SJ blog
devops
B

信頼度ランク

S 公式ソース確認済み
A 成功実績多数・失敗例少数
B 賛否両論
C 動作未確認・セキュリティリスク高
Z 個人所感

AWS SCS-C03 合格のための3次元ビジュアル完全攻略(超詳細版)

SCS-C03を『Domain × Incident Timeline × Decision Tree』の3次元で理解する超詳細ガイド。IAM・KMS・VPC・検知運用・ガバナンスを試験で使える判断粒度まで分解。

#AWS #SCS-C03 #Security #資格試験 #IAM #KMS #CloudTrail

一言結論

SCS-C03は暗記よりも設計判断の試験。Domain(領域)× Timeline(攻撃フェーズ)× Decision(選択基準)を同時に見る3D学習で、最後の2択を切れる精度まで上げる。

Knowledge Graph 3D

ドラッグ: 回転 / ホイール: ズーム

3D記事アーキテクチャ

本文(学習知識)と3D可視化(構造理解)を分離し、境界契約で接続することで、記事の可読性とインタラクティブ性を両立する。

Curriculum Layer

責務: SCS-C03ドメイン知識を試験論点単位で体系化する

障害影響範囲: 可視化が無効でも本文だけで学習可能

  • ドメイン別論点
  • 頻出ひっかけ
  • 復習チェックリスト

Visualization Layer

責務: 3Dノード/エッジでドメイン・判断軸・運用シーケンスの関係を表示する

障害影響範囲: 学習体験は劣化するが、記事内容の正読性は維持

  • knowledgeGraphノード定義
  • 座標設計
  • 関係ラベル

Decision Layer

責務: 問題文をMust/Constraint/Ops負荷/監査要件で選別する実戦アルゴリズムを提供

障害影響範囲: 知識暗記に寄り、実戦得点率が低下

  • 判断フレーム
  • 2択比較表
  • 誤答パターン修正

境界契約(切り分けポイント)

  • Curriculum -> Visualization

    契約: 本文論点はノードIDで参照可能にし、可視化は本文の順序に依存しない

    検証: ノード欠落時はグラフの該当要素だけ非表示として本文閲覧を継続

  • Visualization -> Decision

    契約: ノード詳細は『要件・責任分界・監査説明』の3要素で統一

    検証: detailが空でもデフォルト説明を表示し、画面崩壊を回避

  • Decision -> Exam Drill

    契約: 演習テンプレートはMust違反チェックを必須フィールドにする

    検証: 必須フィールド欠落時は採点不可として再入力を促す

ビルド検証

  • npm run test
  • npm run build

この記事は、**SCS-C03(AWS Certified Security - Specialty)**を「暗記」ではなく「設計判断」で突破するための、超細粒度の3次元ビジュアル学習ノートです。

0. まず結論(最短で効く勉強法)

SCS-C03で落ちる最大要因は、知識不足より比較の軸不足です。
次の3軸を同時に見える化すると、正答率が急上昇します。

  • X軸(Domain): IAM / Data Protection / Infra Protection / Detection & Response / Governance
  • Y軸(Timeline): 予防 → 検知 → 封じ込め → 復旧 → 監査
  • Z軸(Decision): Must要件 / 運用負荷 / 責任分界 / 監査説明可能性

1. 3Dアーキテクチャ(学習構造)

1-1. 立体モデル(文章版)

                Z軸: Decision(選択)

                     |   監査説明可能性
                     |   責任分界
                     |   運用負荷
                     |   Must要件
                     |
Y軸: Timeline  <------+------>  X軸: Domain
(予防/検知/対応)               (IAM/KMS/VPC...)

1-2. これが効く理由

  • 1問の中に複数サービスが出る理由は、ドメイン横断の意思決定を見たいから。
  • 「どれも正しそう」問題は、Z軸(監査・運用・責任分界)で切ると解ける。
  • インシデント問題はY軸(時系列)で、順序矛盾の選択肢を捨てられる。

2. X軸: Domain超詳細マップ(試験に出る粒度)

2-1. Domain 1: IAM / Identity Foundation

出題コア

  • IAM Policy Evaluation(Explicit Deny優先)
  • SCP / Permission Boundary / Session Policy の優先順位
  • クロスアカウントAssumeRole(呼び出し側と受け側の二面性)
  • IAM Identity Center、フェデレーション(SAML/OIDC)

秒で判定するチェック

  1. 問題は認証失敗認可失敗か?
  2. 組織制御(SCP)が絡んでいないか?
  3. 「最小権限」要件は静的IAMでなくABACタグで満たすべきか?

典型ひっかけ

  • 「Allowあるのにアクセス不可」→ SCPかBoundaryが落としている。
  • 「AssumeRole可」→ 信頼ポリシー側でPrincipal制限がある。
  • 「MFA必須」→ aws:MultiFactorAuthPresent 条件文の対象誤読。

2-2. Domain 2: Data Protection(KMS/S3/Secrets)

出題コア

  • CMK(KMS key)とキーポリシー主導設計
  • Envelope Encryption / Data key の責任範囲
  • Secrets Manager vs SSM Parameter Store
  • S3暗号化(SSE-S3 / SSE-KMS / DSSE-KMS)比較

秒で判定するチェック

  1. 要件は「暗号化有無」か「鍵使用の監査」か?
  2. クロスアカウント復号の主体は誰か?
  3. キー削除待機やローテーションを運用に載せているか?

典型ひっかけ

  • 「暗号化済みだからOK」→ 誰が復号可能か未検証。
  • 「S3 SSE-S3で十分」→ 監査要件でSSE-KMSが必須。
  • 「SecretsはParameterで統一」→ ローテーション要件で落ちる。

2-3. Domain 3: Infrastructure Protection(VPC/Edge)

出題コア

  • SG(Stateful)とNACL(Stateless)の使い分け
  • WAF / Shield Advanced / Firewall Manager
  • PrivateLink, VPC Endpoint, NAT回避
  • Route 53 + health check + フェイルオーバー

秒で判定するチェック

  1. 攻撃対象はL3/L4かL7か?
  2. 「インターネット非公開」は経路遮断まで含むか?
  3. 組織横断統制ならFirewall Managerの検討が先か?

典型ひっかけ

  • 「SGだけで十分」→ NACLでサブネット境界制御が必要。
  • 「CloudFront導入で終わり」→ オリジン防御が未定義。
  • 「Private subnetだから安全」→ VPC endpoint policy が穴。

2-4. Domain 4: Detection / Response

出題コア

  • CloudTrail(管理/データイベント)
  • GuardDuty / Security Hub / Detective 連携
  • EventBridge → Lambda / SSM Automation で自動是正
  • ログの改ざん耐性(S3 Object Lock, 組織集約)

秒で判定するチェック

  1. 検知後のオーナー(誰が対応)まで定義済みか?
  2. 自動隔離が業務停止を起こさないか?
  3. 監査用エビデンスを時系列で再現できるか?

典型ひっかけ

  • 「検知できる」で満足 → 対応SLAの記述不足。
  • 「自動隔離が最強」→ クリティカル業務停止で不正解。
  • 「CloudWatchアラーム通知」→ 是正導線なし。

2-5. Domain 5: Governance / Compliance

出題コア

  • Organizations + SCP + delegated admin
  • AWS Config + Conformance Packs
  • Audit Manager / Security Hub controls
  • マルチアカウント・ログ集約設計

秒で判定するチェック

  1. 予防制御か発見的制御か、どちらを問うか?
  2. 組織全体への一括適用が必要か?
  3. 例外運用に期限と承認経路があるか?

典型ひっかけ

  • IAMで禁止しようとしてSCPを使わない。
  • Configで検知のみ、予防制御の要件未達。
  • 例外設定を恒久化して統制ドリフト。

3. Y軸: インシデント時系列で解く(問題文を順番で切る)

3-1. 5フェーズ

  1. Prevent(予防): IAM最小権限、ネットワーク境界、暗号化
  2. Detect(検知): CloudTrail, GuardDuty, Security Hub
  3. Contain(封じ込め): 自動隔離、資格情報失効
  4. Recover(復旧): 正常系戻し、再発防止設定
  5. Audit(監査): 証跡保全、レポート、恒久対策

3-2. よくある不正解の時系列矛盾

  • 復旧策を先に打つ(封じ込め前)
  • 通知だけで封じ込め未実施
  • ログ保存先アクセスが広すぎて監査価値喪失

4. Z軸: Decision Tree(最後の2択を切る手順)

[STEP 1] Must要件を抽出
   └─ 満たさない選択肢を全削除
[STEP 2] 責任分界を確認
   └─ 問題文が"最小運用"ならマネージド優先
[STEP 3] 監査説明可能性を比較
   └─ 設定変更追跡、証跡保全、再現性で比較
[STEP 4] 反証を1つ作る
   └─ 自分の選択肢が落ちる条件を探し、問題文にあるなら棄却

採点者視点での高得点回答

  • サービス名を言うだけでなく、なぜ他選択肢を捨てるかを説明できる。
  • 「運用負荷」や「監査対応」を解答理由に含める。
  • 問題要件にない豪華機能を足さない(過剰設計は減点方向)。

5. 3Dで見る頻出コンボ(実戦型)

5-1. IAM × KMS × CloudTrail

  • IAMで復号権限を制御
  • KMS key policyで最終境界を定義
  • CloudTrailでKMS API利用を監査

試験での勝ち筋: 「暗号化しています」より「鍵利用を誰が追跡できるか」を答える。

5-2. VPC Endpoint × S3 × SCP

  • S3アクセスをVPC endpoint経由のみに制約
  • バケットポリシーで経路条件を強制
  • SCPで逸脱操作を予防

試験での勝ち筋: 「private subnet」だけで満足せず、経路条件を明記。

5-3. GuardDuty × EventBridge × SSM

  • 検知イベントをEventBridgeで受ける
  • SSM Automationで隔離・タグ付け・通知
  • Security Hubで統合可視化

試験での勝ち筋: 検知→対応を一本化し、手動運用を減らす。

6. 90分で回す直前ドリル(超細粒度)

フェーズA(20分): 高頻度暗記確認

  • IAM評価順序を白紙で再現
  • KMS key policy と IAM policy の責任差を言語化
  • SG/NACL差分を1分で説明

フェーズB(40分): 2択訓練

  • 20問をMust抽出→即除外ルールで処理
  • 各問で「不正解理由」を一文で残す

フェーズC(20分): 失点分析

  • 誤答を4分類(知識不足/読解ミス/比較軸不足/時間不足)
  • 翌日の訓練テーマを1つに絞る

フェーズD(10分): 当日プロトコル復唱

  • 1周目: 即答のみ
  • 2周目: 2択回収
  • 3周目: 長文問題
  • 最後: Must違反だけ全チェック

7. 参考ビジュアル(試験イメージに使える公開画像)

学習時に図で覚えたい人向けに、AWS公式のアーキテクチャ図・アイコンページを貼っておきます。

画像をノート化する時は「このアイコンはどのDomainに属し、どのTimelineで使うか」を必ずセットで書くと、試験で思い出しやすくなります。

8. 最終チェックシート(前日用)

  • IAM: SCP / Boundary / Session Policy を説明できる
  • KMS: キーポリシー中心で権限説明できる
  • Network: L3/L4 と L7 の対策を分離できる
  • Detect/Respond: 検知から隔離までの自動導線を言える
  • Governance: 予防制御と発見制御の違いを言える
  • 2択時に「監査説明可能性」で決着できる

合格ラインを越える人は、知識の量より判断の順序が安定しています。
この3Dフレームで「どの問題でも同じ手順で切る」状態まで仕上げてください。