当ブログにはPRを含みます。
AWS認定試験にSCS(Security – Specialty:セキュリティスペシャリティ)があります。筆者も合格したのでレポートしていきます。
2023/7にSCS-C01からSCS-C02にアップデートされました。
試験範囲として「第 6 分野: 管理とセキュリティガバナンス」が追加されました。それ以外は細かな配分が変更されていますが、基本的には同じです。
SCS-C01の学習教材は引き続き使用できますが、第6分野の知識は補っておくと良いでしょう。
- ソリューションアーキテクトアソシエイト(SAA)、ソリューションアーキテクトプロフェッショナル(SAP)を取得済
- サラリーマンエンジニアとしてAWS経験2年ほど
この記事を書いた人
管理人:syo
サラリーマンエンジニア約9年
新卒で入社した大手システム会社でリモートワーク、年収800万円に到達
AWS関連プロジェクトのインフラエンジニア&プロジェクトマネージャーを担当。
IT資格
AWS:プロフェッショナルレベル2冠・アソシエイトレベル3冠・CLF・ペシャリティ資格(SAP, DOP, SAA, SOA, DVA, SCS, DBS, MLS, ANS, PAS)
Azure:AZ-305・AZ-104・AZ-900
その他:基本情報、JAVASE Silver、オラクルマスターブロンズ(DBA)、Silver SQL、ITIL Foundation、LinuC
この度UdemyでSCS-C02のWEB問題集を作成しました。期間限定無料クーポン発行中です。(予告なく終了する可能性があります。)お役立てください。無料で入手された方はぜひ高評価&レビューをお願いします!
- 本番ライクな210問収録
- 出題される6分野をすべて網羅
- 全問題に詳しい解説が付属
- 全問題に公式ドキュメントへのリンク記載
- 不正解選択肢の解説
- 問題を解くための前提知識を詳しく解説
★期間限定無料!★講師クーポン【全出題範囲網羅+詳細解説】AWS SCS-C02日本語実践問題200問+(Security Specialty)
問題集のサンプル問題を確認する
問題
ある企業では、AWS 上で複数のワークロードを実行しています。従業員は、AWS マネジメントコンソールにアクセスするために、オンプレミスの ADFS と SSO を使用して認証する必要があります。開発者は、既存のレガシー Web アプリケーションを Amazon EC2 インスタンスに移行しました。従業員はインターネット上のどこからでもこのアプリケーションにアクセスする必要がありますが、現在、アプリケーションには認証システムが組み込まれていません。 セキュリティエンジニアは、アプリケーションを変更せずに、このシステムへの従業員専用のアクセスをどのように実装すればよいでしょうか 。
選択肢
A. アプリケーションを Application Load Balancer (ALB) の背後に配置し、ALB の認証として Amazon Cognito を使用する。SAML ベースの Amazon Cognito ユーザープールを定義し、ADFS に接続する。
B. 管理アカウントに AWS IAM Identity Center (AWS Single Sign-On) を実装し、それを ID プロバイダーとして ADFS にリンクする。EC2 インスタンスを管理対象リソースとして定義し、リソースに IAM ポリシーを適用する。
C. Amazon Cognito ID プールを定義し、Active Directory サーバーにコネクタをインストールする。アプリケーションインスタンスで Amazon Cognito SDK を使用し、Active Directory のユーザー名とパスワードで従業員を認証する。
D. Amazon EC2 上のリバースプロキシの認証子として AWS Lambda カスタム認証子を作成する。Amazon EC2 のセキュリティグループが Lambda 関数からのアクセスのみを許可するようにする。
考えてからスクロールしてください
・
・
・
・
・
・
・
・
正解:A
解説:
Application Load Balancer(ALB)の 認証機能(Amazon Cognito) を使用することで、EC2 アプリケーションを変更せずに、SAML ベースの ADFS 認証を適用 できます。
- ALB の「OIDC / SAML 認証」機能を使用することで、アプリケーションを変更せずに認証機能を追加可能。
- Amazon Cognito を SAML IdP(ADFS)と統合することで、ADFS のユーザーを認証できる。
- ALB の背後にアプリケーションを配置することで、認証済みユーザーのみがアクセスできる環境を構築可能。
この方法により、従業員専用のアクセスを実装しながら、アプリケーションコードを変更せずに済むため、最適なソリューションとなります。
問われている要件
この問題では、以下の要件を満たす認証ソリューションを選択する必要があります。
- EC2 上で動作するレガシー Web アプリケーションを変更せずに、認証機能を追加する。
- ADFS を使用した SAML ベースの認証を適用する。
- インターネット上のどこからでも従業員がアクセスできるようにする。
前提知識
1. Application Load Balancer(ALB)の認証機能
ALB には、ユーザー認証の機能を持たせることができる 機能があります。
これにより、アプリケーション自体を変更せずに、認証付きのアクセス制御が可能 になります。
ALB の認証機能の特徴:
- Amazon Cognito または OIDC / SAML を使用した認証をサポート。
- アプリケーションに認証機能がない場合でも、ALB の段階でユーザー認証が可能。
- 認証が成功した場合のみ、EC2 にリクエストを転送できる。
2. Amazon Cognito と ADFS(SAML)の連携
Amazon Cognito は、外部の SAML IdP(Active Directory Federation Services)と統合できる 機能を持っています。
これにより、ADFS の認証情報を使って AWS 内のアプリケーションにアクセスすることが可能 になります。
3. AWS における認証の適切な選択
- AWS IAM Identity Center(AWS SSO)は AWS の管理コンソールや CLI へのアクセス管理には適しているが、EC2 でのアプリ認証には不向き。
- Cognito ID プールは AWS リソースへの一時的な認証情報提供のための機能であり、Web アプリケーションの認証システムには向いていない。
- Lambda をリバースプロキシとして使用する方法は、運用負担が大きく、スケーラビリティに欠ける。
- ALB + Cognito(SAML)は、アプリケーションのコードを変更せずに、最も簡単に SAML 認証を適用できる方法。
解くための考え方
- 既存のレガシーアプリケーションに認証機能を追加する必要がある。
- ADFS を SAML IdP として利用する必要がある。
- AWS のネイティブ機能で、運用負担の少ない方法を選ぶ。
この要件をすべて満たすのが 「ALB の認証機能を使用し、Cognito + SAML で ADFS を統合する方法」 です。
参考資料(AWS公式ドキュメント)
-
Application Load Balancer でのユーザー認証
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-authenticate-users.html
ALB で Amazon Cognito を使用してユーザー認証を行う方法について説明しています。 -
Amazon Cognito と SAML IdP の統合
https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html
Amazon Cognito ユーザープールを SAML IdP(ADFS)と統合する方法について説明しています。
不正解選択肢の評価
B:AWS IAM Identity Center(旧 AWS SSO)は、AWS へのアクセス管理には適していますが、EC2 上の Web アプリケーションの認証には適していません。IAM Identity Center は AWS マネジメントコンソールや AWS CLI へのアクセス制御には有効 ですが、独自の EC2 アプリケーションの認証ゲートウェイとしては機能しません。
C:Amazon Cognito ID プールは、AWS リソースへの一時的な認証情報を提供するための機能 です。Cognito の ID プールは IAM と連携し、リソースへのアクセス制御を行うためのものであり、Web アプリケーションの認証システムとしては不適切 です。また、Cognito の SDK をアプリケーション側に組み込む必要があるため、「アプリケーションを変更せずに」認証を実装する要件を満たしません。
D:リバースプロキシとして AWS Lambda を認証ゲートウェイにすることは可能ですが、EC2 のセキュリティグループで Lambda 関数のみを許可する方法では、セッション管理やスケーリングの面で大きな問題が発生 します。Lambda を認証ゲートウェイにするには、ユーザーごとのトークン管理やセッション制御が必要であり、運用負担が大きい。Lambda の実行時間制限(最大15分)があるため、長時間のセッション維持には向いていない。ALB + Cognito の方が AWS によるネイティブなサポートがあり、スケーラビリティが高い。このため、Lambda をリバースプロキシとして認証ゲートウェイにする方法は、適切ではありません。
AWS Certified Security – Specialty(SCS)の概要
Amazon(AWS)社が提供するクラウド「AWS」の認定資格試験です。格付けとしてはSPECIALTY(専門知識)に該当します。
AWS資格試験体系とSCSの位置付け
図の通り、レベルと分野で分かれています。
筆者の体験難易度では以下のように感じました。
FOUNDATIONAL(基礎)<ASSOCIATE(中級)<SPECIALTY(専門)<上級(PROFESSIONAL)
(今のところ、他ベンダークラウド試験でもソリューションアーキテクトプロフェッショナル以上の難易度は経験していません。)
専門分野知識の試験はいくつかありますが、SCSはセキュリティが出題範囲です。
| 資格名 | 概要 | 難易度(筆者体感) |
|---|---|---|
| ANS | ネットワーク分野の専門知識試験。 | 難しい。(SAPほどではない) |
| DBS | データベース分野の専門知識試験。 | 易しめ。 |
| PAS | ERPパッケージ「SAP」の専門知識試験。 SAPの知識も必要。 |
普通。 |
| MLS | 機械学習分野の専門知識試験。 | 普通。 |
| SCS | セキュリティ分野の専門知識試験。 | 易しめ。 |
| DAS ※2024/4廃止予定 | データ分析分野の専門知識試験。 2024/4に廃止が予定されている。 |
普通。 |
試験概要
| 資格名 | AWS Certified Security – Specialty(AWS 認定セキュリティ – 専門知識) |
| 試験名 | SCS-C02 |
| 試験時間 | 170分 |
| 出題形式 | 選択問題(単一選択/複数選択) |
| 問題数 | 65問 |
| 合格ライン | 750点/1000点 |
| 試験日 | 随時 |
| 試験場所 |
全国のピアソンテストセンター または 試験監督付きオンライン受験 |
| 受験料 | 30,000円 ※2024/4より40,000円に変更されます。理由は為替相場の反映です。 |
| 合格発表 | 5営業日以内にメールで通知(筆者は受験後1時間ほどでメールが来ました) |
| 有効期限 | 3年 |
| 受験要件 | なし (受験対象に”設計と実装で 5 年、セキュリティ保護に関する実務経験が 2 年以上”とあるが、必須ではない。) |
出題範囲
詳細な試験範囲は公式試験ガイドをご覧ください。当然ながら、セキュリティ関連サービスが中心です。
- 第 1 分野: 脅威検出とインシデント対応 (採点対象コンテンツの 14%)
- 第 2 分野: セキュリティロギングとモニタリング (採点対象コンテンツの 18%)
- 第 3 分野: インフラストラクチャのセキュリティ (採点対象コンテンツの 20%)
- 第 4 分野: Identity and Access Management (採点対象コンテンツの 16%)
- 第 5 分野: データ保護 (採点対象コンテンツの 18%)
- 第 6 分野: 管理とセキュリティガバナンス (採点対象コンテンツの 14%)
難易度(例題付き)
専門知識レベルです。
筆者体感としては専門知識の中では易しめに感じました。
アソシエイトレベル以上、プロフェッショナルレベル以下と感じました。
以下、練習問題です。問題文も選択肢もソリューションアーキテクトプロフェッショナルほど複雑ではありません。抑えるべきサービスと用語を理解できていれば正解を選べるレベルかと思います。
解答を確認するには▼を押下してください。
・問題文
EC2インスタンス上にウェブアプリをデプロイして運用しています。発生しうるDDoS攻撃を対策したいと考えています。
アプリケーションを保護するのにどの対策が有効ですか?(2つ選択)
・選択肢
A. 悪意のあるIPアドレスのインバウンドを拒否するセキュリティグループをEC2インスタンスにアタッチする。
B. Application Load Balancer(ALB)とAuto Scallingグループを使用して、EC2へのトラフィックを分散させる。
C. EC2インスタンスでInspectorを使用して悪意のあるトラフィックを排除する。
D. CloudFrontとWAFを使用して、悪意のあるトラフィックをEC2インスタンスに到達させないようにする。
E. GuardDutyを有効にして、悪意のあるトラフィックをブロックする。
正解:BとD
簡単な解説:
DDoS対策にはALBとAuto Scallingによる分散が有効です。
CloudFrontのエッジロケーションでの負荷分散とWAFによる悪意のある通信ブロックが有効です。
なお、WAFはEC2には直接アタッチ不可のため、ALBやCloudFrontを挟む必要があります。
セキュリティグループではIPアドレスが特定できないDDoS攻撃には対処不可能です。
InspectorはEC2の脆弱性を調査することはできますが、トラフィックを調査する機能はありません。
GuardDutyは脅威検出ツールであり、DDoSの防御には使用できません。
よくある質問
- 有効期限はいつまでか?更新はどうすればよい?
-
有効期限は3年です。
更新する場合、最新バージョンの試験に合格する必要があります。
- 再認定時の費用は?
-
前回受験時に半額割引バウチャーが貰えているので半額で受験可能です。
- 不合格になった場合、再受験は可能?
-
可能です。
ただし不合格になった日から14日以上あける必要があります。受験回数に制限はありませんが、毎回受験料金を支払う必要があります。
- 未経験でもSCSに合格は可能?
-
不可能ではないと思いますが、先に下位資格であるソリューションアーキテクトアソシエイト(SAA)を取得しておくことをおすすめします。
SAAの学習については以下の記事で紹介しています。
あわせて読みたい
【SAA-C03】AWS SAAおすすめ勉強方法を解説【重要ポイント&合格体験】 AWSの資格試験として一番メジャーなものにSAA(ソリューションアーキテクト アソシエイト)があります。筆者も取得したので試験概要や勉強方法について紹介します。 ち…
AWS Certified Security – Specialty(SCS)取得のメリット
AWSの最優先事項であるセキュリティについて深く学べる
AWSではセキュリティを最優先事項として掲げています。
また、システム開発においてセキュリティは必須条件です。
AWSには数多くのセキュリティ関連サービスがあります。これらのセキュリティ関連サービスを体系的に学べるメリットがあります。
当ブログでもAWSのセキュリティ関連サービスをまとめた記事を書きました。これらのサービスがSCSで学習できます。
Organizations, Control Tower, Security Hub, IAM, Detective, Trusted Advisor, GuardDuty, GuardDuty
Malware Protection, Systems Manager, Inspector, WAF, Shield, Config, Macie, KMS, CloudHSM 等…
転職や就職に有利
総務省の統計では2021年時点によると、クラウドを利用している日本企業は全体の70%以上です。AWSはそのクラウドのなかでトップシェアです。
AWSは日本国内だけでなく、世界中で利用されているクラウドプラットフォームなので、幅広い範囲で活用されています。
企業の70%以上が使用しているクラウド技術ですが、圧倒的に技術者が不足しています。
AWSの資格を持っておくとクラウド人材である証明ができるので、転職や就職に非常に有利になります。
特にSecurity Specialty(SCS)は上級資格かつ必須知識なので専門性をアピールできます。
また、日本の平均年収は400万円ほどといわれていますが、クラウドエンジニアの仕事の平均年収は約582万円という調査結果もあります。
AWS Certified Security – Specialty(SCS)のおすすめ勉強方法
SCS試験はAWS専門分野試験にしては珍しく日本語の教材がいくつかあります。これらを活用して学習することをおすすめします。
学習教材はUdemyがおすすめです。理由は以下の通りです。
- 30日以内であれば返金可能(気軽に始められる)
- 教材購入後もコンテンツがアップデートされる(頻繁にアップデートされるクラウド学習に最適)
- 不明点を講師に質問可能
- スマホでも視聴可能(隙間時間の活用)
- 月に数回(2~3回)実施するセールでは数万円のコースも2,000円程度に割引される(安価!)
動画教材または参考書でSecurity Specialty(SCS)試験を網羅的に学習します。併用するのもありです。動画教材、参考書ともに練習問題が付属しているので活用しましょう。
BlackBeltはAWS社が各サービスについて紹介している無料の動画です。通勤中などの隙間時間に聞いているだけでも勉強になります。試験範囲のサービスで理解が浅いものは視聴しておきます。
試験形式に慣れるために問題を解いておきましょう。UdemyのWEB問題集は買い切りで試験のアップデートにも追従されるのでお勧めです。
余裕をもって8割以上正解できるようになってきたら本番試験の受験を考えてもよいと思います。
[STEP1]試験範囲の全体を学習する(動画教材または参考書)
Security Specialty(SCS)の試験範囲を網羅しているおすすめのUdemy動画教材があります。
Udemy動画教材の使い方について、画面を交えて詳しく説明しています。ぜひ以下の記事をご覧ください。
記事の内容:
- Udemy動画教材の便利な機能紹介: 再生速度調整、トランスクリプト表示、字幕対応などの機能
- スマホ機能の紹介: コースのダウンロード機能やバックグラウンド再生
- QA方法紹介: 講師への質問方法
各トピックにハンズオンが付属しているので知識の定着が良くなるように構成されています。
本講座はもちろんスマホ視聴が可能です。通勤通学などの隙間時間を有効に使えます。定価は6,200円ですが、月に数回実施しているセール時には2,000円程度で購入できることがあります。
学んだことはOneNoteなどに書いて隙間時間見直す勉強方法がおすすめです。
本動画教材はもともとSCS-C01向けでしたが、SCS-C02アップデートにより補講が追加されています。
- 試験範囲の全サービス網羅解説
- 試験の勘どころの解説
- ハンズオン動画+解説
- 50問の本番さながらの予想問題 + 解説
↓講座のリンクです。リンク先で30分程度のプレビューを無料視聴可能なのでぜひ確認してみてください。(定価:6,200円 セール時参考価格2,000円程度)
参考書であれば以下がおすすめです。
参考書はSCS-C01向けなので、SCS-C02で追加された「第 6 分野: 管理とセキュリティガバナンス 」はBlackBeltやホワイトペーパーで補う必要があります。
- 試験範囲の全サービス網羅解説
- 試験の勘どころの解説
- 練習問題 + 解説
参考価格:3,800円ほどです。リンク先で試し読みも可能です。
第 6 分野: 管理とセキュリティガバナンス
対象知識:
- マルチアカウント戦略
- 管理を委任できるマネージドサービス
- ポリシー定義のガードレール
- ルートアカウントのベストプラクティス
- クロスアカウントロール
サービス:
Organizations, Control Tower, Config, CloudFormation, Service Catalog 等。
詳細はSCS-C02試験ガイドを参照してください。
[STEP2]理解が浅いサービスをBlackBeltで理解する
BlackBeltの動画はyoutubeにアップロードされています。
AWSのサービスカット編では各サービスの詳細な説明をしてくれます。20分~60分程度の長さの動画が多いです。
以下のリンクから視聴したいカテゴリーやサービスを選択して視聴できます。理解が浅い分野から優先して視聴していきましょう!
また、SCS-C02から追加された第6分野は重点的に確認しておくことをおすすめします。
↓AWS Control Tower 機能紹介編
[STEP3]模擬問題を解いて試験形式に慣れる
試験対策として、模擬問題を繰り返し解くことが大切です。出題形式に慣れるためにも、繰り返し演習を行い、安定して80%以上の正答率を達成できるようになれば本番試験の受験を考えてもよいと思います。
最初は問題に慣れていないと思うので不正解が続いても問題ありません。間違える過程で解説を読んで知識を蓄積させていきましょう。間違えた際、解説を熟読するのは勿論のこと、再度STEP1とSTEP2のインプット学習に立ち返ることが大切だと思います。
注意すべき点は、答えを丸暗記しないことです。本質を理解しないまま問題を繰り返すのは逆効果です。同じ問題を解きなおす際は少なくとも3日以上開けると効果的だと思います。間違えた都度、間違えた問題を記録しておきましょう。
もし同じ問題で何度も間違える場合、それはその問題に関連する何らかの知識が不足していると考えられます。この場合は、しっかりとインプット学習に立ち返り、関連する周辺知識も含めて習得することが重要です。
以下のように10問区切りで問題を解いていくと、解いた記憶が新鮮なうちに解説を読むことができるのでおすすめです。
- 10問解く
-
答え合わせを行う
- 間違えた箇所は解説を読む
- 正解した問題も、他の選択肢がなぜ不正解かを考えながら解説を読む
- 理解不足をブラックベルトや動画教材に立ち返って知識を広げる(STEP1~2に立ち返る)
この10問区切りの学習を繰り返すと必ず正答率が上がってきます。そうしたら65問のフルセットを解いてみるのがおすすめです。80%以上の正答率が出たら、本番受験の申し込みを考えてもよいと思います。
このようにして、段階的に学習を進めることで、効率よくSCS試験に備えることができます。AWS公式練習問題とUdemyのおすすめWEB問題集を紹介します。
Udemy問題集の使い方について、実際の画面を交えて詳しく説明しています。ぜひ以下の記事をご覧ください。
記事の内容:
- 【神アップデート!】解答を都度確認する方法を解説。(1問1答)
- Udemyの問題集をPCやスマートフォンで効果的に活用する方法を解説。
- ブラウザ翻訳機能を使い英語問題集を日本語に翻訳する手順を紹介。
- 問題演習画面の操作方法や解答確認の仕方を詳しく説明。
- 講師への質問方法を説明。
UdemyのWEB問題集は一度購入してしまうと新試験へのアップデートが勝手に行われていくところが魅力です。
Udemy SCS-C02 問題集(日本語 210問)★期間限定無料!!
この度、筆者がSCS-C02に対応した日本語問題集をUdemyで発売しました。ぜひお役立てください。
以下の点にこだわって本気で問題集を作成しました。
- 本番に似た傾向の問題を収録
- 出題される6分野をすべて網羅
- 詳しい解説を記載
- 全問題に公式ドキュメントへのリンク記載
- 全不正解選択肢の解説
- 問題を解くための前提知識を詳しく解説
以下サンプル問題+解説をご準備しました。ご自身の学習に合うかを確認いただき、ぜひ活用をご検討ください
問題
ある企業では、AWS 上で複数のワークロードを実行しています。従業員は、AWS マネジメントコンソールにアクセスするために、オンプレミスの ADFS と SSO を使用して認証する必要があります。開発者は、既存のレガシー Web アプリケーションを Amazon EC2 インスタンスに移行しました。従業員はインターネット上のどこからでもこのアプリケーションにアクセスする必要がありますが、現在、アプリケーションには認証システムが組み込まれていません。 セキュリティエンジニアは、アプリケーションを変更せずに、このシステムへの従業員専用のアクセスをどのように実装すればよいでしょうか 。
選択肢
A. アプリケーションを Application Load Balancer (ALB) の背後に配置し、ALB の認証として Amazon Cognito を使用する。SAML ベースの Amazon Cognito ユーザープールを定義し、ADFS に接続する。
B. 管理アカウントに AWS IAM Identity Center (AWS Single Sign-On) を実装し、それを ID プロバイダーとして ADFS にリンクする。EC2 インスタンスを管理対象リソースとして定義し、リソースに IAM ポリシーを適用する。
C. Amazon Cognito ID プールを定義し、Active Directory サーバーにコネクタをインストールする。アプリケーションインスタンスで Amazon Cognito SDK を使用し、Active Directory のユーザー名とパスワードで従業員を認証する。
D. Amazon EC2 上のリバースプロキシの認証子として AWS Lambda カスタム認証子を作成する。Amazon EC2 のセキュリティグループが Lambda 関数からのアクセスのみを許可するようにする。
考えてからスクロールしてください
・
・
・
・
・
・
・
・
正解:A
解説:
Application Load Balancer(ALB)の 認証機能(Amazon Cognito) を使用することで、EC2 アプリケーションを変更せずに、SAML ベースの ADFS 認証を適用 できます。
- ALB の「OIDC / SAML 認証」機能を使用することで、アプリケーションを変更せずに認証機能を追加可能。
- Amazon Cognito を SAML IdP(ADFS)と統合することで、ADFS のユーザーを認証できる。
- ALB の背後にアプリケーションを配置することで、認証済みユーザーのみがアクセスできる環境を構築可能。
この方法により、従業員専用のアクセスを実装しながら、アプリケーションコードを変更せずに済むため、最適なソリューションとなります。
問われている要件
この問題では、以下の要件を満たす認証ソリューションを選択する必要があります。
- EC2 上で動作するレガシー Web アプリケーションを変更せずに、認証機能を追加する。
- ADFS を使用した SAML ベースの認証を適用する。
- インターネット上のどこからでも従業員がアクセスできるようにする。
前提知識
1. Application Load Balancer(ALB)の認証機能
ALB には、ユーザー認証の機能を持たせることができる 機能があります。
これにより、アプリケーション自体を変更せずに、認証付きのアクセス制御が可能 になります。
ALB の認証機能の特徴:
- Amazon Cognito または OIDC / SAML を使用した認証をサポート。
- アプリケーションに認証機能がない場合でも、ALB の段階でユーザー認証が可能。
- 認証が成功した場合のみ、EC2 にリクエストを転送できる。
2. Amazon Cognito と ADFS(SAML)の連携
Amazon Cognito は、外部の SAML IdP(Active Directory Federation Services)と統合できる 機能を持っています。
これにより、ADFS の認証情報を使って AWS 内のアプリケーションにアクセスすることが可能 になります。
3. AWS における認証の適切な選択
- AWS IAM Identity Center(AWS SSO)は AWS の管理コンソールや CLI へのアクセス管理には適しているが、EC2 でのアプリ認証には不向き。
- Cognito ID プールは AWS リソースへの一時的な認証情報提供のための機能であり、Web アプリケーションの認証システムには向いていない。
- Lambda をリバースプロキシとして使用する方法は、運用負担が大きく、スケーラビリティに欠ける。
- ALB + Cognito(SAML)は、アプリケーションのコードを変更せずに、最も簡単に SAML 認証を適用できる方法。
解くための考え方
- 既存のレガシーアプリケーションに認証機能を追加する必要がある。
- ADFS を SAML IdP として利用する必要がある。
- AWS のネイティブ機能で、運用負担の少ない方法を選ぶ。
この要件をすべて満たすのが 「ALB の認証機能を使用し、Cognito + SAML で ADFS を統合する方法」 です。
参考資料(AWS公式ドキュメント)
-
Application Load Balancer でのユーザー認証
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-authenticate-users.html
ALB で Amazon Cognito を使用してユーザー認証を行う方法について説明しています。 -
Amazon Cognito と SAML IdP の統合
https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html
Amazon Cognito ユーザープールを SAML IdP(ADFS)と統合する方法について説明しています。
不正解選択肢の評価
B:AWS IAM Identity Center(旧 AWS SSO)は、AWS へのアクセス管理には適していますが、EC2 上の Web アプリケーションの認証には適していません。IAM Identity Center は AWS マネジメントコンソールや AWS CLI へのアクセス制御には有効 ですが、独自の EC2 アプリケーションの認証ゲートウェイとしては機能しません。
C:Amazon Cognito ID プールは、AWS リソースへの一時的な認証情報を提供するための機能 です。Cognito の ID プールは IAM と連携し、リソースへのアクセス制御を行うためのものであり、Web アプリケーションの認証システムとしては不適切 です。また、Cognito の SDK をアプリケーション側に組み込む必要があるため、「アプリケーションを変更せずに」認証を実装する要件を満たしません。
D:リバースプロキシとして AWS Lambda を認証ゲートウェイにすることは可能ですが、EC2 のセキュリティグループで Lambda 関数のみを許可する方法では、セッション管理やスケーリングの面で大きな問題が発生 します。Lambda を認証ゲートウェイにするには、ユーザーごとのトークン管理やセッション制御が必要であり、運用負担が大きい。Lambda の実行時間制限(最大15分)があるため、長時間のセッション維持には向いていない。ALB + Cognito の方が AWS によるネイティブなサポートがあり、スケーラビリティが高い。このため、Lambda をリバースプロキシとして認証ゲートウェイにする方法は、適切ではありません。
↓講座のリンクです。期間限定無料クーポン配布中です。
★期間限定無料!★講師クーポン【全出題範囲網羅+詳細解説】AWS SCS-C02日本語実践問題200問+(Security Specialty)
- 問題数: 210問(65問×3回+15問)
-
価格: 定価は
2,600円→0円(期間限定 予告なく終了する可能性あり) - レビュースコア: 現時点無し。レビューお願いします!
- 難易度: 本番と同等
-
特徴:
- 本番に似た傾向の問題を収録
- 出題される6分野をすべて網羅
- 詳しい解説を記載
- 全問題に公式ドキュメントへのリンク
- 全不正解選択肢も含めた詳しい解説
- 特に問題を解くための前提知識を詳しく記載
-
良いレビュー:
- 現時点で無し。
-
悪いレビュー:
- 現時点で無し。
仕上げ AWS公式SCS-C02模擬試験 20問(無料)
AWS公式で20問の無料模擬問題があります。実力を確認するための総仕上げに取り組むことをおすすめします。
以前は公式模擬試験は3,000円程度かかっていましたが、いつの間にか無料になっていました。
16問(8割)以上正解を目指して取り組みます。もし16問未満の正答だった場合、復習して再度取り組みます。以下のリンクから”ステップ 3: 試験を準備して準備状況を評価する”を選択して受験することができます。
-1024x364.png)
まとめ
試験について
- AWSの認定試験にはセキュリティスペシャリティ(SCS)があり、2023/7にSCS-C01からSCS-C02にアップデートされた。
- 試験範囲では「第 6 分野: 管理とセキュリティガバナンス」が追加され、SCS-C01の学習教材は基本的に引き続き使用できるが、第6分野の知識は補っておくことが推奨されている。
- SCS試験は他の専門知識試験に比べて易しめである。(筆者はアソシエイトレベル以上、プロフェッショナルレベル以下と感じた)
勉強方法
- 試験範囲全体の学習→理解が浅いサービスのBlackBeltでの理解→模擬問題を通して試験形式へ慣れる 以上の勉強方法がおすすめ。
- 模擬試験で80%以上正答できるようになったら本番試験の受験を考えると良い。
各ステップのおすすめ教材まとめ
試験範囲が完全網羅されている動画教材。試験範囲を最初に学習するのにおすすめ!
(定価:6,200円 セール時参考価格2,000円程度)
AWS認定Specialty – Security(SCS)試験 対策トレーニングコース
参考書であれば以下。併用も有効です。
BlackBeltで理解が浅いサービスを復習。特に第6分野:Organizations, Control Tower, Config, CloudFormation, Service Catalog あたりはよく見ておく。
以下の筆者作成の問題集の活用を検討してください。本番試験に近い形式の問題集に仕上げました。解説も充実させました。
★期間限定無料!★講師クーポン【全出題範囲網羅+詳細解説】AWS SCS-C02日本語実践問題200問+(Security Specialty)
学習の参考になればうれしいです。以上です。
AWS初学者の方は以下の動画でAWSの基礎を学ぶのがおすすめです。資格取得の前の前提知識として重宝する内容が凝縮されています。インフラやAWSが全くの未経験でもAWSの基礎が学べる講座となっています!
AWS:ゼロから実践するAmazon Web Services。手を動かしながらインフラの基礎を習得
- 価格: 定価 ¥11,800、セール時参考価格 \2,000
- レビュースコア: 4.4/5 (13,734件)
- 対象者: AWS初心者、インフラに詳しくない方、ネットワーク・サーバーを構築したいエンジニア
-
特徴:
- AWSの基本サービスを実践的に学習
- 手を動かしながらサーバー・ネットワークを構築
- インフラの基礎概念を丁寧に解説
-
良いレビュー:
- 講師の説明が丁寧で初心者でも非常に分かりやすく、AWSをゼロから学べる。
- ハンズオン形式で、実際に手を動かしながら学べる点が素晴らしい。
- AWSのインフラ構築が理解でき、全体像が把握できるようになった。講師の質問への回答も早かった。
-
悪いレビュー:
- 講座の進行が少し遅いと感じた。
- 一部AWSのコンソールが変更になっているところがあり、自分で調べながら進める必要があった。
- 一部情報が古いことがあり、過去のQAを確認するのに手間取った。
システムエンジニア
AWSを中心としたクラウド案件に携わっています。
IoTシステムのバックエンド開発、Datadogを用いた監視開発など経験があります。
IT資格マニアでいろいろ取得しています。
AWS認定:SAP, DOP, SAA, DVA, SOA, CLF
Azure認定:AZ-104, AZ-300
ITIL Foundation
Oracle Master Bronze (DBA)
Oracle Master Silver (SQL)
Oracle Java Silver SE
■略歴
理系の大学院を卒業
IT企業に就職
AWSのシステム導入のプロジェクトを担当
