セキュリティとコンプライアンス — 対策ポイント

CLF 第 2 分野(配点 30%・最重要)の対策。責任共有モデル・IAM・脅威別のセキュリティサービス・暗号化・ログ監査を、混同しやすい組み合わせと一緒に図解で押さえます。

この分野の全体像と対策方針

第 2 分野は配点 30% で最重要。出題は 責任共有モデルIAM脅威別のセキュリティサービス暗号化と鍵管理ログ・監査サービス に分かれ、中でも責任共有モデルは複数問が出る絶対に落とせないテーマです。対策は「どの責任が誰のものか」「どの脅威にどのサービスか」という対応関係を、近いサービスの違いまで含めて固めることに尽きます。

この分野は、近いサービスを誤って組み合わせる引っかけ(DDoS に WAF、SQLi に Shield など)が多く出ます。サービス名を単独で覚えるのではなく、「脅威やログの種類 → 対応するサービス」「サービス A と B の役割の違い」 をペアで押さえると、選択肢の罠を見抜けます。

責任共有モデル — サービス種別で責任が動く

責任共有モデルは「AWS はクラウドそのもののセキュリティ(of the Cloud)、お客様はクラウドの中のセキュリティ(in the Cloud)」が基本線です。ポイントは、使うサービスのマネージド度で境界が動く こと。EC2(IaaS)はゲスト OS・ミドルウェア・アプリのパッチまでお客様、RDS(PaaS)は OS と DB エンジンのパッチを AWS が担い、S3 はほぼ AWS 側で、お客様はアクセス制御だけ、という具合です。

サービス種別と責任の境界
EC2(IaaS)お客様が広いOS・アプリ・パッチも客RDS(PaaS)中間OS/DB パッチは AWSS3AWS が大半アクセス制御のみ客
マネージド度が上がるほど AWS の責任範囲が広がります。データの中身とアクセス制御は常にお客様です。
AWS の責任(of the Cloud)お客様の責任(in the Cloud)
物理施設・ハードウェア・ネットワークゲスト OS のパッチ(EC2 上)
仮想化基盤・マネージドサービスの基盤IAM ユーザー・ポリシー設定
データセンターの運用・廃棄Security Group / NACL の設定
インフラのグローバル可用性データの分類・暗号化の有効化

ハマりやすい点

暗号化機能の提供は AWS、暗号化を有効にする判断はお客様です。データの中身とアクセス制御(IAM・SG・バケット公開設定)は、どのサービスでも常にお客様の責任。逆に「データセンターへの物理的な立ち入り」「ハードウェアの廃棄」は AWS の責任で、顧客が監査で訪問することはできません。シナリオ問題(『EC2 上のアプリに脆弱性が出た。誰の責任か』)に置き換えて練習しておくと確実です。

IAM の基本

IAM は ユーザー(個人/アプリの永続 ID)・グループ(権限の一括付与)・ロール(一時認証情報)・ポリシー(JSON の権限定義) の関係を押さえます。対策の定番は「複数ユーザーに同じ権限=グループにポリシー」「EC2 から S3 へは IAM ロール(アクセスキーの埋め込みは NG)」「最小権限の原則」「ルートユーザーは MFA 必須・日常作業に使わない」。アカウント閉鎖やサポートプラン変更など、ルートユーザーでしかできないタスクが問われることもあります。

脅威別のセキュリティサービス

防御系は層で見分けます。回線層(L3/L4)の DDoS=Shieldアプリ層(L7)の SQLi・XSS=WAFS3 内の個人情報(PII)の検出=Macie。検知系は「何を見るか」で分かれ、GuardDuty はログ(VPC Flow Logs・CloudTrail・DNS)から現在の脅威を、Inspector は EC2 などの脆弱性(CVE)を、Security Hub は各サービスの結果を 1 画面に統合します。

脅威からサービスを選ぶ
DDoS(L3/L4)Shield回線層を自動防御SQLi / XSS(L7)WAFHTTP リクエストをルールで遮断S3 内の個人情報MaciePII を自動検出
左の脅威に対する防御サービスを中央で選びます。検知系(GuardDuty / Inspector)は下のコールアウトで区別します。

近いサービスの切り分け

DDoS は Shield、SQLi / XSS は WAF(逆に組ませる誤答が定番)。GuardDuty はログから現在の脅威を検知、Inspector は脆弱性を予防的にスキャン。複数サービスの結果を 1 画面に統合するのが Security Hub。Trusted Advisor は『設定の不備』(公開 S3・MFA 未設定など)を指摘する点で、実際の脅威を見る GuardDuty と区別します。

暗号化とログ・監査

暗号化は「保管時(at rest)=KMS と統合(S3・EBS・RDS など)」「転送時(in transit)=TLS/HTTPS」。鍵管理は、コスト効率と AWS 統合なら KMS(マネージド・マルチテナント)、規制で専有ハードウェアが必須なら CloudHSM(シングルテナント)です。ログ・監査は『何を記録するか』で使い分けます。

サービス記録・評価する対象キーワード
CloudTrail誰がいつどの API を呼んだか「誰が削除したか」
AWS Configリソースの構成変更履歴と準拠状況「設定変更の追跡」
CloudWatchメトリクス・ログ・アラーム「CPU 使用率」
AWS Artifactコンプライアンス証明書のダウンロード「ISO / SOC レポート」

ログ系の切り分け

CloudTrail は『アクション(誰が何の API を呼んだか)』、Config は『状態(設定がどう変わったか)』、CloudWatch は『メトリクス・性能』。ISO/SOC などの監査証明書を入手するのが Artifact、監査エビデンスを自動収集するのが Audit Manager です。

まとめ — この分野の対策チェック

  1. 責任共有は『データとアクセス制御は常にお客様』『マネージド度が上がるほど AWS の責任が広い』をシナリオで即答
  2. IAM はグループで権限付与・EC2 はロール・ルートは MFA 必須/日常不使用
  3. 脅威→サービス(DDoS=Shield / SQLi=WAF / PII=Macie)と検知系の役割(GuardDuty/Inspector/Security Hub)を区別
  4. 鍵管理は KMS(統合・コスト効率)と CloudHSM(規制・専有 HSM)
  5. ログは CloudTrail(誰が)・Config(設定変化)・CloudWatch(性能)・Artifact(証明書)を結ぶ

配点 30% の最重要分野です。責任の境界と、近いサービスの違いを完全に固めれば、合格点に大きく近づきます。

テキスト一覧に戻る