AWS Certified Cloud Practitioner(CLF-C02)では、Security and Compliance が採点対象の30%を占めます。試験ガイドでは、共有責任モデル、セキュリティベストプラクティス、アクセス管理、ログ、暗号化、代表的なセキュリティサービスの理解が求められています。まずは試験範囲の公式情報を確認しておくと、何を優先して覚えるべきかがぶれません。参考:https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.html、https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/clf-02-in-scope-services.html
この分野で最初に押さえるべき全体像
初学者は、AWSのセキュリティを次の5つに分けて覚えると整理しやすくなります。
- 責任の分担:AWSが守る範囲と利用者が守る範囲
- アクセス管理:誰が何をできるかを決める仕組み
- データ保護:暗号化と鍵管理
- 監査と記録:誰がいつ何をしたかを追跡する仕組み
- 検知と防御:怪しい動きや攻撃を見つけて止める仕組み
この5つを、Shared Responsibility / IAM / KMS / CloudTrail / GuardDuty / WAF などの具体的なAWSサービスに結び付けて理解すると、試験問題に対応しやすくなります。
1. 共有責任モデル:AWSと利用者の「どちらの責任か」を区別する
AWSでは、セキュリティとコンプライアンスはAWSと利用者の共有責任です。AWSは「クラウドそのもののセキュリティ」を管理し、利用者は「クラウド上で自分が使う設定やデータのセキュリティ」を管理します。公式説明:https://aws.amazon.com/compliance/shared-responsibility-model/
AWS側の責任の例
- データセンターの物理セキュリティ
- ハードウェア
- ネットワーク基盤
- 仮想化基盤
利用者側の責任の例
- IAM設定
- S3バケットの公開設定
- EC2に入れたOSやアプリのパッチ管理
- データの暗号化設定
初心者向けの例
EC2を使う場合は、AWSが物理サーバーや基盤を守り、利用者はOS、ミドルウェア、アプリ、セキュリティグループ設定などを守ります。一方、LambdaやRDSのようなマネージド度が高いサービスでは、利用者が管理する範囲は相対的に小さくなります。試験では「同じAWSでもサービスによって利用者責任が変わる」ことが重要です。
2. IAM:誰が、何を、どこまでできるかを決める
IAM(AWS Identity and Access Management)は、AWSリソースへのアクセスを安全に制御するための基本サービスです。AWS公式では、IAMは「誰が認証され、何に対して認可されるかを制御する仕組み」と説明されています。参考:https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html
覚えるべき基本用語
- 認証:その人やシステムが誰かを確認すること
- 認可:何をしてよいかを許可すること
- IAMユーザー:人にひも付く利用者
- IAMロール:特定の権限セットを一時的に引き受ける仕組み
- IAMポリシー:許可・拒否のルール
試験で特に重要なポイント
- ルートユーザーは日常運用で使わない
- MFA(多要素認証)を有効化する
- 最小権限の原則を守る
- 長期アクセスキーの配布より、ロールや一時的認証情報を優先する
IAMのベストプラクティスでも、ロールによる一時的認証情報の活用やMFAの利用が推奨されています。参考:https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
初心者向けの例
「開発者にはEC2の起動・停止だけ許可し、請求情報の閲覧は許可しない」のように、必要最小限の操作だけ許可するのが最小権限です。逆に、「とりあえずAdministratorAccessを付ける」は、試験でも実務でも避けるべき考え方です。
IAM Identity Centerも押さえる
CLF-C02の試験ガイドでは、AWS IAM Identity Center もアクセス管理の重要項目として挙げられています。複数のAWSアカウントやアプリへのアクセスを一元管理したいときに使います。参考:https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html
3. 暗号化:データを「保存時」と「通信時」で守る
試験では、暗号化を保存時の暗号化(encryption at rest)と通信時の暗号化(encryption in transit)に分けて理解すると整理しやすくなります。試験ガイドでも、暗号化はSecurity and Complianceの重要ポイントとして明示されています。参考:https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.html
AWS KMS:鍵管理の中心
AWS KMS は、データの暗号化や署名に使う鍵の作成と制御を簡単にするAWSマネージドサービスです。S3、EBS、RDSなど多くのサービスと連携できます。参考:https://docs.aws.amazon.com/kms/latest/developerguide/overview.html
ACM:通信時の暗号化でよく使う
AWS Certificate Manager(ACM) は、SSL/TLS証明書の作成、保管、更新を簡単にするサービスです。HTTPS通信を使うWebサイトやアプリの保護で重要です。参考:https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html
初心者向けの覚え方
- KMS:暗号鍵を管理する
- ACM:証明書を管理して安全な通信を助ける
「鍵の管理なのか」「証明書の管理なのか」を区別できると、選択肢の切り分けがしやすくなります。
4. CloudTrail・Config・Artifact:監査、設定追跡、コンプライアンス確認
CloudTrail:誰が何をしたかを追跡する
AWS CloudTrail は、AWSアカウント内のアクションをイベントとして記録し、監査やガバナンスに役立てるサービスです。コンソール操作、CLI操作、SDK/API呼び出しなどが対象です。参考:https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
典型例は、「誰がS3バケットの設定を変更したかを知りたい」というケースです。このときに最初に考えるサービスがCloudTrailです。
AWS Config:設定がどう変わったかを追跡する
AWS Config は、AWSリソースの設定状況や、過去から現在までの設定変更を把握するためのサービスです。参考:https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html
CloudTrailが「誰が何をしたか」に強いのに対し、Configは「リソース設定がどう変わったか」に強い、という違いで覚えると分かりやすいです。
AWS Artifact:コンプライアンス文書を確認する
AWS Artifact は、AWSのセキュリティ・コンプライアンス関連文書をオンデマンドで取得できるサービスです。SOCレポートや各種認証情報を確認したい場面で使います。参考:https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html
試験では「AWSのコンプライアンスレポートを確認したい」とあれば、Artifactを思い出せるようにしておくと有利です。
5. GuardDuty・Inspector・WAF・Shield:見つける、防ぐ、守る
GuardDuty:脅威を検知する
Amazon GuardDuty は、AWS環境内のログやデータソースを継続的に分析し、疑わしい動きや悪意のある可能性がある活動を検知する脅威検出サービスです。参考:https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html
「怪しい挙動を見つけたい」「認証情報の不正利用や異常通信を検知したい」といった問題では、GuardDutyを候補にします。
Inspector:脆弱性を見つける
Amazon Inspector は、ワークロードを自動的に検出し、ソフトウェア脆弱性や意図しないネットワーク露出を継続的にスキャンする脆弱性管理サービスです。参考:https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html
GuardDutyが「脅威検知」に強いのに対し、Inspectorは「脆弱性評価」に強い、という違いで整理すると覚えやすくなります。
WAF:Webアプリを守る
AWS WAF は、保護対象のWebアプリケーションに届くHTTP/HTTPSリクエストを監視・制御するWebアプリケーションファイアウォールです。参考:https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html
SQLインジェクションや悪意のあるWebリクエスト対策を考える問題では、WAFが代表候補です。
Shield:DDoS対策
AWS Shield は、DDoS対策に関係するサービスです。試験では「Webアプリのリクエスト内容を見て制御するのはWAF」「DDoS対策はShield」という切り分けが重要です。関連公式情報:https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html
6. 複数アカウント管理ではOrganizationsも重要
AWS Organizations は、複数のAWSアカウントを一元的に管理し、ポリシー適用や請求の集約を行うためのサービスです。参考:https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
Cloud Practitionerでは深い設計までは求められにくいですが、「アカウントを部門ごとに分けて統制したい」「複数アカウントに共通ルールを適用したい」といった設問で役立ちます。
7. 試験で迷いやすいサービス比較
| やりたいこと | まず考えるサービス | 覚え方 |
|---|---|---|
| 誰が何をしたかを調べたい | CloudTrail | 操作イベントの記録 |
| 設定変更の履歴を追いたい | AWS Config | リソース設定の追跡 |
| コンプライアンス文書を取得したい | AWS Artifact | AWSの監査・証明資料 |
| 誰にどの権限を与えるか決めたい | IAM / IAM Identity Center | 認証と認可 |
| 暗号鍵を管理したい | AWS KMS | 鍵管理 |
| HTTPS証明書を管理したい | ACM | 証明書管理 |
| 怪しい動きを検知したい | GuardDuty | 脅威検知 |
| 脆弱性を見つけたい | Inspector | 脆弱性評価 |
| Web攻撃を防ぎたい | AWS WAF | HTTP/HTTPSリクエスト制御 |
| DDoS対策をしたい | AWS Shield | 大規模攻撃対策 |
8. 直前復習用の最重要ポイント
- 共有責任モデルでは、AWSはクラウドのセキュリティ、利用者はクラウド内のセキュリティを担当する
- ルートユーザーは保護し、普段使いしない
- MFAは重要な基本対策
- 最小権限の原則を守る
- CloudTrailは操作記録、Configは設定履歴
- KMSは鍵管理、ACMは証明書管理
- GuardDutyは脅威検知、Inspectorは脆弱性管理、WAFはWeb防御、ShieldはDDoS対策
- Artifactはコンプライアンス文書の確認に使う
9. 不確かな点があるテーマの整理
(1) 確実に言えること
CLF-C02の公式試験ガイドでは、共有責任モデル、セキュリティベストプラクティス、アクセス管理、ログ、暗号化、GuardDuty・Shield・WAF などの代表的なセキュリティ関連サービスの理解が対象です。また、試験ガイドのIn-Scope AWS Servicesには IAM、IAM Identity Center、KMS、ACM、GuardDuty、Inspector、WAF、Shield、Artifact、CloudTrail、Config、Organizations が含まれています。参考:https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.html、https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/clf-02-in-scope-services.html
(2) 推測
Cloud Practitionerでは、各サービスの細かい実装手順よりも、用途の違いを見分ける問題が中心になる可能性が高いです。根拠は、この試験が基礎レベルであり、試験ガイドでも実装・トラブルシューティング・詳細設計は対象外または中心ではないと読めるためです。参考:https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.html
(3) 不明点
実際の本試験で、どのセキュリティサービスが何問出題されるか、あるいはどの設問でどのレベルまで深掘りされるかは公開されていません。したがって、「特定の1サービスだけを重点的に暗記すれば十分」とは言えません。試験ガイドの範囲に沿って、まずはサービスの役割の違いを正確に整理するのが安全です。
参考情報(AWS公式)
- https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.html
- https://docs.aws.amazon.com/aws-certification/latest/cloud-practitioner-02/clf-02-in-scope-services.html
- https://aws.amazon.com/compliance/shared-responsibility-model/
- https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
- https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html
- https://docs.aws.amazon.com/kms/latest/developerguide/overview.html
- https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html
- https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
- https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html
- https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html
- https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html
- https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html
- https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html
- https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html