PR

【実践編】AWS認定セキュリティ試験直前!20問で実力診断+合格への道

AWS認定セキュリティ

AWSセキュリティの知識を試す前に、まずは現在のスキルレベルを把握しましょう。本試験(SAA-C03)はクラウドセキュリティの設計・実装能力を測るもので、ハンズオン経験がある方でも新たな発見がある内容構成になっています。次の簡易診断で準備状態を確認してください:

簡易レベルチェック

  • IAMロールとポリシーの違いを説明できる
  • KMSのキーローテーション手順を3ステップで説明可能
  • GuardDutyとInspectorの違いを具体例付きで比較できる
  • セキュリティグループとネットワークACLの優先順位を理解している
試験概要
試験コードSAA-C03
問題数65問
試験時間130分
推奨経験1年以上のAWS実務経験
公式サイトAWSトレーニング
平均学習時間40-60時間
難易度★★★★☆

重要分野別 模擬問題20選

アイデンティティ管理(問題1-5)

問題1:IAMポリシーの優先順位

「複数のポリシーが適用される場合、明示的Denyと明示的Allowの優先順位は?」
(頻出度:★★★★★)

<回答>
明示的Denyが最優先 → Allow → 暗黙的Denyの順
[公式ドキュメント セクション3.2]

問題2:IAMユーザーとIAMロールの違い

「IAMユーザーとIAMロールの主な違いを2点挙げてください。」
(頻出度:★★★★☆)

<回答>

  1. 認証情報:IAMユーザーは長期的な認証情報(ユーザー名とパスワード)を持つが、IAMロールは一時的な認証情報を提供する。
  2. 使用対象:IAMユーザーは特定の個人やアプリケーション用、IAMロールはAWSリソースや外部ユーザーに一時的なアクセス権を付与するために使用される。

問題3:MFAの実装

「AWSアカウントのセキュリティを強化するために、MFA(多要素認証)をどのように実装しますか?」
(頻出度:★★★★★)

<回答>

  1. IAMユーザーにMFAデバイスを関連付ける。
  2. AWS Management ConsoleまたはCLIを使用してMFA設定を構成する。
  3. ルートアカウントを含む重要なアカウントに対してMFAを必須化する。

問題4:最小権限の原則

「IAMにおける最小権限の原則とは何か、また、どのように実装しますか?」
(頻出度:★★★★☆)

<回答>
最小権限の原則とは、ユーザーやリソースに対して、必要最小限の権限のみを付与することです。実装方法:

  1. 具体的なアクションのみを許可するIAMポリシーを作成する。
  2. 広範な権限を持つポリシーを避け、必要に応じて権限を追加する。
  3. AWS IAM Access Analyzerを使用して、過剰な権限を特定し、削減する。

問題5:クロスアカウントアクセスの管理

「AWSアカウント間でリソースへのアクセスを安全に管理する方法を説明してください。」
(頻出度:★★★★☆)

<回答>

  1. リソースを所有するアカウントでIAMロールを作成し、必要な権限を付与する。
  2. ロールに信頼ポリシーを追加し、アクセスを必要とするアカウントからの引き受けを許可する。
  3. アクセスを必要とするアカウントで、AWS STSを使用してロールを引き受ける。
  4. 必要に応じて、外部IDを使用して追加のセキュリティレイヤーを提供する。

データ保護(問題6-10)

問題6:S3バケット暗号化

「SSE-S3とSSE-KMSの主な違いを2点挙げよ」
(頻出度:★★★★☆)

<回答>

  1. キー管理方法(AWS管理 vs カスタマー管理)
  2. 監査証跡の有無(CloudTrail連携の可否)
    [模擬試験データ2024版]

問題7:S3バケットのパブリックアクセス

「S3バケットに保存された機密データを保護するための最適な方法は?」
(頻出度:★★★★☆)<回答>

  1. S3ブロックパブリックアクセス設定を有効化
  2. バケットポリシーでの明示的な拒否ルールの設定
  3. IAMポリシーによる最小権限の原則の適用

問題8:RDSデータベースの暗号化

「RDSインスタンスの保存データを暗号化する際の注意点は?」
(頻出度:★★★☆☆)<回答>

  1. 暗号化はインスタンス作成時にのみ設定可能
  2. 暗号化には追加コストが発生
  3. 暗号化されたスナップショットから復元する場合、新しいインスタンスも自動的に暗号化される

問題9:EBSボリュームの暗号化

「EBSボリュームの暗号化を後から有効にする方法は?」
(頻出度:★★★★☆)<回答>

  1. 暗号化されていないスナップショットを作成
  2. スナップショットをコピーし、暗号化を有効化
  3. 暗号化されたスナップショットから新しいボリュームを作成
  4. 元のボリュームを新しい暗号化されたボリュームに置き換え

問題10:DynamoDBの暗号化

「DynamoDBテーブルのデータを暗号化する最適な方法は?」
(頻出度:★★★☆☆)<回答>

  1. サーバーサイド暗号化を有効化(デフォルトでAWS所有のKMSキーを使用)
  2. 必要に応じてカスタマーマネージドKMSキーを選択
  3. 暗号化はテーブル作成時またはテーブル更新時に設定可能

インフラセキュリティ(問題11-15)

問題11:セキュリティグループ設定

「EC2インスタンスへのHTTP/HTTPSアクセスを許可する最適な設定は?」
(頻出度:★★★☆☆)

<回答>
ソース:0.0.0.0/0(IPv4)と::/0(IPv6)
ポート:80と443
[模擬試験解説セミナー記録]

問題12:VPCフローログ

「VPCフローログの主な用途を2つ挙げよ」
(頻出度:★★★★☆)<回答>

  1. ネットワークトラフィックの監視と分析
  2. セキュリティ上の異常や不正アクセスの検出

問題13:AWS WAF

「AWS WAFで防御できる攻撃の種類を3つ挙げよ」
(頻出度:★★★★★)<回答>

  1. SQLインジェクション
  2. クロスサイトスクリプティング(XSS)
  3. IPアドレスベースのアクセス制御

問題14:AWS Shield

「AWS Shield StandardとAdvancedの主な違いを説明せよ」
(頻出度:★★★☆☆)<回答>

  1. 保護対象:StandardはELB、CloudFront、Route 53のみ、AdvancedはEC2インスタンスなども含む
  2. コスト:Standardは無料、Advancedは有料
  3. サポート:Advancedは24時間365日のDDoS対応サポートを提供

問題15:AWS KMS

「AWS KMSのキーローテーションについて、正しい説明を選べ」
(頻出度:★★★★☆)A) カスタマーマネージドキーは自動的にローテーションされる
B) AWSマネージドキーは手動でローテーションする必要がある
C) カスタマーマネージドキーは手動でローテーションを有効にできる
D) キーローテーションは暗号化されたデータの再暗号化を必要とする<回答>
C) カスタマーマネージドキーは手動でローテーションを有効にできる


インシデント対応(問題16-20)

問題19:GuardDutyアラート対応

「不正アクセス検知時の最初の対応ステップは?」
(頻出度:★★★★☆)

<回答>

  1. 影響範囲の特定
  2. 関連リソースの隔離
  3. 根本原因調査
    [AWSセキュリティホワイトペーパー]

問題17:GuardDutyの異常検知

「GuardDutyが異常なIAMユーザーの振る舞いを検出した場合、最初に取るべき対応手順は何か?」
(頻出度:★★★★☆)<回答>

  1. 影響を受けたIAMユーザーを特定する
  2. ユーザーの認証情報を一時的に無効化する
  3. 異常な活動の詳細を調査し、ログを分析する
  4. 必要に応じて、ユーザーの権限を制限または削除する

問題18:インシデント対応プレイブック

「効果的なインシデント対応プレイブックに含めるべき重要な要素を3つ挙げよ」
(頻出度:★★★★★)<回答>

  1. 明確な役割と責任の定義
  2. 段階的な対応手順(検出、分析、封じ込め、根絶、復旧)
  3. コミュニケーションプランと関係者への通知手順

問題20:自動化されたインシデント対応

「AWSで自動化されたインシデント対応を実装する際に使用できるサービスの組み合わせとして最適なものは?」
(頻出度:★★★☆☆)<回答>
GuardDuty + EventBridge + Lambda + Systems Manager
この組み合わせにより、脅威の検出、イベントのトリガー、自動修復アクションの実行が可能となる


資格取得後のキャリア展望

AWS認定セキュリティスペシャリスト資格は、クラウドセキュリティアーキテクトとして年収800万円〜の求人や、金融機関のクラウド移行プロジェクトでのリーダー職など、多様な活躍の場が広がります。今回の模擬問題で8割正解できれば合格圏内です!最後まで諦めずに、クラウドセキュリティのプロを目指しましょう。


コメント

タイトルとURLをコピーしました