こんにちは、品質管理部の沖です。

OS のバージョンの違いにおける製品への影響を調査・検証する業務に従事しております。 特に、LANSCOPE 製品の管理対象となるデバイスにインストールするクライアントに着目して実施しております。

2025年11月に「AWS Certified Security - Specialty」というAWS認定試験に合格しました。試験勉強の目的は、クラウドセキュリティ全般の理解を深めるためのイメージを掴むことでした。

本記事は、従来の合格体験記とは異なり、学習中に試行錯誤したプロセスや活用した教科書について記述しています。対象読者は、AWS をはじめとするクラウドセキュリティの理解を深めたい方（開発者以外も含む）です。なお、記事内で言及する各種AWSサービスやセキュリティ用語の詳細な解説は省略しています。

• 背景
  • 業務における調査・検証
  • AWS 認定について
  • SCS-C02
• 課題
• 解決
  • 使用した教科書
  • 解決1. 一般的なセキュリティの理解
  • 解決2. AWS セキュリティの理解
  • 備考
• 終わりに
• 参考

背景

業務における調査・検証

詳細は記事 [1] をご参照ください。

AWS 認定について

AWSでは、サービスに関する知見の公式認定制度が設けられています。認定にはいくつかの分類がありますが、その中でも専門知識を実証する「Specialty認定」が存在し、その一例として「AWS Certified Advanced Security - Specialty」（以下SCS-C02）があります。（なお、2025年12月2日からSCS-C03に移行されました。）
SCS-C02 試験ガイドのPDFファイル

SCS-C02

・対象者: セキュリティソリューションの設計と実装の分野で3～5年の経験および、AWSワークロードのセキュリティ保護分野で2年以上の実務経験のある方
・試験時間: 170分
・費用: ￥40,000（税抜）

前提知識として、一般的なセキュリティとAWS固有のセキュリティの双方が求められます。

課題

SCS-C02の試験範囲を学習するにあたり、以下の課題がありました。

課題1. セキュリティに関する前提知識の理解
課題2. AWS固有のセキュリティ概念の理解

解決

ここでは、上記課題の解決プロセス、すなわちSCS-C02合格までの試行錯誤について記述します。

当初、AWSセキュリティ関連のサービス名称と仕様を丸暗記する形で臨みましたが、クラウドセキュリティ全体の基本的な考え方を理解する必要があると感じ、まずはセキュリティのモデルやフレームワークから学ぶことにしました。次に、そのモデルと AWS サービスとの対応付けを覚えました。具体的には、以下の流れで進めました。

解決1. 一般的なセキュリティの理解
解決2. AWS セキュリティの理解

使用した教科書

教科書 1. AWS Certified Security Study Guide, 2nd Edition

本書では第1章でセキュリティ全般の基礎、第2章でクラウドセキュリティの基礎、そして第3章以降でAWSセキュリティについて学習できます。1 週間ほどかけて概要を掴む読み方をしました。

教科書 2. 要点整理から攻略する『AWS認定 セキュリティ-専門知識』

本書はAWSセキュリティに特化しており、理解の助けとなりました。1 年ほどかけて AWS セキュリティに関するサービスとその機能についてじっくり読み学びました。

解決1. 一般的なセキュリティの理解

教科書1の第1章では、セキュリティの定義について学びました。ここでは「セキュリティとは単なるGUIや特定の技術のことではない」といった "not" に基づく否定的な観点から、セキュリティの本質を明確にする定義が示されていました。また、偵察やパスワード攻撃など、攻撃手法の分類についても学びました。

教科書1の第2章では、クラウドセキュリティの原理や、責任共有モデル について学習しました。「セキュリティ」という言葉は非常に幅広く、その全体像をつかみにくいものですが、これら2つの章を通して、セキュリティの枠組みやクラウドにおける役割分担の考え方を理解し、全体像を把握することができました。

解決2. AWS セキュリティの理解

教科書2 を通して、AWSクラウドにおけるNISTサイバーセキュリティフレームワークの存在や、このフレームワークと AWS サービスとの対応関係について学びました。

大まかな流れとその細部を往復しながら学習を進めることで、徐々に問題を解く力を身につけました。過去問の数をこなすことよりも、このプロセスを重点的に実施しました。膨大な AWS サービスやその機能を理解するのは難しい面もありましたが、一貫してセキュリティのモデルやフレームワークに基づいて説明できるため、その考え方を意識することで、自然と AWS サービス間の連携も理解できるようになりました。

また、教科書1 の第5章で触れられている 検知制御フローに関するフレームワーク は、AWS サービス間の連携を理解する上で大変有益でした。

本書では、以下の4ステージに分けた AWS サービスとの対応付けが紹介されています。

【Stage 1. リソース状態】
　例: AWS Config

【Stage 2. イベント収集】
　例: CloudTrail、CloudWatch Logs、及びAWS Health ダッシュボード 等

【Stage 3. 分析】
　例: Inspector、Security Lake、GuardDuty、及びSecurity Hub 等

【Stage 4. アクション】
　例: EventBridge をはじめとする各種通知・対応サービス

Stage 1ではリソース状態の変更を記録し、Stage 2ではAWS上で発生したイベントを収集、Stage 3で各種イベントの分析、そして Stage 4でそれに基づくアクション（通知等）を実施します。

備考

上記の考え方は、クラウドサービスだけでなく、OSのバージョン差が製品に与える影響を調査・検証する業務にも応用可能です。良く設計されたモデルを学ぶことで、業務上の課題に対する解決策につなげる視点を養うことができました。

具体的には、以下のように置き換えることができます。

【Stage 1. リソース状態】
　例: LANSCOPE 製品の ポリシー や ルール 設定、OS やミドルウェアの バージョン情報

【Stage 2. イベント収集】
　例: LANSCOPE 製品の ログ や Windows の レジストリ情報 の収集

【Stage 3. 分析】
　例: 収集したログの 欠損 や 余剰 の検知

【Stage 4. アクション】
　例: 分析結果に基づく LANSCOPE 製品の 不具合 や 制限事項 に関する起票と 他部署への連携

終わりに

SCS-C02 の学習を通じて、クラウドセキュリティ全般のモデルが明確にイメージできるようになりました。この知見を、EM クラウド版に関する調査・検証業務へも活用できればと考えております。本記事が、AWS やクラウドセキュリティを学ぼうとする皆様の参考になれば幸いです。

お読みいただき、ありがとうございました。

参考

[1] AWS Certified Advanced Networking - Specialty 合格までの試行錯誤