AWS Security Specialtyの試験範囲が広すぎてどこから手をつければいいかわからない、SCPやPermissions Boundaryなど聞き慣れない概念が多くて混乱している、という声をよく聞く。
この記事では、AWS Certified Security – Specialty(SCS-C02)を3か月で取得するための学習戦略を解説する。試験の概要・6つのドメイン別の配点・頻出サービスの押さえ方・よくあるつまずきとその対処法まで、オンプレ経験のあるインフラエンジニアが効率よく合格するための情報をまとめた。SAA取得後のキャリアアップとしてセキュリティ専門資格を目指している方は、ぜひ最後まで読んでほしい。
AWS Security Specialtyとはどんな試験か
AWS Certified Security – Specialty(SCS-C02)は、AWSのセキュリティ分野に特化した専門家認定資格だ。アソシエイト級を超えた「スペシャリティ(専門資格)」に位置づけられており、IAMの高度な設計・暗号化・脅威検知・コンプライアンス対応など、セキュリティの実務に直結した知識が問われる。
試験の基本スペックを確認しておこう。
・試験時間: 170分
・問題数: 65問(多肢選択式。一部未採点の試験問題を含む場合あり)
・合格ライン: 100~1000点スケールのうち750点以上
・受験料: 300 USD(2026年時点)
・有効期限: 3年間(更新時は再受験または継続教育ポイント取得)
・推奨経験: AWSでのセキュリティ業務5年以上(うちAWS実務2年以上)
「推奨5年」という数字に驚くかもしれないが、オンプレのインフラ経験とAWS SAA相当の知識があれば十分に合格を狙える試験だ。大切なのは年数よりも、「AWSのセキュリティサービスを実務的な視点でどれだけ理解しているか」だ。
SCS-C02はSAAやSOAとどう違うか
SAA(Solutions Architect Associate)やSOA(SysOps Admin Associate)は、AWSのアーキテクチャ・運用に関する知識の「広さ」を問う試験だ。一方、SCS-C02はセキュリティ分野の「深さ」を問う試験になっている。
たとえばSAAであれば「IAMロールを設定してEC2にS3へのアクセスを許可する」という基本的な設計を理解していれば対応できる。しかしSCS-C02では「Permissions BoundaryとSCPとリソースベースポリシーが同時に適用される場合、どのポリシーが有効になるか」という複合的な評価ロジックが問われてくる。
「AWSをひと通り知っている状態」から「セキュリティの設計判断ができる状態」へ進化するための試験と捉えると、学習の方向性が定まりやすい。
試験の6ドメインと配点
SCS-C02は6つのドメインで構成されている。それぞれの配点を把握しておくことが、学習優先度の設計において重要だ。
| ドメイン番号 | ドメイン名 | 配点割合 |
|---|---|---|
| ドメイン1 | 脅威検知とインシデント対応 | 14% |
| ドメイン2 | セキュリティのログ記録とモニタリング | 18% |
| ドメイン3 | インフラストラクチャのセキュリティ | 20% |
| ドメイン4 | IDとアクセス管理 | 16% |
| ドメイン5 | データ保護 | 18% |
| ドメイン6 | 管理とセキュリティガバナンス | 14% |
配点が高い順に見ると、「インフラセキュリティ(20%)」「ログ監視(18%)」「データ保護(18%)」の3ドメインで全体の56%を占める。この3つを重点的に固めることが合格への近道だ。
ドメイン3:インフラストラクチャのセキュリティ(20%)
配点が最も高いドメイン。VPCのセキュリティグループ・ネットワークACL・PrivateLink・VPCエンドポイントの使い分けが問われる。オンプレのファイアウォール設計の知識と重なる部分が多いため、インフラ経験者には比較的イメージしやすい分野だ。
頻出の論点は「セキュリティグループはステートフル、ネットワークACLはステートレス」という根本的な違いと、「VPCエンドポイントを使うとS3・DynamoDBへのアクセスがインターネットを経由しなくなる」というプライベートなアクセスパターンの理解だ。
AWS WAFとAWS Shieldの使い分けも必ず出てくる。WAFはOWASPトップ10などのWebアプリケーション層の攻撃を防ぐもの、Shieldはネットワーク・トランスポート層へのDDoS攻撃を防ぐものと整理しておこう。
ドメイン2:セキュリティのログ記録とモニタリング(18%)
CloudTrail・CloudWatch Logs・AWS Config・Security Hubの連携が中心になる。「誰が・いつ・何をしたか」を追跡するCloudTrailと、「設定が変化していないか」を継続的にチェックするAWS Configの役割の違いを明確に整理しておくことが大切だ。
GuardDutyが脅威を検知したあと、Amazon EventBridgeでトリガーしてAWS Lambda関数で対応を自動実行するフローも頻出だ。「検知→通知→対応の自動化」という一連のパターンを頭に入れておくと、複数のシナリオ問題に対応できるようになる。
ドメイン5:データ保護(18%)
AWS KMSによる暗号化(S3のSSE-KMS・EBSの暗号化・RDSの暗号化)の仕組みと、AWS Secrets ManagerによるAPIキー・DBパスワードの安全な管理が問われる。
KMSでは「カスタマーマネージドキー(CMK)とAWSマネージドキーの違い」「キーポリシーとIAMポリシーの評価ロジック」「自動キーローテーションの設定」が繰り返し出題される。Amazon Macieは「S3バケット内の個人情報・機密データを自動検出するサービス」としてコンプライアンス要件の問題でよく登場する。
3か月学習ロードマップ
SAA相当の知識がある前提で、3か月で合格を目指すスケジュールを示す。
1か月目:基礎固めとドメイン全体の鳥瞰
最初の1か月は、AWS公式の試験ガイドを読み込みながら、各ドメインで登場するサービスの「なぜそのサービスを使うのか」という目的を整理することに時間を使う。
学習の優先順位は次のとおりだ。
・IAM(ドメイン4): インラインポリシー vs マネージドポリシー・Permissions Boundary(権限の境界)・リソースベースポリシーとアイデンティティベースポリシーの評価ロジックを手を動かして確認する
・KMS(ドメイン5): カスタマーマネージドキーの作成・キーポリシー・エンベロープ暗号化の仕組みをAWSコンソールで実際に触って確認する
・VPC(ドメイン3): セキュリティグループ・NACL・VPCエンドポイント(Gateway型とInterface型の違い)を図で整理する
AWS公式の「Exam Readiness: AWS Certified Security – Specialty」(無料)とAWS Black Belt資料を組み合わせると、体系的に学べる。AWSの公式ドキュメントはボリュームがあるため、最初は概要を素早く読んで全体像を把握することを優先する。
2か月目:ドメイン別の深掘りと問題演習
2か月目は配点の重い3ドメイン(インフラセキュリティ・ログ監視・データ保護)を中心に掘り下げる時期だ。
・CloudTrail × Config × Security Hub の連携: 3サービスの役割分担を図で整理し、「どのサービスが何を検知・記録するか」を一覧化して覚える
・GuardDuty の脅威インテリジェンス: GuardDutyが検知できる脅威タイプ(侵害されたEC2・IAM認証情報の不審な使用・S3への異常アクセスなど)と、EventBridge → Lambdaでの自動対応フローを整理する
・WAF ルールの設計: マネージドルールグループとカスタムルールの組み合わせ・レートベースルールの動作・AWS Firewall Managerでのマルチアカウント展開まで押さえる
問題集はTutorialsDojo(Jon Bonso)の模擬試験が定評ある。65問 × 5セット程度を繰り返し解くことで出題パターンが見えてくる。間違えた問題はAWS公式ドキュメントに戻って根拠を確認する習慣をつけることが重要だ。
3か月目:弱点補強と模擬試験サイクル
3か月目は本番試験を想定した時間管理の練習と、苦手ドメインの補強に集中する。
170分65問なので、1問あたり約2分36秒が使える計算だ。シナリオ型の長文問題が多いため、「何のサービスが問われているのか」「どのセキュリティ要件が焦点か」を素早く読み取るスキルを磨くことが大切だ。
・残り3週間の模擬試験サイクル: 65問を通しで解く → スコアを集計 → 正答率60%未満のドメインを重点復習 → 翌日別の模擬試験を解く
・本番2週間前: 新しいテキストに手を出さず、既習範囲の確認に徹する
・試験前日: CloudTrail・KMS・IAMの評価ロジックを軽くチェックして終わる
頻出サービスと押さえるべきポイント
ここでは「SCS-C02で絶対に落とせない」サービスをドメイン別にまとめる。
IAM:全ドメインに横断する最重要サービス
IAMの深い理解なしにSCS-C02の合格はない。SAA段階の知識では不十分で、以下の概念を確実に押さえる必要がある。
・Permissions Boundary(権限の境界): IAMロールやユーザーに設定する「使える権限の上限」を定めるポリシー。開発チームに権限委任する際に「このIAMロールにアタッチできるポリシーはXXX以上の権限を持てない」という制約をかける設計パターンで頻出する
・SCP(サービスコントロールポリシー): AWS Organizationsと組み合わせてOU・アカウント単位で「できることの上限」を設定するガードレール。SCPは許可を与えるものではなく、「上限」として機能する点が重要だ。SCPで拒否されたアクションはIAMポリシーで許可しても実行できない
・IAM Access Analyzer: S3バケット・IAMロール・KMSキーなど、外部エンティティ(他アカウントやパブリック)からアクセス可能なリソースを自動検出するサービス。意図しない公開設定の検知に使う
AWS KMS:暗号化問題の核心
データ保護ドメインの問題はほぼKMSが絡んでくる。以下の概念は確実に理解しておきたい。
・エンベロープ暗号化: KMSが大量データを直接暗号化するのではなく、データキー(DEK)でデータを暗号化し、DEK自体をKMSで暗号化するという2段構造。大量データの暗号化に対応するための設計で、「なぜKMSで直接暗号化しないのか」という問いに答えられるようにしておく
・キーポリシーとIAMポリシーの評価順序: KMSキーへのアクセスはキーポリシーが最優先。IAMポリシーに「kms:Decrypt」を許可しても、キーポリシーに明示的な許可がなければアクセスできない点が試験でよく問われる
・キーの3種類: AWSマネージドキー(自動ローテーション年1回・追加料金なし)/ カスタマーマネージドキー(月額$1/キー・ローテーション設定可)/ AWS所有キー(利用者が制御できない)の違いを明確にしておく
Amazon GuardDuty:脅威検知の中心
GuardDutyはVPCフローログ・CloudTrail・DNSログを機械学習で分析して、脅威を自動検知するサービスだ。
・主な検知対象: 侵害されたEC2インスタンスからの不審な外部通信・IAM認証情報が普段とは異なるIPや地域から利用されている・S3バケットへの異常なアクセスパターン
・対応の自動化フロー: GuardDutyの検知結果(Finding)→ Amazon EventBridgeルールで検知タイプを絞り込み → AWS Lambda関数でEC2のセキュリティグループを自動変更(隔離)またはSlack通知、というフローが試験問題に頻繁に登場する
・GuardDuty Malware Protection: EC2インスタンスとコンテナのEBSボリュームをスキャンしてマルウェアを検知する機能。Inspector(脆弱性スキャン)との違いを問われる問題で重要
AWS Organizations × SCP:マルチアカウントガバナンス
ドメイン6(管理とセキュリティガバナンス)の問題では、Organizations × SCPの組み合わせが頻出だ。
・SCPはガードレールであって許可ではない: SCPでアクションを「Allow」しても、そのアカウントのIAMポリシーで許可されていなければ実行できない。SCPの「Allow」はあくまでも「その上限まで許可できる」という意味だ
・特定リージョンへのロック: 「東京リージョン(ap-northeast-1)以外でのEC2起動を禁止する」というSCPのサンプルが試験によく登場する。グローバルサービス(IAM・STS・CloudFrontなど)は条件キーに注意が必要
・AWS Control Tower: Organizations・SCPのセットアップをガードレール付きで自動化するサービス。試験では「Control TowerとOrganizationsの役割分担」を問う問題が出ることがある
よくあるつまずきと対処法
「IAMの評価ロジックが複雑で問題が解けない」
IAMのポリシー評価は、次の順序で進む。
1. 明示的な拒否(Deny)が一つでもあれば即アクセス拒否
2. SCPで許可されていなければアクセス拒否(Organizationsを使っている場合)
3. リソースベースポリシーで明示的に許可されていればアクセス可(一部サービス)
4. Permissions Boundaryの範囲内かチェック
5. アイデンティティベースポリシー(IAMポリシー)で許可されているかチェック
「拒否が最優先」という原則を軸に理解すると、個別の条件を機械的に暗記するよりも応用が利く。オンプレのファイアウォールルールに置き換えると、「拒否ルールが一致したらブロック、許可ルールが一致したら通過」という感覚と本質的に同じだ。
「KMSの問題でどのキータイプを使うべきか迷う」
試験問題でKMSのキータイプが問われる場合は、「管理権限を誰が持つか」と「コスト要件があるか」の2点で判断できる。
・コストを抑えたい / 管理不要: AWSマネージドキー(追加料金なし・自動ローテーション済み)
・キーポリシーをカスタムしたい / 監査証跡が必要: カスタマーマネージドキー(月額$1/キー)
・物理的にキーを自分で管理しなければならない規制要件がある: AWS CloudHSM(専用HSMハードウェア、コスト高)
「コンプライアンスや規制要件」が問題文に出てきたらCloudHSMを疑い、「コスト効率よくS3を暗号化したい」ならAWSマネージドキーまたはCMKを選ぶという方向性で絞り込める。
「GuardDuty・Security Hub・Inspectorの違いが曖昧で選べない」
この3サービスの混同は合否を左右するほど頻繁に出題される。整理しておこう。
・Amazon GuardDuty: ログ(VPCフローログ・CloudTrail・DNS)を分析して「今起きている脅威」をリアルタイムに検知するサービス。侵害が起きているかどうかを判断する
・AWS Security Hub: GuardDuty・Inspector・Macieなど複数サービスの検知結果を集約して一元管理するダッシュボード。「1か所ですべてのセキュリティアラートを確認したい」という要件が出たらSecurity Hubを選ぶ
・Amazon Inspector: EC2インスタンス・コンテナイメージのソフトウェア脆弱性(CVE)を継続的にスキャンするサービス。「Webサーバーに既知の脆弱なパッケージが入っていないか検出したい」という要件が出たらInspectorを選ぶ
問題のシナリオで「今起きている侵害の検知」ならGuardDuty、「パッチ未適用の脆弱性スキャン」ならInspector、「複数ツールの統合管理」ならSecurity Hubという基準で絞り込める。
AWS Linuxサーバー設定との接点:LinuxMasterへの案内
SCS-C02の試験範囲には、EC2インスタンス上でのOS設定・ファイアウォールルール・SSHアクセスのセキュリティ強化なども含まれる。Linuxサーバーのアクセス制御・ファイルパーミッション・SELinux/AppArmorの基礎については、姉妹サイトLinuxMaster.JPで詳しく解説している。AWS上のLinuxインスタンスを堅牢化する際に合わせて参照してほしい。
本記事のまとめ
AWS Certified Security – Specialty(SCS-C02)は、AWSのセキュリティ分野を体系的に理解し、実務設計に活かすための資格だ。オンプレのインフラ経験があるエンジニアには、ファイアウォール・認証・暗号化の基礎知識をAWSサービスに対応させることで、比較的スムーズに理解を深められる試験だ。
合格のカギは次の3点に集約される。
・配点の重いドメインを先に固める: インフラセキュリティ(20%)・ログ監視(18%)・データ保護(18%)の3つで全体の56%を占める。ここを固めれば合格に大きく近づく
・IAMの評価ロジックとKMSの暗号化モデルは深く理解する: 問題全体の軸になるため、表面的な暗記ではシナリオ問題に対応できない
・GuardDuty・Security Hub・Inspectorの役割を明確に区別する: 混同したまま受験すると複数問を一気に落とす可能性がある
3か月間、実際にAWSコンソールで触りながら学ぶことで、試験対策と実務スキルを同時に身につけられる。SCS-C02を取得すると、オンプレのセキュリティ担当としての経験にAWSの深い知識が加わり、「クラウドセキュリティエンジニア」としてのキャリアパスが広がる。次のステップとして、AWS DevOps Engineer Professional(DOP-C02)やAWS Advanced Networking Specialtyと組み合わせることで、クラウド運用の全体像を掌握できるエンジニアとしての市場価値がさらに高まる。
AWSセキュリティの設計、現場で正しく判断できていますか?
資格合格で終わらせず、IAMの評価ロジック・KMSの暗号化設計・GuardDutyの運用まで実務で使える知識にしたい方へ。
オンプレの経験を活かしながら、現場で使えるクラウドスキルを体系的に身につけたい方へ、メルマガで実践的なクラウド活用ノウハウをお届けしています。
