Domain 02 — 試験比率 30%(最高比率)
セキュリティとコンプライアンス
CLF-C02で最も出題比率が高い(30%)ドメインです。責任共有モデル・IAM・セキュリティサービスをしっかり理解することが合格の鍵です。
1 責任共有モデル(Shared Responsibility Model)
AWSのセキュリティの根幹となる概念です。「クラウドのセキュリティ」はAWSが担当し、「クラウド内のセキュリティ」はお客様が担当するという責任分担です。
サービスタイプ別の責任範囲の違い
EC2(IaaS):お客様がOSからアプリまで全て管理
RDS(PaaS):DBエンジン・OSのパッチはAWS担当。データ・アクセス管理はお客様
S3(PaaS):ストレージインフラはAWS。バケットポリシー・暗号化設定はお客様
RDS(PaaS):DBエンジン・OSのパッチはAWS担当。データ・アクセス管理はお客様
S3(PaaS):ストレージインフラはAWS。バケットポリシー・暗号化設定はお客様
ミニクイズ
Q. 責任共有モデルにおいて、Amazon EC2インスタンスのOSのパッチ適用は誰の責任ですか?
正解は B。EC2はIaaS(インフラとして提供)のため、ゲストOS以上のレイヤー(OS・アプリ・データ)はお客様の責任です。ただしRDS(マネージドDB)ではOSのパッチ適用はAWS担当です。
2 IAM(Identity and Access Management)の基礎
IAMはAWSリソースへのアクセスを管理するサービスです。「誰が」「何を」「どのリソースに対して」できるかを定義します。IAMはグローバルサービス(リージョンに依存しない)です。
IAM ユーザー
AWSを操作する個人またはアプリケーション。デフォルトでは権限なし。
IAM グループ
複数ユーザーの集合。グループにポリシーをアタッチして一括管理。
IAM ロール
一時的な権限を付与する仕組み。EC2やLambdaがAWSリソースにアクセスする際に使用。
IAM ポリシー
権限を定義するJSONドキュメント。ユーザー・グループ・ロールにアタッチして使用。
ルートユーザー
AWSアカウント作成時に作られる最強権限のユーザー。日常業務での使用は禁止。
MFA(多要素認証)
パスワード+認証デバイスで二段階認証。ルートユーザーへの適用が強く推奨。
IAM ポリシーの構造(JSON)
Effect:Allow(許可)またはDeny(拒否)
Action:許可・拒否するAPIアクション(例:s3:GetObject)
Resource:対象となるAWSリソース(ARNで指定)
Condition(オプション):特定条件下でのみ適用
Action:許可・拒否するAPIアクション(例:s3:GetObject)
Resource:対象となるAWSリソース(ARNで指定)
Condition(オプション):特定条件下でのみ適用
ミニクイズ
Q. AWSのEC2インスタンスがS3バケットにアクセスする必要があります。セキュリティのベストプラクティスとして正しいのはどれですか?
正解は B。EC2にIAMロールをアタッチすると、一時的な認証情報が自動ローテーションされ、アクセスキーのハードコーディングが不要になります。これが最も安全なベストプラクティスです。
3 IAM のセキュリティベストプラクティス
AWSが推奨するIAMのセキュリティ強化のポイントです。試験では「最小権限の原則」と「MFA」が特によく出題されます。
ルートユーザーは日常業務に使わない — アカウント設定・請求管理のみ。MFAを必ず設定する。
最小権限の原則(Least Privilege) — 必要最小限のアクセス権限のみを付与する。
IAMグループを活用する — ユーザーに直接権限を付与せず、グループ経由で管理する。
MFA(多要素認証)を有効化する — 特にルートユーザーと特権ユーザーは必須。
アクセスキーを定期的にローテーション — 長期アクセスキーの使用リスクを軽減する。
IAM認証情報レポートを活用 — 全ユーザーのパスワード・アクセスキーの状況を監査できる。
ミニクイズ
Q. 「最小権限の原則」とは何ですか?
正解は C。最小権限の原則(Principle of Least Privilege)は、ユーザーまたはサービスが業務を遂行するために最低限必要な権限だけを付与することです。過剰な権限は、誤操作やセキュリティ侵害時のリスクを拡大します。
4 主要なセキュリティサービス
AWSには多数のセキュリティサービスがあります。各サービスの役割と特徴を覚えましょう。
| サービス名 | 役割 | キーポイント |
|---|---|---|
| AWS WAF | Webアプリファイアウォール | SQLインジェクション・XSSからアプリを保護 |
| AWS Shield | DDoS攻撃からの保護 | Standard(無料)とAdvanced(有料)がある |
| Amazon GuardDuty | 脅威検出サービス | 機械学習で異常なAPIコール・不正アクセスを検出 |
| Amazon Inspector | セキュリティ評価 | EC2インスタンスの脆弱性とネットワーク到達可能性を評価 |
| AWS Macie | S3の機密データ保護 | S3内の個人情報(PII)・機密データを自動検出 |
| AWS CloudTrail | APIコール監査ログ | 「誰が・いつ・何をしたか」を記録。ガバナンス・監査に必須 |
| AWS Config | 設定変更の記録・評価 | リソースの設定変更を追跡し、コンプライアンス違反を検出 |
| Amazon Detective | セキュリティ調査 | GuardDutyの検出結果を分析・調査するための可視化ツール |
| AWS Security Hub | セキュリティの一元管理 | 複数のセキュリティサービスの結果を集約・表示 |
| AWS KMS | 暗号化キー管理 | AWSサービスで使う暗号化キーを中央管理 |
試験でよく混同されるサービス
GuardDuty vs Inspector
GuardDuty = 「実際の脅威・攻撃を検出」(異常なAPIコール、不正IPからのアクセス等)
Inspector = 「脆弱性の存在を評価」(CVEに基づくソフトウェアの弱点を特定)
CloudTrail vs CloudWatch
CloudTrail = AWSのAPI操作ログ(誰が何をしたか)
CloudWatch = リソースのメトリクス・ログ監視(パフォーマンス・リソース状況)
GuardDuty = 「実際の脅威・攻撃を検出」(異常なAPIコール、不正IPからのアクセス等)
Inspector = 「脆弱性の存在を評価」(CVEに基づくソフトウェアの弱点を特定)
CloudTrail vs CloudWatch
CloudTrail = AWSのAPI操作ログ(誰が何をしたか)
CloudWatch = リソースのメトリクス・ログ監視(パフォーマンス・リソース状況)
ミニクイズ
Q. 「AWSアカウント内で誰がいつどのAPIを呼び出したか」を追跡・記録するサービスはどれですか?
正解は C(CloudTrail)。CloudTrailはAWSアカウント内の全APIコールを記録する監査ログサービスです。「誰が・いつ・どのAPIを・どのリソースに対して実行したか」を追跡できます。CloudWatchはメトリクス・ログの監視です。
5 データ保護・暗号化
AWSではデータの保護に「保存時の暗号化(Encryption at rest)」と「転送時の暗号化(Encryption in transit)」の2種類があります。
保存時の暗号化
ストレージに保存されたデータを暗号化。S3のSSE、EBSの暗号化等。AWS KMSでキー管理。
転送時の暗号化
ネットワーク通信を暗号化。TLS/SSL(HTTPS)を使用。AWS Certificate Manager(ACM)でSSL証明書を管理。
AWS KMS
Key Management Service。暗号化キーの作成・管理・監査ができるマネージドサービス。
AWS Secrets Manager
DBパスワード・APIキーなどのシークレット情報を安全に保存・自動ローテーションするサービス。
ミニクイズ
Q. S3バケットに保存されたデータを暗号化する方法はどれですか?
正解は B。S3の保存時の暗号化(SSE: Server-Side Encryption)を設定することで、S3に保存されるデータを暗号化できます。SSE-S3(S3管理キー)、SSE-KMS(KMS管理キー)などのオプションがあります。HTTPSは転送時の暗号化です。
6 コンプライアンスプログラム
AWSは世界各国のコンプライアンス・規制要件に対応したサービスを提供しています。主要なコンプライアンスプログラムと、それを確認・証明するためのAWSツールを理解しましょう。
AWS Artifact
AWSのコンプライアンスレポート(SOC、PCI DSS等)やセキュリティドキュメントをオンデマンドで取得できるポータル。無料。
SOC 1/2/3
Service Organization Control。財務・セキュリティ・可用性等のコントロールに関する監査報告書。
PCI DSS
クレジットカード情報を扱うシステムに求められるセキュリティ基準。
HIPAA
米国の医療情報保護法。患者データを扱うシステムに適用される。
GDPR
EU一般データ保護規則。EU居住者の個人データを扱う全組織に適用。
ISO 27001
情報セキュリティマネジメントシステムの国際標準規格。AWSは取得済み。
試験頻出:AWS Artifact
「AWSのセキュリティコンプライアンスレポートを入手したい」→ AWS Artifact
「自社のリソースがコンプライアンス基準に準拠しているか評価したい」→ AWS Config(コンフォーマンスパック)
「自社のリソースがコンプライアンス基準に準拠しているか評価したい」→ AWS Config(コンフォーマンスパック)
ミニクイズ
Q. AWSのPCI DSSコンプライアンスレポートを入手するには、どのサービスを使用しますか?
正解は C(AWS Artifact)。AWS Artifactは、AWSのコンプライアンス関連ドキュメント(SOCレポート、PCI DSSレポート、ISO認定書など)をオンデマンドでダウンロードできるセルフサービスポータルです。無料で利用できます。
7 AWS Organizations と マルチアカウント管理
複数のAWSアカウントを一元管理するサービスです。組織全体のポリシー適用・請求の一元化・セキュリティガバナンスに活用されます。
組織単位(OU: Organizational Unit):アカウントをグループ化して階層的に管理する。
SCP(サービスコントロールポリシー):OU・アカウント全体に適用できる権限の上限ポリシー。IAMポリシーより優先される。
一括請求(Consolidated Billing):組織内の全アカウントの請求を一つのアカウントにまとめる。利用量合算でボリューム割引を受けられる。
管理アカウント(旧:マスターアカウント):組織を管理する親アカウント。一括請求や組織ポリシーを管理する。
SCP(サービスコントロールポリシー)の特徴
SCPはアカウントレベルで適用される権限の上限(ガードレール)です。
SCPで「EC2の起動を禁止」すると、IAMでいくら許可していても、そのアカウントではEC2を起動できません。
管理アカウント自体にはSCPは適用されません。
SCPで「EC2の起動を禁止」すると、IAMでいくら許可していても、そのアカウントではEC2を起動できません。
管理アカウント自体にはSCPは適用されません。
ドメイン2 試験直前チェックリスト
責任共有モデル:「クラウドのセキュリティ(AWS)」vs「クラウド内のセキュリティ(顧客)」
IAM:ユーザー・グループ・ロール・ポリシーの違いと役割
最小権限の原則・MFA・ルートユーザーの日常不使用
各セキュリティサービスの役割(WAF/Shield/GuardDuty/Inspector/Macie/CloudTrail)
保存時/転送時の暗号化の違い・KMS・Secrets Manager
AWS Artifact:コンプライアンスレポートの入手方法
AWS Organizations:SCP・一括請求・OU・管理アカウント
ミニクイズ
Q. AWS Organizationsのサービスコントロールポリシー(SCP)の説明として正しいのはどれですか?
正解は C。SCPはアカウントまたはOUに適用できる権限の最大上限(ガードレール)です。SCPが拒否したアクションは、IAMポリシーで許可していても実行できません。ただし管理アカウント自身にはSCPは適用されません。