE-KMS / DSSE-KMS / SSE-C / CSE の選択、Secrets Manager の Lambda ローテーション 4 段階、S3 Object Lock のガバナンスモード vs コンプライアンスモードが頻出です。

脅威検出・インシデント対応(ドメイン 1・2、合計 22%)では、GuardDuty の検出タイプ群と保護プラン(S3 / EKS / Malware / RDS / Lambda / Runtime Monitoring)、EventBridge → Lambda / SSM Automation による自動隔離、Detective のグラフ分析、Macie の機密データ検出、Security Hub の統合とカスタム自動化ルール、CloudTrail Lake の SQL クエリ分析が中心です。

ロギングと監視(ドメイン 2、18%)では、CloudTrail(Management / Data / Insights events)の改ざん防止(log file validation + S3 Object Lock コンプライアンスモード)、VPC Flow Logs / DNS Query Logs / WAF Logs の Security Lake 集約(OCSF 正規化)、CloudWatch Logs メトリクスフィルター + アラームによる異常検知が出題範囲です。

ガバナンス(ドメイン 6、14%)では Organizations SCP/RCP・Control Tower のガードレール(予防的・検出的)・Config Conformance Pack・Audit Manager の継続的証跡収集が問われます。

学習のポイント

IAM ポリシー評価ロジックは SCS-C03 の絶対的な核心です。「明示的拒否(Deny)が最強」「いずれかの層で Deny されたら最終的に Deny」「全層で Allow が必要(リソースベースポリシーのクロスアカウント例外を除く)」を出発点に、SCP は組織内プリンシパルの行為を制限する境界、RCP はリソース側に組織横断の上限を課す境界、許可境界(Permissions Boundary)は IAM ロール/ユーザーが取得しうる最大権限、という役割分担を区別しましょう。aws:PrincipalOrgID で外部アカウントからのリソース利用を遮断、aws:SourceIp + aws:ViaAWSService で AWS サービス越しの呼び出しを許容しつつ直接アクセスを制限、aws:SourceVpce で VPC エンドポイント経由限定にする等、条件キーの実戦パターンは数多く暗記が必要です。

KMS の挙動は試験頻出の罠です。「IAM ポリシーで kms:Decrypt が許可されていても、キーポリシーで Principal を許可していなければ復号不可」「逆にキーポリシーで広く許可しても IAM 側で拒否されれば不可」という双方向許可、Grant の発行(CreateGrant)と一時的な委譲、マルチリージョンキーは同一 KeyMaterial を持ち暗号文の互換性があるが鍵 ID は異なる点、AWS マネージドキー(aws/service 形式)は手動ローテーション・ポリシー変更不可、カスタマー管理キーは年次自動ローテーション可能、を整理しましょう。CloudHSM と KMS の選択は「FIPS 140-2 Level 3 が要件なら CloudHSM、それ以外は KMS(Level 3 にも対応)」が原則です。

インシデント対応はプレイブックで覚えるのが効果的です。EC2 侵害時は「①EBS スナップショット取得(証跡)→ ②隔離 SG への切替(Egress 全 Deny)→ ③IAM Instance Profile の Detach(権限剥奪)→ ④Forensic AMI で隔離 VPC に複製・解析 → ⑤CloudTrail で侵害経路特定 → ⑥根本原因修正・再発防止」、IAM アクセスキー漏洩時は「①Deactivate(削除ではなく無効化、調査用に保持)→ ②CloudTrail で不正利用範囲特定 → ③新キー発行とアプリ更新 → ④古いキー削除 → ⑤シークレットスキャン CI/CD への組み込み」のフェーズ別アクションを暗記しましょう。

暗号化方式の選択も頻出です。S3 で「キー管理を AWS に任せる最低コスト」なら SSE-S3、「キーポリシーで利用者制御 + CloudTrail に kms:Decrypt 監査ログを残す」なら SSE-KMS、「FIPS 140-3 二重暗号化」なら DSSE-KMS、「BYOK 必須でクライアント側暗号化」なら CSE、というマッピングを身につけてください。S3 Bucket Keys を有効化すると KMS API 呼び出しコストを最大 99% 削減できる点も重要です。

ネットワーク・WAF・Shield の役割分離は ANS-C01 と重なる領域ですが SCS でも頻出です。L3/L4 はセキュリティグループ・NACL・Network Firewall ステートレス、L7(HTTP)は WAF(OWASP Top 10・Bot Control・ATP・JA3)、ボリューメトリック DDoS は Shield Advanced + CloudFront / Global Accelerator のエッジ吸収、ドメインベースの C2 遮断は Resolver DNS Firewall または Network Firewall ステートフル Domain List、というマトリクスで頭に入れましょう。SCS-C03 はセキュリティを本職としている経験者でなければ合格が難しい試験のため、机上学習に加えて自分のサンドボックスアカウントで GuardDuty を有効化し、Atomic Red Team で意図的に findings を発火させて EventBridge → Lambda 自動対応を組む、といった実装経験が合否を大きく左右します。