また一つ資格が増えました。私です。

先週の土曜になってしまうのですが、AWS Certified Security - Specialityを受験してきましたので所感も含めて記述したいと思います。

ちなみにスコアは822でした。

勉強時間

• 1週間。1日約2hの約15hくらい。
• AWS SAPの取得から日が浅いため、大体はおさらいみたいな感じ。

出題範囲

SCSの出題範囲から推定

1. インシデント対応
   • AWS の悪用に関する通知を受け取った場合の、セキュリティ侵害が疑われるインスタンスまたは漏洩が疑われるアクセスキーの診断。
   • インシデント対応計画に適切な AWS サービスが含まれていることの確認。
   • 自動的なアラートの構成の確認、およびセキュリティ関連のインシデントや新たな問題に対する対応策の実施。

     IAM(Credential), STS, KMS, Access Advisor, Config, CloudTrail, GuardDuty, SSM, Trusted Advisor, Personal Health Dashboard

1. ログ収集
   • セキュリティの監視およびアラートの設計と実装。
   • セキュリティの監視およびアラートのトラブルシューティングの実施。
   • ログ収集ソリューションの設計と実装。
   • ログ収集ソリューションのトラブルシューティングの実施。

     監視、検出 ... CWLogs, CWAlarm, Config, CloudTrail, GuardDuty, Macie, Inspector, SecurityHub 分析 ... Athena, Glue, Trusted Advisor, EMR, Redshift, ElasticSearch イベントトリガー、修正 ... CWE, Event Bridge, SSM Automator, SSM Patch Manager, Lambda 出力・配信 ... S3, SQS, SNS, SES, Kinesis Data Firehose, Kinesis Data Streams, CWAgent系 各サービスのエラー内容

1. インフラストラクチャのセキュリティ
   • AWS のエッジセキュリティの設計。
   • セキュアなネットワークインフラストラクチャの設計と実装。
   • セキュアなネットワークインフラストラクチャのトラブルシューティングの実施。
   • ホストベースのセキュリティの設計と実装。

     CloudFront, Lambda@Edge, WAF, Shield, VPC, VPN, Direct Connect(セキュリティ周り), IAM, Secrets Manager, SSM Parameter Store

1. IDとアクセスの管理
   • AWS リソースへのアクセスを実現する拡張性の高い認証および権限付与のシステムの設計と実装。
   • AWS リソースへのアクセスを実現する拡張性の高い認証および権限付与のシステムのトラブ ルシューティングの実施。

     認証 ... Cognito, Directory Service, CloudDirectory, SSO 認可 ... IAM(IdP), SSM

1. データ保護
   • キーの管理および使用に関する設計と実装。
   • キーの管理に関するトラブルシューティングの実施。
   • 保存時および転送中のデータに適用するデータ暗号化ソリューションの設計と実装。

     KMS, CloudHSM, 各種サービスポリシー(バケットポリシーなど)

勉強内容

ここらへんの資料をおさらいしました。出題される/されない関係なく個人的にためになったものは⭐️で。

• KMSについておさらい
  • 10分でわかるKey Management Serviceの仕組み
  • KMSの詳細)

• セキュリティ
  • AWS セキュリティベストプラクティス
  • DynamoDB
  • KMS セキュリティベストプラクティス
  • SecurityHubベストプラクティス
  • Configベストプラクティス
  • CloudTrail
  • Organizations
  • よくご相談いただくセキュリティの質問と考え⽅
  • ⭐️Container Security

• 認証認可
  • ⭐️デザインパターン
  • シングルサインオン
    • ⭐️AWSアカウントシングルサインオンの設計と運用

• ポリシー周り
  • 条件演算子
  • グローバル条件キー(aws:で始まるやつ)
  • 条件キー一覧
  • ⭐️アクションと条件キーの関連一覧
  • ⭐️評価論理(IAMポリシーやサーブビスポリシーの優先順)

評価論理の以下の図は、かなり有用。

• マルチアカウント
  • ⭐️マルチアカウント運用

所感

• めちゃくちゃ複雑な条件キーとかが出題されると勘繰っていたが、複雑なものは出てこなかった印象です。しかし「ポリシー周り」の部分は今後もポリシーとか適用する時に、お世話になることが多いですね。
• KMSについては特に重点的におさらいした方が良いと思いました。暗号化の詳細を確認したい場合にはこちらの資料がいい復習になりました。
• 範囲がSAPと比較して絞れているので、問題の内容としてはSAPよりも簡単だった印象。けど点数はSAPより低かったです。ナゾや...🤔
• これまでの試験以上に、日本語/英語の表現が意味不明な問題が多かった。しかし、今回は65問のため何回か読み返しても時間が余ったので時間はあんまり気にしなくてもいいと思います。
• この季節限定ですが、冷房ギンギンで風がダイレクトに当たってめちゃくちゃ寒かった🥶 のでもし耐えられないようでしたらスタッフを呼び出すなどして対応してもらうことも。

次は、DOPですかね。。CKAも並行ですすめたい。。