AWS Certified Security – Specialty 試験 (SCS) 試験が改訂されると AWS からのアナウンスがありました。
この試験は 2023 年 7 月 11 日から変更されます。更新された試験への登録は 2023 年 6 月 13 日に開始され、試験は 2023 年 7 月 11 日から受験可能になります。
https://aws.amazon.com/jp/certification/certified-security-specialty/#exam-update
具体的にどういう違いがあるのか、自分で試験概要を見比べて比較してみました。
参考にしたのは、以下の情報です。
受験概要と受験対象者
基本的には同じなのですが、「推奨される AWS の知識」および「試験の範囲外」のセクションの記述が増えました。
まずは「推奨される AWS の知識」についてです。※ 多分同じ意味だろうと思われるものは異なる表現であっても同じものとして扱っています
| SCS-C01 のみ | SCS-C02 のみ |
|---|---|
| ・デプロイに関する知識 ・セキュリティ問題のトラブルシューティング ・マルチアカウントガバナンス ・インシデント対応戦略 |
トラブルシューティングやインシデント対応についての設問が増えるのでしょうか。また、マルチアカウントを前提とした設問も増える予感がします。デプロイに関する知識が明記されたのは少し意外なのですが、DevSecOps なんて言葉も言われますし、あらゆるフェーズでセキュリティを高めていくための知識が問われるようになるのかもしれません。
続いて、「試験の範囲外」についてです。
| SCS-C01 のみ | SCS-C02 のみ |
|---|---|
| ・設定の作成 | ・DevOps の実装 ・コンプライアンス ・ソフトウェア開発サイクル ・プライバシー管理 ・ネットワークトポロジー設計 ・データレジデンシー(GDPR 等) ・デプロイアーキテクチャ設計 |
デプロイ(もしくは他のあらゆるフェーズ)におけるセキュリティについて問うけれども、DevOps やソフトウェア開発、ネットワーク設計、デプロイ基盤設計、については聞かないから安心してね、という配慮を感じます。また、特定の規制に関する知識は問わず、あくまで AWS の知識をメインに問うよ、ということなのでしょうか(AWS 外の知識が問われるかは、試験によって違いがありますよね)。
ということで受験概要と受験対象者については、試験範囲は増えそうだが範囲外の内容も合わせて明記された と考えることができそうです。
試験形式
特に変更はありません。
試験分野
まずは試験分野についてです。
| SCS-C01 | SCS-C02 |
|---|---|
| 1.インシデント対応(12%) | 1.脅威検出とインシデント対応(14%) |
| 2.ログ記録とモニタリング(20%) | 2.セキュリティロギングとモニタリング(18%) |
| 3.インフラストラクチャのセキュリティ(26%) | 3.インフラストラクチャのセキュリティ(20%) |
| 4.アイデンティティ管理とアクセス管理(20%) | 4.Identity and Access Management(16%) |
| 5.データ保護(22%) | 5.データ保護(14%) |
| 6.管理とセキュリティガバナンス(14%) |
もともとの5分野については、多少表現は異なりますが同じものと考えて良さそうです。一番大きな違いは第6分野が追加されていることでしょう。おそらく、推奨知識のところで追加されていたマルチアカウント環境におけるガバナンスについて問われることが多くなることが予想されます。また、分野が増えたにも関わらず第1分野の比率が増えていることにも注目です。これも推奨知識のところにあったように、インシデント対応に関する設問の強化と読み取れそうです。デプロイやトラブルシューティングに関する内容は、それぞれの分野のなかで満遍なく出題する、ということでしょうか。
以下、各分野の出題内容をより詳細に比較してみます。ただ、全体的にフォーマットが変更されて比較がとても難しいので、SCS-C02 をベースに、個人の感覚で無理やり比較しています。
増えた内容 (+)
減った内容 (-)
第 1 分野: 脅威検出とインシデント対応
| SCS-C01 | SCS-C02 |
|---|---|
| 1: インシデント対応計画の策定&実装 | |
| ・インシデント対応サービス&プロセス&手順 ・設定変更確認 ・改善提案 | ・インシデント対応ベスプラ ★ ・AWS Security Finding Format (ASFF) ★ ・認証情報の無効化&ローテーション(IAM, SecMan 等) ・プレイブック&ランブックの策定 ・セキュリティ系サービスのデプロイ(SecHub, Macie, GD, Inspector, Config, Detective, Access Analyzer 等) ・サードパーティツールとの連携(EvB 等) |
| 2: 脅威と異常の検出 | |
・新規リソース検出&診断 ・ルールベースアラート | ・セキュリティ系サービスによる診断&評価(GD, SecHub, Macie, Config, Access Analyzer 等) ・脅威の検索&関連付け(Detective 等) ・分析のためのクエリ実行(Athena 等) ・メトリクスフィルタとダッシュボード(CW 等) |
| 3: 侵害を受けたリソースとワークロードに対応 | |
| ・不正使用レポート ・EC2 インスタンスの隔離 ・データ取得(メモリダンプ) ・ログ分析 ・自動修復サービス&プロセス&手順 | ・AWS セキュリティインシデント対応ガイド ★ ・リソース分離&対応(EC2 等) ・RCA (Detective 等) ・データ取得(スナップショット、メモリダンプ等) ・ログ分析(S3, Athena 等) ・アーティファクト保護(オブジェクトロック、レプリケーション等) ・AWS サービスを用いた自動修復(Lambda, SFn, EvB, SSM, SecHub, Config 等) |
増えた内容が多そうに見えますが、どちらかというと、もともと試験範囲だけど明記されるようになった、という印象が強いです。C02 のほうは関連する AWS サービスまで列挙してくれていて、とても対策がしやすい印象です。一方で、不正使用レポート (Abuse Report) という文言が C02 から消えていますが、試験範囲から除外されることは考えにくいので、引き続き押さえておいたほうがよろしいでしょう。前述しましたが、この第1分野は出題割合が増えている(12% → 14%)というのもあり、全体的に強化されているのは間違いないでしょう。
なお、新たに明記されている各ガイド(★ をつけたもの)は以下のことかなと思います
- AWS Well-Architected Framework (インシデント対応)
- AWS Security Finding Format (ASFF)
- AWS Security Incident Response Guide
ということで第 1 分野については、問われる内容や関連サービスが明確化され、内容が強化された、というまとめとなります。
第 2 分野: セキュリティロギングとモニタリング
| SCS-C01 | SCS-C02 |
|---|---|
| 2.1 モニタリングとアラートの設計&実装 | 1: モニタリングとアラートの設計&実装 |
| ・モニタリング対象の特定 ・モニタリング要件の決定 ・カスタム App のモニタリング ・定期監査の自動化(SecHub 等) ・アラート自動化サービス | ・モニタリング対象の特定 ・モニタリング要件の決定 ・モニタリング基盤の設計 ・ベースラインモニタリング(GD, SSM 等) ・定期監査の自動化(SecHub 等) ・アラート提供サービス(CW, EvB 等) ・アラート自動化サービス(Lambda, SNS, SecHub 等) ・アラートの設計 |
| 2.2 モニタリングとアラートのトラブルシューティング | 2: モニタリングとアラートのトラブルシューティング |
| ・モニタリング失敗の分析&修正 ・アラート不発の分析&修正 ・ユーザーアクティビティ証跡の確認 | ・ログサービスやモニタリングサービスの評価 ・モニタリングサービスの設定(SecHub 等) ・モニタリング失敗の分析&修正 ・アラート不発の分析&修正 |
| 2.3 ログソリューションの設計&実装 | 3: ログソリューションの設計&実装 |
| ・ログ対象の特定 ・ログサービス ・ログストレージ | ・ログ対象の特定 ・ログ機能(VPC, DNS, CTrail, CW Logs 等) ・ログ設定(レベル、タイプ、詳細度 等) ・ログの保存先とライフサイクル管理 |
| 2.4 ログソリューションのトラブルシューティング | 4: ログソリューションのトラブルシューティング |
| ・設定ミスの特定&修復(アクセス許可 等) | ・ログ機能(VPC, DNS, CTrail, CW Logs 等) ・ログ仕様(頻度 等) ・設定ミスの特定&修復(アクセス許可 等) |
| 5: ログ分析ソリューションの設計 | |
| ・ログの分析 | ・ログの分析(Athena, xxx Insights 等) ・ログ形式の正規化、関連付け |
この分野については、特に範囲が広がった感はなく、これまでも聞かれていたであろう項目や関連する AWS サービスの明記がされた印象です。逆に明記がなくなったところについては、ユーザーアクティビティ証跡については CTrail のことでしょうから引き続き試験範囲かと考えられますが、カスタム App のモニタリングは範囲外となるのでしょうか?要は Agent を仕込んでカスタムメトリクスやカスタムログを収集するという話なのでしょうけど、個人的にはこれがカットされるのは考えにくいような?と思っています。
ということで第 2 分野については、これまでと範囲はそれほど変わらず対象サービスが詳細化された、というまとめとなります。
第 3 分野: インフラストラクチャのセキュリティ
| SCS-C01 | SCS-C02 |
|---|---|
| 3.1 エッジでのセキュリティの設計 | 1: エッジでのセキュリティの設計&実装 |
| ・攻撃対象の制限&影響範囲の削減 ・エッジでの保護(DDoS 等) ・侵入の防止と検出 ・WAF の適用 | ・エッジのセキュリティ(WAF, LB, R53, CF, Shield 等) ・攻撃手法と回避方法(OWASP Top10, DDoS) ・階層化 App とエッジ防御 ・脆弱性からの保護 ・エッジでの制限(地域、レート 等) ・エッジでのモニタリング |
| 3.2 NW セキュリティの設計&実装 | 2: NW セキュリティの設計&実装 |
| ・NW セグメント設計 ・NW セキュリティ(SG, NACL 等) ・オンプレとの接続(VPN, DX 等) ・不要な NW アクセスの遮断 ・フローログの有効化 ・ゲートウェイの分析 | ・NW セグメント設計 ・NW セキュリティ (SG, NACL, Firewall 等) ・NW フロー設計(TGW, VPCe, Lambda on VPC 等) ・NW モニタリング(ログ、ミラーリング等) ・オンプレとの接続(VPN, DX 等) ・不要な NW アクセスの遮断 ・NW 設定の管理 (FW MGR 等) |
| 3.4 コンピュートセキュリティの設計&実装 | 3: コンピュートセキュリティの設計&実装 |
| ・セキュリティの追加(Inspector, SSM 等) ・セキュリティ(iptables 等) ・モニタリング方法の検討 | ・EC2 のメンテナンス(パッチ、検査、AMI、Image Builder 等) ・インスタンスロールとサービスロール ・脆弱性診断(Inspector, ECR 等) ・セキュリティ(FW 等) ・認証情報の安全な受け渡し |
| 3.3 NW セキュリティのトラブルシューティング | 4: NW セキュリティのトラブルシューティング |
| ・接続問題の分析と対応 ・SG, NACL の確認 | ・TCP/IP 基礎 ・接続問題の分析と対応(Reachability Analyzer, Inspector 等) ・ログ分析による問題特定 ・ログ分析のためのキャプチャ |
この分野はカテゴリの小見出し?までは対応付けが楽なのですが、それぞれの項目の表現が変わっててなかなか対応付けが難しく、色付けを行っていません。全体的に、C01 時代は少数の AWS サービスと SG, NACL が中心でしたが、C02 は他の AWS サービスや機能をあわせて総合的にインフラ全体のセキュリティを高めていけるかが問われている印象です。また、TCP/IP 基礎や一般的な攻撃手法、OWASP Top10 なんていうキーワードも明記されるようになって、問われる内容がより広範になっていそうだなというのを重ねて感じます。
ということで第 3 分野については、幅広く AWS サービスや機能を押さえて様々なレイヤでセキュリティを高める方法が問われそう、というまとめとなります。
第 4 分野: アイデンティティ管理とアクセス管理
| SCS-C01 | SCS-C02 |
|---|---|
| 1: 認証の設計&実装&トラブルシューティング | |
| ・ルートユーザーの検証 ・IdP と IAM の統合 ・トラブルシューティング(スイッチロール 等) | ・ID の作成と管理(MFA, フェデレーション, SSO, Cognito 等) ・認証情報の払い出し(長期的・一時的) ・トラブルシューティング(CTrail, Access Adviser, Policy Simulator 等) |
| 2: 認可の設計&実装&トラブルシューティング | |
| ・権限管理のリスク低減(ユーザー, グループ, ロール, ポリシー) ・ユーザーポリシー&リソースポリシー ・最小権限と職務分掌 ・トラブルシューティング(S3 アクセス, EC2 によるアクセス 等) | ・ポリシー種別(マネージド, インライン, アイデンティティ, リソース, セッション 等) ・ポリシーの構成要素(プリンシパル、アクション、リソース、条件 等) ・ABAC と RBAC ・最小権限と職務分掌 ・トラブルシューティング(権限エラー, 意図しない権限付与 等) |
この分野は小見出しの構成が変わったため C01 側はそれっぽく並べ替えています。内容については、これまで IAM がメインだったものが他の様々なものと組み合わせた内容になっていたり、IAM の内容についてもより深い内容が聞かれることが明記されたように感じられます(これまでも明記していないだけで出題されていたような気もしますが)。ポリシー種別や構成要素、ABAC や RBAC といった考え方は普段の AWS 操作の際に大いに役立つ考え方です。なお、ルートユーザーに関する記載がなくなっていますが、これは新設された第 6 分野に移りました。
ということで第 4 分野については、IAM に関するより細かい内容と他サービスとの関連についてが明記されるようになった、というまとめとなります。
第 5 分野: データ保護
| SCS-C01 | SCS-C02 |
|---|---|
| 1: 転送データのセキュリティ | |
| ・必要な変更の提案 ・暗号化技術 | ・一般知識(TLS, VPN, IPsec, 証明書 等) ・オンプレ間通信路(VPN, DX 等) ・接続時の暗号化要求(RDS, S3, DDB 等) ・S3 アクセス時の暗号化 ・EC2 アクセス(SSH, RDP, SSM 等) ・クロスリージョン NW (Private VIF, Public VIF) |
| 2: 保管データのセキュリティ | |
| ・必要な変更の提案 ・暗号化技術 ・タグベースのアクセス制御 | ・暗号化技術 ・リソースポリシー(S3, DDB 等) ・パブリックアクセス防止(S3, スナップショット, AMI 等) ・保管データの暗号化(S3, RDS, EBS 等) ・変更の防止(オブジェクトロック 等) ・DB と CloudHSM の連携 |
| 3: 保管データのライフサイクル管理 | |
| ・ライフサイクルメカニズム(S3, EBS, スナップショット 等) ・AWS Backup によるスケジュール | |
| 4: 認証情報の保護 | |
| ・キーポリシー | ・認証情報の管理とローテーション(SSM, SecMan 等) ・KMS キーポリシー ・キーのインポート |
この分野における C01 の記述が相当フワッとしているので、比較は半ばあきらめています。一方で C02 ではかなり明確に対象や関連サービス&機能が説明されていて、対策が捗るでしょう。ただ、これで割合が 22% → 14% とかなり減るので、書いてない部分までの対策については、優先度低めになる気がします。
ということで第 5 分野については、出題範囲が明記されたのでピンポイントで対策が可能になった、というまとめとなります。
第 6 分野: 管理とセキュリティガバナンス
| SCS-C01 | SCS-C02 |
|---|---|
| 1: アカウントの一元管理 | |
| ・Organizations と SCP ・Control Tower とガードレール実装 ・セキュリティサービスの一元化(Config アグリゲータ 等) ・ルートユーザーの保護 | |
| 2: 一貫したデプロイ | |
| ・IaC の適用(CFn) ・タグ付け ・承認されたサービスデプロイ(Service Catalog 等) ・Firewall Manager による管理 ・アカウント間リソース共有(RAM 等) | |
| 3: コンプライアンス | |
| ・機密データ管理(Macie 等) ・非準拠リソースの検出(Config 等) ・証跡の収集(SecHub, Audit Manager 等) | |
| 4: セキュリティギャップの特定 | |
| ・リソース使用率やコストの計測 ・W-A Tool を用いたセキュリティ診断 |
新設された分野なので、C02 のひとつのメイントピックと捉えられそうです。やはり目につくのは、マルチアカウント環境におけるアカウント管理に関する設問が増えそうということでしょう。Organizations や Control Tower、Security Manager などがコアサービスとなるのでしょうか。また、推奨される AWS 知識にデプロイというものがありましたが、IaC の適用やアカウントをまたがったセキュアなデプロイ基盤についての設問が設けられるということでしょう。一方で、3 のコンプライアンスや 4 のギャップの特定というのは、これまでも聞かれていそうなもので、それが改めて明記されたというところでしょうか。
ということで第 6 分野については、マルチアカウント環境でのアカウント管理やセキュアなデプロイ戦略について追加の対策が必要、というまとめとなります。
対象サービス
これらは試験ガイドの付録として掲載されていて、試験ガイド内にも同じ注釈がありますが、試験範囲に関する網羅的なリストではない ことに注意が必要です。
対象ツール
| SCS-C01 | SCS-C02 |
|---|---|
| ・マネコン / CLI / SDK ・NW 分析ツール(パケットキャプチャ) ・SSH / RDP ・Sigv4 ・TLS ・証明書管理 ・IaC | ・マネコン / CLI / SDK ・セキュアなリモートアクセス ・証明書管理 ・IaC |
対象ツールはパッと見では減りました。しかし、SSH/RDP, Sigv4, TLS あたりは「セキュアなリモートアクセス」として集約されている気がしないでもないので、明確に減ったのは NW 分析ツールでしょうか。ただ、トラフィックミラーリングによるトラフィックのキャプチャや、キャプチャしたデータを CW Logs に送ったり Athena で分析したりというのは C02 の試験範囲にも含まれたままですので、tcpdump とかはできる必要はないけれども、どうすればパケットのキャプチャができるのか、については依然として把握しておく必要がある、ということについては変わらないかと思います。
ですので結論は、表現がシンプルになったものの対策すべき内容に大差はない、となるでしょうか。
対象カテゴリ
| SCS-C01 | SCS-C02 |
|---|---|
| ・マネジメントとガバナンス ・ネットワークとコンテンツ配信 ・セキュリティ、アイデンティティ、コンプライアンス | ・マネジメントとガバナンス ・ネットワークとコンテンツ配信 ・セキュリティ、アイデンティティ、コンプライアンス |
| (注意書き) セキュリティはすべての AWS のサービスに影響します。サービス全体は範囲外であるため、多くのサービスはこのリストに表示されませんが、サービスのセキュリティの側面は範囲内です。例えば、この試験には S3 バケットのレプリケーションを設定するステップについての設問はありませんが、S3 バケットポリシーの設定については問われる場合があります。 | (注意書き) セキュリティはすべての AWS のサービスに影響します。サービス全体は範囲外であるため、多くのサービスはこのリストに表示されませんが、サービスのセキュリティの側面は範囲内です。例えば、この試験には S3 バケットのレプリケーションを設定するステップについての設問はありませんが、S3 バケットポリシーの設定については問われる場合があります。 |
ということで、対象カテゴリについては何も変わりません。
対象サービス
追加されたサービス (+)
削除されたサービス (-)
| マネジメントとガバナンス | ネットワークとコンテンツ配信 | セキュリティ、アイデンティティ、コンプライアンス |
| ・AWS Audit Manager ・AWS CloudTrail ・Amazon CloudWatch ・AWS Config ・AWS Organizations ・AWS SSM ・AWS Trusted Advisor | ・Amazon Detective ・AWS Firewall Manager ・AWS Network Firewall ・AWS Security Hub ・AWS Shield ・Amazon VPC (VPCe, SG, NACL, Access Analyzer) ・AWS WAF | ・AWS Certificate Manager (ACM) ・AWS CloudHSM ・AWS Directory Service ・Amazon GuardDuty ・AWS IAM ・Amazon Inspector ・AWS KMS ・Amazon Macie ・AWS Single Sign-On |
試験分野であんなにサービスの明記が増えたので対象サービスも増えたのかとおもいきや、実は対象サービスは増えていません。もちろん注釈にあるようにこれが網羅的なリストではないですし、ここにないサービス(S3 等)のセキュリティ系の機能や設定については試験範囲となるので、実際のところはどうなのかは定かではありませんが、対象サービスは変わらず、その代わり重視する領域が変化すると捉えるのがよいのかもしれません(マルチアカウント環境における各サービスの利用法、みたいな)。
対象外サービス
| SCS-C01 | SCS-C02 |
|---|---|
| • アプリケーション開発サービス • IoT サービス • 機械学習 (ML) サービス • メディアサービス • 移行と転送サービス | • アプリケーション開発サービス • IoT サービス • 機械学習 (ML) サービス • メディアサービス • 移行と転送サービス |
ということで、対象外サービスについては何も変わりません。
まとめ
ぱっと見ただけではどこが差分かわかりにくかったですが、新バージョンでは問われる内容が明確になり、一部のカテゴリについてはより深く問われるようになりそうだ、ということがわかりました。また、新たに追加されるカテゴリもありそうなので、新規に受験 or 認定の更新をする際には、今回ご紹介した差分を自力でキャッチアップするか、SCS-C02 対応版の参考書が登場するまで受験を見合わせたほうがいいかもしれません。
個人的には、これまでも試験範囲だったけど明文化されていなかった部分が今回の改訂で明確になった、のような印象を持ちました。ただこれは個人の感想なので、本当に大幅に試験範囲が増えたのかもしれません。いずれにせよ、どういった内容が出るかについて細かい部分まで新たに把握しておけるのはいいことなので、今回の改訂は好意的に捉えていきたいとおもいます。
