【AWS Certified Cloud Practitioner】セキュリティ／アイデンティティ／コンプライアンス主要サービスをカテゴリ別に整理

この記事の目的（CLF-C02対策）

AWS Certified Cloud Practitioner（CLF-C02）では、個別サービスの深い実装よりも、「何を守るのに、どのサービスを選ぶか」という高レベルの理解が問われやすいです。ここでは、セキュリティ／アイデンティティ／コンプライアンス領域で頻出の考え方と、代表的なサービスをカテゴリ別に整理します。

まず押さえるべき前提：責任共有モデル

AWSのセキュリティは「AWS側の責任」と「利用者（お客様）側の責任」に分かれます。試験では、この切り分け（例：物理設備はAWS、IAM設定やデータの暗号化は利用者）が重要です。

• 責任共有モデル（公式）：https://aws.amazon.com/jp/compliance/shared-responsibility-model/

カテゴリ別：主要サービス一覧（試験での “役割” が分かる形）

1) IDおよびアクセス管理（Authentication / Authorization）

狙い：「誰が（認証）」「何に（リソース）」「何をできる（認可）」「どの範囲で（アカウント/組織）」を管理します。試験では “最小権限” と “ルートユーザーの扱い” が特に重要です。

• AWS Identity and Access Management（IAM）：AWSリソースへのアクセス制御の中心（ユーザー/ロール/ポリシー）。試験キーワード：最小権限、ロール、ポリシー、MFA、ルートユーザーは日常利用しない。
• AWS IAM Identity Center：複数アカウント/アプリへのSSO（シングルサインオン）を中核に管理。試験キーワード：SSO、フェデレーション。
• Amazon Cognito：アプリのエンドユーザー（一般ユーザー）のサインアップ/サインインを提供。試験キーワード：アプリ利用者の認証基盤。
• AWS Directory Service：Microsoft AD（Active Directory）連携/運用をマネージドで提供。試験キーワード：AD、既存ディレクトリ連携。
• AWS Organizations：複数AWSアカウントの一元管理とガバナンス。試験キーワード：複数アカウント、統制、請求の集約。
• AWS Resource Access Manager（RAM）：複数アカウント間で対象リソースを安全に共有。試験キーワード：リソース共有。
• Amazon Verified Permissions：アプリのきめ細かな認可（ポリシーベース）を外出しして管理。試験キーワード：アプリ認可、細粒度アクセス制御。

2) 検出と対応（ログ/検知/調査/統合）

狙い：「何が起きたか（ログ）」「怪しい兆候は何か（検知）」「原因を辿れるか（調査）」「結果を集約して見える化できるか（統合）」を押さえます。

• AWS CloudTrail：AWS API操作の履歴（監査ログ）。試験キーワード：誰が何をしたか、監査、ガバナンス。
• Amazon CloudWatch：メトリクス/ログ/アラームで運用監視。試験キーワード：監視、アラーム、ログ。
• AWS Config：リソース設定の履歴と評価（準拠/非準拠）。試験キーワード：設定変更追跡、コンプライアンスチェック。
• Amazon GuardDuty：脅威検出（ログ分析で不審アクティビティを検知）。試験キーワード：脅威検知。
• Amazon Inspector：脆弱性管理/評価（環境の脆弱性検出）。試験キーワード：脆弱性、セキュリティ評価。
• Amazon Detective：セキュリティ調査（関連ログ/証跡を辿って分析）。試験キーワード：調査、原因追跡。
• AWS Security Hub：各種セキュリティ検知結果の集約・可視化。試験キーワード：統合ダッシュボード、集約。
• Amazon Security Lake：セキュリティデータを集約して保管・分析しやすくする基盤。試験キーワード：セキュリティデータ集約。
• AWS IoT Device Defender：IoTデバイスの監査/異常検知。試験キーワード：IoTセキュリティ。
• AWS Elastic Disaster Recovery：障害時に迅速復旧（DR）。試験キーワード：災害対策、復旧（DR）。

3) ネットワークとアプリケーションの保護（境界防御）

狙い：「DDoS」「Web攻撃（L7）」「VPC境界のフィルタ」「DNSレベル制御」「複数アカウントへの一括適用」を区別します。

• AWS WAF：Webアプリへのリクエスト（HTTP/S）をルールで制御。試験キーワード：Web攻撃対策、WAF。
• AWS Shield：DDoS保護（Standard/Advanced）。試験キーワード：DDoS対策。
• AWS Network Firewall：VPC境界のネットワークファイアウォール（ステートフル）。試験キーワード：VPC境界、トラフィック制御。
• Amazon Route 53 Resolver DNS Firewall：アウトバウンドDNSトラフィックのフィルタ（ドメイン単位）。試験キーワード：DNSレベルでブロック。
• AWS Firewall Manager：WAF/Shield/Network Firewall等を複数アカウントで一元適用。試験キーワード：集中管理、組織全体。
• AWS Verified Access：VPNなしでアプリへのセキュアアクセスを管理。試験キーワード：ゼロトラスト的アクセス、VPN不要。

4) データ保護（暗号化・鍵・機密情報・証明書）

狙い：「暗号化（保管時/転送時）」「鍵管理」「HSM」「シークレット」「証明書」「機密データ検出」を整理します。

• AWS Key Management Service（KMS）：暗号化キーをマネージドで管理。試験キーワード：暗号化、鍵管理。
• AWS CloudHSM：専有のHSMで鍵を保持・運用。試験キーワード：HSM、鍵の強い管理要件。
• AWS Secrets Manager：DB認証情報/APIキー等のシークレット管理（ローテーション含む）。試験キーワード：シークレット、資格情報。
• AWS Certificate Manager（ACM）：TLS証明書の発行/更新/デプロイを支援。試験キーワード：TLS、証明書。
• AWS Private Certificate Authority：組織内向け（プライベート）証明書を発行。試験キーワード：社内PKI、プライベート証明書。
• Amazon Macie：S3内の機密データ（個人情報など）検出を支援。試験キーワード：機密データ検出、S3。
• AWS Payment Cryptography：決済向け暗号/キー管理（業界要件を意識）。試験キーワード：決済、強いコンプライアンス要件。

5) コンプライアンス（監査資料・証跡の整備）

狙い：「監査のために必要な資料（レポート/契約）」「証拠（エビデンス）収集」を区別します。

• AWS Artifact：コンプライアンス関連レポートや契約文書の入手。試験キーワード：監査資料、コンプライアンスレポート。
• AWS Audit Manager：監査に必要な証拠収集・評価を支援。試験キーワード：監査証跡、エビデンス。

試験での “選び分け” 超要点（直前チェック）

• 誰が何をできる？ → IAM
• SSOで社内ユーザーをまとめたい → IAM Identity Center
• アプリの一般ユーザー認証 → Cognito
• 操作履歴（監査ログ） → CloudTrail
• 監視・アラーム → CloudWatch
• 設定の履歴/準拠チェック → Config
• 脅威検知（不審挙動） → GuardDuty
• 脆弱性を見つけたい → Inspector
• 調査して原因を辿りたい → Detective
• 検知結果を集約したい → Security Hub / Security Lake（用途で使い分け）
• Web攻撃対策 → WAF
• DDoS対策 → Shield
• VPC境界のFW → Network Firewall
• DNSレベルでブロック → Route 53 Resolver DNS Firewall
• 暗号化キー管理 → KMS（より強い要件で専有HSMならCloudHSM）
• パスワード/APIキーなどの管理 → Secrets Manager
• TLS証明書 → ACM（社内用CAが必要ならPrivate CA）
• S3の機密データ検出 → Macie
• 監査資料を入手 → Artifact
• 監査エビデンス収集を自動化 → Audit Manager

不確かな点の扱い（CLF-C02の出題深度）

(1) 確実に言えること

• CLF-C02は、AWSクラウドの基礎理解に加えて、責任共有モデル、セキュリティのベストプラクティス、主要サービスの位置づけを評価します（公式試験ガイドに明記）。
• よって、上記サービス群については「名称と役割の対応付け」レベルの理解が有効です。

(2) 推測（根拠つき）

• IAM / CloudTrail / KMS / WAF / Shield / Config / GuardDuty / Security Hub / Macie / Artifact / Audit Manager といった代表格は、セキュリティ領域の説明で教材・公式ガイドの文脈に乗りやすく、出題される可能性が高いです（根拠：CLF-C02が「セキュリティのベストプラクティス」と「主要サービスの説明」を対象としているため）。

(3) 不明点（追加で確認すべき点）

• Verified Access / Verified Permissions / Payment Cryptography / Security Lake / IoT Device Defender / Elastic Disaster Recovery など、比較的新しい/専門性が高いサービスが、毎回どの程度 “直接的に” 問われるかは試験改定や出題セットにより変動し得ます。最新の試験ガイド・公式ページでの確認が安全です。

公式一次情報リンク集（最重要）

• CLF-C02 試験ガイド：https://d1.awsstatic.com/ja_JP/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf
• AWS Certified Cloud Practitioner 公式ページ：https://aws.amazon.com/jp/certification/certified-cloud-practitioner/
• 責任共有モデル：https://aws.amazon.com/jp/compliance/shared-responsibility-model/

サービス別（公式ドキュメント）

• IAM：https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html
• IAM Documentation（入口）：https://docs.aws.amazon.com/iam/
• IAM Identity Center：https://docs.aws.amazon.com/singlesignon/
• Cognito：https://docs.aws.amazon.com/cognito/
• Directory Service：https://docs.aws.amazon.com/directory-service/
• Organizations：https://docs.aws.amazon.com/organizations/
• Resource Access Manager（RAM）：https://docs.aws.amazon.com/ram/
• Verified Permissions（製品ページ）：https://aws.amazon.com/jp/verified-permissions/
• CloudTrail：https://docs.aws.amazon.com/cloudtrail/
• CloudWatch：https://docs.aws.amazon.com/cloudwatch/
• AWS Config：https://docs.aws.amazon.com/config/
• GuardDuty（公式ドキュメント概要）：https://aws.amazon.com/documentation-overview/guardduty/
• Inspector：https://docs.aws.amazon.com/inspector/
• Detective：https://docs.aws.amazon.com/detective/
• Security Hub：https://docs.aws.amazon.com/securityhub/
• Security Lake：https://docs.aws.amazon.com/security-lake/
• IoT Device Defender：https://docs.aws.amazon.com/iot-device-defender/
• Elastic Disaster Recovery：https://docs.aws.amazon.com/drs/
• AWS WAF：https://docs.aws.amazon.com/waf/
• AWS Shield（仕組み）：https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html
• AWS Network Firewall：https://docs.aws.amazon.com/network-firewall/
• Route 53 Resolver DNS Firewall：https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html
• AWS Firewall Manager：https://docs.aws.amazon.com/ja_jp/firewall-manager/
• AWS Verified Access：https://docs.aws.amazon.com/ja_jp/verified-access/latest/ug/what-is-verified-access.html
• AWS KMS：https://docs.aws.amazon.com/kms/
• AWS CloudHSM：https://docs.aws.amazon.com/cloudhsm/
• AWS Secrets Manager：https://docs.aws.amazon.com/secretsmanager/
• AWS Certificate Manager：https://docs.aws.amazon.com/acm/
• AWS Private Certificate Authority：https://docs.aws.amazon.com/privateca/
• Amazon Macie：https://docs.aws.amazon.com/macie/
• AWS Payment Cryptography：https://docs.aws.amazon.com/payment-cryptography/
• AWS Artifact：https://docs.aws.amazon.com/artifact/
• AWS Audit Manager：https://docs.aws.amazon.com/audit-manager/

（学習のコツ）暗記よりも「出題文のキーワード → サービスの役割」への変換を練習すると、CLF-C02のセキュリティ領域は得点源になりやすいです。