AWS Audit Manager — コンプライアンス証拠の自動収集と監査対応
AWS Audit Managerのフレームワーク(PCI DSS/SOC 2/HIPAA/GDPR)、証拠の自動収集、カスタムコントロール、評価レポートの生成、Security HubとConfigとの統合による継続的コンプライアンスを解説。
← タグ一覧
#SCS (39 件)
AWS Backup Vault Lock — ランサムウェア対策のWORMバックアップ
AWS BackupのVault Lock機能、Governance/Complianceモードの違い、最小/最大保持期間の強制、クールオフ期間、ランサムウェア対策バックアップ設計、マルチアカウントへのバックアップを解説。
CloudFront + WAF + Shield — エッジでのセキュリティ多層防御
CloudFrontにWAFを適用してSQLインジェクション・XSSをブロックし、AWS ShieldでDDoSを防御する多層エッジセキュリティの設計、WAFルールグループの組み合わせ、Shield Advancedの自動DDoS軽減を解説。
CloudHSM vs KMS — ハードウェアセキュリティモジュールの選択基準
AWS CloudHSMとKMSの根本的な違い、FIPS 140-2 Level 3準拠、シングルテナントHSM、KMSカスタムキーストアとしてのCloudHSM利用、コストと運用負荷の比較を解説。
CloudTrailイベントの種類 — 管理イベント・データイベント・Insightsの違い
AWS CloudTrailの管理イベント(コントロールプレーン)とデータイベント(データプレーン)の違い、S3オブジェクトレベルのログ設定、CloudTrail Insightsによる異常検出を解説。
CloudWatch Logs Insights — ログクエリと分析パターン
CloudWatch Logs Insightsのクエリ構文(fields/filter/stats/sort/limit)、Lambdaエラー分析、APIレイテンシー集計、VPCフローログ分析、コスト最適化のスキャン範囲設定を解説。
AWS Config Rules — コンプライアンス評価と自動修復
AWS Configのマネージドルール vs カスタムルール、設定変更トリガー vs 定期評価、Systems Manager Automationによる自動修復、コンフォーマンスパック、マルチアカウント集約を解説。
AWS Config vs CloudTrail — 監査・コンプライアンスツールの使い分け
AWS ConfigとCloudTrailの役割の違い、Configが記録するリソース設定変更とCloudTrailが記録するAPI操作ログ、GuardDutyとの組み合わせ、セキュリティ調査フロー、両者を補完的に使う設計を解説。
AWS Control Tower — マルチアカウントのランディングゾーン設計
AWS Control Towerのランディングゾーン、Account Factory、コントロール(ガードレール)の種類、SCP/Config Rulesとの関係、OU構造設計、既存アカウントへの適用を解説。
Amazon Detective — セキュリティ調査グラフと GuardDuty との連携
Amazon DetectiveのVPC フローログ・CloudTrail・GuardDuty Findingsを統合した調査グラフ、エンティティ関係の可視化、GuardDuty Findingsからのドリルダウン調査、Detective の有効化手順を解説。
EC2 IMDSv2 — v1との違い・SSRF攻撃対策・強制設定方法
EC2インスタンスメタデータサービスのIMDSv1とIMDSv2の違い、セッション指向のトークン方式によるSSRF攻撃対策、IMDSv2の強制設定方法、アクセス制限の設定を解説。
保存時・転送時暗号化 — AWSサービス別の暗号化設計パターン
保存時暗号化(Encryption at Rest)と転送時暗号化(Encryption in Transit)の違い、S3/EBS/RDS/DynamoDBの暗号化設定、TLS強制方法、KMSとの統合、エンドツーエンド暗号化設計を解説。
Amazon GuardDuty — 脅威インテリジェンス・検出カテゴリ・自動対応設計
GuardDutyが検出する脅威の種類(UnauthorizedAccess, Backdoor, CryptoCurrency等)、データソース(CloudTrail/VPCフローログ/DNS)、S3 Protection、EKS Protection、EventBridgeとの自動対応を解説。
IAM Access Analyzer — 外部公開リソースの検出と未使用権限の分析
IAM Access Analyzerの2つの機能(外部アクセス分析・未使用アクセス分析)、Zone of Trust設定、CloudTrailベースの権限絞り込み、SCS試験頻出ポイントを解説。
クロスアカウントIAMロール — 設計パターンと落とし穴
AWS複数アカウント構成でのIAMロール連携を解説。スイッチロール設定、External ID、ロールチェーン上限、OrganizationsとRAMを使った効率的な権限管理まで。
IAMアイデンティティポリシー vs リソースベースポリシー — 評価と連携
IAMのアイデンティティベースポリシーとリソースベースポリシーの違い、同一アカウント/クロスアカウントでの評価ロジック、リソースポリシーが使えるAWSサービス一覧を解説。
IAMパーミッションバウンダリー — 権限委任を安全に実現する仕組み
IAMパーミッションバウンダリーの仕組み、有効な権限の計算方法、開発者への権限委任パターン、SCPとの違いを試験対策の観点から解説します。
IAMポリシー条件キー完全ガイド — MFA・IP・タグ・リージョン制御
IAMポリシーのConditionブロックで使える条件キーを網羅解説。MFA必須化、IP制限、リソースタグによる動的制御、aws:CalledVia等の試験頻出キーを実例付きで紹介。
IAMポリシー評価ロジック完全解説 — 明示的Deny・SCP・バウンダリーの優先順位
AWSのIAMポリシー評価順序を完全解説。明示的Deny、SCP、パーミッションバウンダリー、クロスアカウントの双方向Allow要件まで試験頻出ポイントを深掘りします。
IAMロール vs IAMユーザー — 使い分けと設計原則
IAMユーザーとIAMロールの違い、AssumeRoleの仕組み、EC2/Lambda/クロスアカウントでのロール設計、長期クレデンシャルを避けるべき理由を解説します。
Amazon Inspector v2 — EC2・Lambda・コンテナの脆弱性スキャン設計
Amazon Inspector v2の継続的脆弱性スキャン、EC2/ECR/Lambda対応、CVSSスコアによる優先度付け、リスクスコア計算、Security Hubとの統合、自動修復パターンを解説。
KMSエンベロープ暗号化 — データキー・GenerateDataKey・パフォーマンスの仕組み
AWSサービスが内部で使うエンベロープ暗号化の仕組み、GenerateDataKeyとGenerateDataKeyWithoutPlaintext、データキーキャッシュによるKMSコスト削減、SDKでの実装方法を解説。
KMSグラントと一時的アクセス委任 — キーポリシーとの違い
KMSグラントの仕組み、CreateGrant/RetireGrant/RevokeGrant操作、グラントトークンの使用、AWSサービスによるグラント自動作成(EBS/S3)、キーポリシーとの適切な使い分けを解説。
KMSキーポリシーの設計 — IAMポリシーとの関係・ロックアウト防止・クロスアカウント
KMSキーポリシーとIAMポリシーの評価の違い、アカウントルートAllow必須の理由、キーポリシーのみでの制御パターン、クロスアカウントでのKMS使用設定を解説。
KMSキーの種類と管理モデル — AWS管理・カスタマー管理・CloudHSM
AWS KMSの3種類のキー(AWS管理キー、カスタマー管理キー、カスタムキーストア)の違い、ローテーション設定、対称/非対称キー、MACキー、削除待機期間を解説。
KMSマルチリージョンキー — レプリカキー・クロスリージョン暗号化の設計
KMSマルチリージョンキーの仕組み、プライマリキーとレプリカキーの関係、クロスリージョンでのデータ復号、DynamoDB GlobalTables/S3レプリケーションとの組み合わせを解説。
Lambda宛先設定とDLQ — 非同期呼び出しの失敗ハンドリング
Lambda非同期呼び出しの成功/失敗時の宛先(Destinations)設定、DLQとの違い、最大試行回数、イベントエイジの上限、EventBridgeとSQSへのルーティングパターンを解説。
Amazon Macie — S3の機密データ検出・分類・コンプライアンス対応
Amazon MacieによるS3バケット内の機密データ(PII、クレジットカード、認証情報)の自動検出、カスタムデータ識別子、検出ジョブ、マルチアカウント管理、GDPRやPCI DSS対応を解説。
AWS Organizations詳細設定 — 委任管理者・タグポリシー・バックアップポリシー
AWS Organizationsのマスターアカウントとメンバーアカウントの役割、委任管理者(Delegated Administrator)設定、タグポリシーによるタグの標準化、バックアップポリシー、AI サービスオプトアウトポリシーを解説。
AWS Organizations SCPの仕組みと設計 — OU階層・デフォルト動作・落とし穴
Service Control Policiesの評価ロジック、OU階層での継承、管理アカウントへの非適用、よく使うSCP設計パターン(リージョン制限・ルートアクション禁止・S3保護)を解説。
S3暗号化の全種類比較 — SSE-S3/SSE-KMS/SSE-C/クライアントサイド
S3の4種類の暗号化方式(SSE-S3, SSE-KMS, DSSE-KMS, SSE-C, クライアントサイド)を比較。鍵管理の違い、KMS API呼び出しコスト、バケットキー設定、試験頻出ポイントを解説。
S3 Object Lock — WORM準拠・ガバナンスモードとコンプライアンスモードの違い
S3 Object LockのWORM(Write Once Read Many)実装、ガバナンスモードとコンプライアンスモードの違い、Legal Hold、バケット設定の注意点を規制対応の観点から解説。
S3バージョニング — 削除マーカー・ライフサイクルへの影響・コスト管理
S3バージョニングの有効化・一時停止の違い、削除マーカーの仕組み、バージョン数増加によるコスト管理、ライフサイクルルールとMFADelete設定を試験対策視点で解説。
AWS Security Hub — セキュリティスコア・コンプライアンス基準・統合管理
AWS Security Hubのセキュリティコントロール、FSBP/CIS/PCI DSS/SOC2準拠チェック、複数AWSアカウントの集中管理、Finding集約、EventBridgeとの自動修復設計を解説。
AWS Shield Standard vs Advanced — DDoS保護の差異とコスト正当化
AWS Shield StandardとAdvancedのL3/L4/L7保護の範囲、SRTサポート、コスト保護、WAFとの連携、CloudFront/Route53/ALBへの適用、Shield Advancedが必要なケースを解説。
SQS可視性タイムアウトとDLQ — メッセージ処理失敗時の設計
SQSの可視性タイムアウトの仕組み、延長方法、デッドレターキュー(DLQ)の設定と最大受信回数、VisibilityTimeoutとLambdaのタイムアウトの関係を解説。
VPC多層防御設計 — ネットワークセキュリティの実践パターン
VPCの多層防御設計、セキュリティグループとNACLの組み合わせ、AWS Network Firewall、WAFとShieldの配置、プライベートサブネット設計、踏み台サーバーの廃止(SSM Session Manager)を解説。
VPCフローログ — キャプチャされる情報・されない情報・分析方法
VPCフローログが記録するフィールド、キャプチャされないトラフィックの種類、CloudWatch Logs/S3への出力設定、Athenaによるクエリ分析、セキュリティ調査での活用法を解説。
AWS WAF ルール設計 — マネージドルール・カスタムルール・レート制限・ログ分析
AWS WAFのルールグループ、AWSマネージドルールセット、レートベースルール、地理的制限、ボット制御、IPセット管理、CloudFront/ALBとの連携パターンを解説。