AWSの認定試験(CLF/SAA)で頻出となる「AWSセキュリティサービス」の覚えづらさの理由。
それは、サービス数が多いだけでなく、守備範囲や役割が似通っており、名前だけを追って理解しようとすると混乱しやすい構造になっているからです。
そこで本記事では、AWS公式ドキュメントやホワイトペーパーをベースに、セキュリティサービスをカテゴリごとに整理しつつ、試験で狙われやすい紛らわしいポイントをかみ砕いてまとめました。
「これ、何と何で迷うんだっけ?」という状態を一つずつ減らし、セキュリティ分野の覚えづらさの対策をしていきましょう。
目次
AWSセキュリティサービスの全体像
セキュリティサービスのカテゴリ
本記事では、以下のカテゴリに分けて整理します。
- アクセス管理(誰が触れるか)
- 鍵管理・暗号(データをどう守るか)
- ログ・構成・ガバナンス(監査・統制をどう回すか)
- 脅威検知・分析・脆弱性(異常と弱点をどう見つけるか)
- アプリケーション防御(入口をどう守るか)
- 機密情報管理(秘密情報をどこに置くか)
- コンプライアンス・監査(監査資料・監査支援)
本記事で扱うサービス一覧
| カテゴリ | サービス |
|---|---|
| アクセス管理 | IAM / IAM Identity Center / Amazon Cognito / AWS Resource Access Manager(RAM) |
| 鍵管理・暗号 | AWS KMS / AWS CloudHSM |
| ログ・構成・ガバナンス | AWS CloudTrail / AWS Config / AWS Organizations(SCP)/ AWS Firewall Manager |
| 脅威検知・分析・脆弱性 | Amazon GuardDuty / Amazon Detective / Amazon Inspector / Amazon Macie / AWS Security Hub |
| アプリケーション防御 | AWS WAF / AWS Shield / AWS Network Firewall |
| 機密情報管理 | AWS Secrets Manager |
| コンプライアンス・監査 | AWS Artifact / AWS Audit Manager |
サービス解説:アクセス管理
このカテゴリでは、AWSにおけるアクセス管理をつかさどるサービスを簡単に整理します。
AWSのアクセス管理とは、 「誰がAWSやアプリを利用できるのか」「どのAWSリソースにアクセスできるのか」「どこまでの操作を許可するのか」 を決める仕組みのことです。
試験では、この考え方を前提として、後続の各サービスが 「どの対象を管理しているのか」「何を制御しているのか」 を正しく理解できているかが問われます。
IAM
内容
IAM(Identity and Access Management)は、 AWSにおけるアクセス管理を実現するための中核となるサービスです。
IAMは、次の3つの要素を組み合わせてアクセス管理を行います。
- IAMポリシー: AWSリソースに対して「どの操作を許可/拒否するか」を定義する権限の中身です。
アクセス権をどの単位で与えるか(ユーザーかロールか)に依存しない点が重要で、 実際のアクセス制御は「ポリシーをどこに付与するか」で決まります。 - IAMユーザー: 人単位でAWSへのアクセス権を管理するための仕組みです。
「この人は何ができるか」という形で、個人ごとにアクセス権を管理したい場合に使われます。 - IAMロール: AWSサービス間やアカウント間のアクセス権を管理するための単位です。
EC2やLambdaなどのAWSサービスが、他のAWSサービス(例:S3、DynamoDB)へアクセスする際に、 「このサービスは何をしてよいか」という権限をロールとして引き受けます。
また、IAMでは「最小権限設計」という考え方が非常に重要です。
最小権限設計とは、 「そのユーザーやロールが本当に必要とする操作だけを許可し、それ以外は許可しない」 というセキュリティ設計の基本原則です。
試験での出題傾向
- IAMポリシー/IAMユーザー/IAMロールの役割の違い
- 最小権限設計の考え方
IAM Identity Center
内容
IAM Identity Centerは、「会社の人(従業員)がAWSにログインするための“入口”をまとめるサービス」です。
AWSを会社で使うようになると、開発用・本番用などでAWSアカウントが複数になります。このとき、各アカウントにIAMユーザーを作って管理すると、
- 退職・異動のたびに全アカウントを修正する必要がある
- 誰にどの権限があるか追いにくい
といった運用事故が起きやすくなります。
IAM Identity Centerを使うと、従業員は1回ログインするだけで、許可されたAWSアカウントへ入れるようになります(SSO=「1回ログインしたらまとめて入れる仕組み」)。
また、どの人にどの権限を与えるかを中央で管理できるため、マルチアカウント運用の基本パターンとして登場しやすいです。
混同しやすいのはCognitoですが、Cognitoはアプリの利用者(お客さん)向け、Identity Centerは従業員向けと覚えるとズレません。
試験での出題傾向
- 複数AWSアカウントでSSOを使いたい
- 従業員のログイン管理を一元化したい
Amazon Cognito
内容
Amazon Cognitoは、「Webアプリやスマホアプリの利用者向けに、“ログイン機能一式”を用意するサービス」です。
アプリにログイン機能を持たせるには、本来は
- ユーザー登録(サインアップ)
- ログイン(サインイン)
- パスワード管理・再設定
- 二段階認証(MFA)
などを自分で作る必要があります。Cognitoを使うと、これらをAWSの仕組みとしてまとめて用意できます。
ここで大事なのは、Cognitoが管理するのはAWSを操作する人ではなく、アプリを使う人(エンドユーザー)であるという点です。
試験では「アプリのログイン」「ユーザー登録」「ソーシャルログイン(Googleでログインなど)」といった言い回しが出たらCognitoを疑うのが基本です。
試験での出題傾向
- アプリにログイン機能を実装したい
- アプリ利用者の認証をAWSで行いたい
AWS Resource Access Manager(RAM)
内容
AWS Resource Access Manager(RAM)は、「AWSリソースを、組織内の別アカウントと共有するためのサービス」です。
AWSでは、セキュリティや請求管理の観点から、 開発・本番・共通基盤などをアカウント単位で分けて運用する(マルチアカウント構成)のが一般的です。 この構成では、次のような課題が出てきます。
- 各アカウントで同じリソースを何度も作るのは管理が大変
- 本来は共通で使いたいリソースを、アカウントごとに分けたくない
RAMは、この問題を解決するために、 「1つのAWSリソースを、複数のAWSアカウントで使えるようにする」仕組みを提供します。
また、RAMはAWS Organizationsと組み合わせて使われる前提のサービスであり、 「組織内アカウントに安全に共有する」という文脈で登場します。
試験での出題傾向
- マルチアカウント環境で、AWSリソースを共有したい
- ネットワークを含む共通基盤を、複数アカウントで使い回したい
サービス解説:鍵管理・暗号
このカテゴリでは、「データをどのように暗号化し、その鍵を誰が管理するのか」を扱います。
試験では、
- 鍵管理をAWSに任せたいのか
- 鍵を自分たちで厳密に管理する必要があるのか
という要求レベルの違いを見抜けるかがポイントになります。
AWS KMS
内容
AWS KMSは、「AWSで使う暗号鍵をまとめて管理する標準サービス」です。
S3、EBS、RDS など多くのAWSサービスと連携し、保存されるデータを自動的に暗号化できます。
試験では、「保存データを暗号化したい」「鍵の管理をできるだけ簡単にしたい」といった要件で登場します。
この場合、まず選択肢に上がるのがKMSです。
KMSでは、
- AWS管理キー
- カスタマー管理キー
といった種類があり、鍵の管理責任をどこまで持ちたいかで使い分けます。
試験での出題傾向
- 保存データを暗号化したい
- 鍵管理をAWSに任せたい
AWS CloudHSM
内容
AWS CloudHSMは、「暗号鍵(データを守るための“鍵”)を、自分たちで厳密に管理したい場合のサービス」です。
KMSは便利で、通常の試験対策では「暗号化=まずKMS」で大丈夫です。
ただし、業界や規制によっては、
- 鍵をクラウド事業者に預けたくない(預けられない)
- 鍵の操作を自社で完全にコントロールしたい
というケースがあります。
CloudHSMは、そのような要件に対応するためのサービスで、専用のハードウェア(HSM:暗号鍵を安全に扱うための専用装置)上で鍵を管理します。
試験では「規制が厳しい」「鍵管理を自社で完全に」「専用ハードウェア」などの言い回しが出たらCloudHSMを疑います。
試験での出題傾向
- 厳しい規制要件がある(金融・政府系など)
- 鍵をAWSに預けられないケース
- 鍵管理を自社で完全にコントロールしたい
サービス解説:ログ・構成・ガバナンス
このカテゴリでは、「AWS環境で何が起きたのか/設定は正しいのか/組織としてどう縛るのか」を解決するサービスを扱います。
試験では、
- 事後に調査したいのか(ログ)
- 現在の設定状態をチェックしたいのか(構成)
- 組織全体で強制したいのか(ガバナンス)
という目的の違いを切り分けられるかがポイントです。
AWS CloudTrail
内容
AWS CloudTrailは、「AWS上で行われた操作の履歴(誰が・いつ・何をしたか)を記録するサービス」です。
API操作(AWSへの操作)を中心に記録するため、
- リソースが削除された
- 設定が変更された
といった事象が起きた後から原因を調べる用途で使われます。
CloudTrailは「操作の記録」を残すものであり、設定が正しいかどうかを判断するサービスではありません。
試験での出題傾向
- 誰がリソースを削除/変更したかを調べたい
- セキュリティインシデントの事後調査
AWS Config
内容
AWS Configは、「AWSリソースの設定がルール通りかを継続的にチェックするサービス」です。
CloudTrailが「何が起きたか」を記録するのに対し、Configは
- 暗号化が有効か
- パブリック公開されていないか
など、現在の設定状態を確認します。
試験での出題傾向
- 設定がベストプラクティスに沿っているか確認したい
- 設定逸脱を検知したい
AWS Organizations(SCP)
内容
AWS Organizationsは、「複数のAWSアカウントを“会社として”まとめて管理するための基盤」です。
重要なのは2つあります。
1つ目は請求(利用料金のまとめ)です。
複数アカウントの支払いを、管理アカウント(旧マスターアカウント)に集約できます。試験でも「アカウントごとの請求をまとめたい」「会社として一括で管理したい」といった文脈で登場します。
2つ目がSCP(Service Control Policy)による縛りです。
SCPは「権限を与えるもの」ではなく、「この組織では“ここまでしか操作できない”という上限を決める仕組み」です。
たとえば「全アカウントで特定リージョンを使わせない」「特定サービスの利用を禁止する」といった“会社ルール”を、OU(アカウントのグループ)単位で強制できます。
また、SCPは管理アカウントには適用されない点が頻出のひっかけです。
試験での出題傾向
- 複数AWSアカウントの請求をまとめて管理したい
- 組織全体で特定の操作を禁止したい(SCP)
- SCPは権限を付与せず、実行可能範囲の“上限”を決めるだけ
- 管理アカウントにはSCPが適用されない
AWS Firewall Manager
内容
AWS Firewall Managerは、「複数アカウントに同じ“防御ルール”をまとめて配るためのサービス」です。
WAFやNetwork Firewallは強力ですが、アカウントが増えると「各アカウントで同じルールを作る・更新する」作業が地獄になります。
Firewall Managerを使うと、Organizations配下のアカウントに対して、
- WAFのルール
- Network Firewallのポリシー
などを中央から一括で適用できます。
試験では「新しいアカウントが増えても自動で同じルールを適用したい」「複数アカウントのWAF設定をまとめたい」といった運用の一元化の話で登場します。
試験での出題傾向
- WAFルールを複数アカウントで一元管理したい
- 新アカウントにも自動で同じルールを適用したい
- Organizations前提の運用
サービス解説:脅威検知・分析・脆弱性
このカテゴリでは、システムに悪影響を及ぼすイベントの検知・分析を行う機能を提供するサービスを解説します。
Amazon Inspector
内容
Amazon Inspectorは、「攻撃される前に、システムの弱点(脆弱性)を見つけるサービス」です。
脆弱性はざっくり言うと「ソフトウェアの弱点」です。OSやライブラリが古いままだと、その弱点を突かれて侵入されることがあります。
Inspectorは、EC2(仮想サーバー)やコンテナ、Lambda(プログラム実行)を対象に、
- 更新不足(パッチ不足)
- 既に知られている弱点(CVE=公開されている弱点の番号)
がないかを自動でチェックします。
試験でのポイントは「事前に弱点を洗い出す」ことです。
不審な動きを検知するGuardDutyとは目的が違います。
試験での出題傾向
- 本番前に脆弱性を洗い出したい
- 定期的に更新不足(パッチ不足)を見つけたい
- EC2/コンテナ/Lambdaの脆弱性管理を自動化したい
Amazon GuardDuty
内容
Amazon GuardDutyは、「システム稼働中に“怪しい動き”を見つけるサービス」です。
GuardDutyは、次のようなログを材料にして(=“証拠”として)、異常を判断します。
- CloudTrail(操作ログ)
- VPCフローログ(通信ログ)
- DNSログ(名前解決のログ)
つまり、GuardDutyが見ているのは「データの中身」ではなく、操作や通信の“振る舞い”です。
試験では「見覚えのないAPI操作(AWSへの操作)」「普段と違う国からのアクセス」「不審な通信」といった、実行中の異常検知の文脈で登場します。
試験での出題傾向
- 不審なAPI操作(AWSへの操作)や通信を検知したい
- セキュリティイベントを自動で見つけたい
- 継続的に脅威を監視したい
Amazon Macie
内容
Amazon Macieは、「S3に保存されているデータの中身を見て、機密情報を見つけるサービス」です。
ポイントは、Macieが機械学習(ML:コンピュータが特徴を学んで判定する仕組み)を使って、データを自動分類できることです。
たとえばS3のファイルに、
- 個人情報(PII:個人を特定できる情報)
- クレジットカード番号
のようなものが入っていないかを、自動で検出します。
GuardDutyが「怪しい操作・通信」を見るのに対して、Macieは「保存されているデータそのもの」を見る。
この違いが分かると、試験の選択肢で迷いません。
試験での出題傾向
- S3に個人情報や機密情報が含まれていないか確認したい
- データ分類を自動化したい
- 情報漏えいリスクを把握したい
Amazon Detective
内容
Amazon Detectiveは、「セキュリティの問題が起きた“後”に、原因を調べやすくするサービス」です。
- 何が起きたのか
- どのユーザー/どの端末(EC2)/どのIPが関係しているのか
- いつから怪しいのか
Detectiveは、関連する情報を時系列やつながり(関係)で整理し、調査を楽にします。
重要なのは、Detectiveは「新しく検知する」サービスではなく、検知後の分析(調査)を助ける立ち位置だということです。
試験での出題傾向
- GuardDutyの検知結果を詳しく調べたい
- インシデントの原因調査を効率化したい
AWS Security Hub
内容
AWS Security Hubは、「セキュリティの結果を“まとめて見る”ためのサービス」です。
GuardDuty、Inspector、Macieなどの結果がバラバラだと、
- どこで何が起きているのか
- 何から対応すべきか
が分かりにくくなります。
Security Hubは、これらの結果を1か所に集約し、全体の状況を把握しやすくします。
試験でのポイントは、Security Hubは「検知そのもの」をするのではなく、結果の集約・可視化が役割だということです。
試験での出題傾向
- セキュリティ状況を一元的に把握したい
- 複数サービスの検知結果をまとめて確認したい
サービス解説:境界・アプリケーション防御
このカテゴリでは、「外部からの攻撃を入口で防ぐ」サービスを扱います。
AWS WAF
内容
AWS WAFは、「Webアプリケーションへの攻撃を防ぐサービス」です。
ALB(Application Load Balancer:負荷分散の入口)やCloudFront(コンテンツ配信の入口)と組み合わせ、アプリに届く前の通信を検査します。
試験での出題傾向
- Webアプリへの攻撃対策
- ALBやCloudFrontと組み合わせた防御
AWS Shield
内容
AWS Shieldは、「DDoS攻撃(大量アクセス攻撃)から守るサービス」です。
DDoSは、攻撃者が大量のアクセスを送りつけてサービスを止めようとする攻撃です。
Shieldは、CloudFront(コンテンツ配信の入口)やALB(Application Load Balancer:負荷分散の入口)、Route 53などインターネットの入口に近い部分で防御を行います。
試験では、
- 「大量アクセスによりサービスが落ちるのを防ぎたい」
- 「DDoS対策をしたい」
という要件が出たらShieldが候補になります。
試験での出題傾向
- 大量アクセス(DDoS)からサービスを守りたい
- Shield Standard と Advanced の違い
AWS Network Firewall
内容
AWS Network Firewallは、「VPCの中を流れる通信をまとめてチェックして止められる“ネットワーク用の防御サービス”」です。
セキュリティグループやネットワークACL(ネットワークの通行ルール)は、基本的に「IPとポート」などの条件で許可/拒否を決めます。
一方でNetwork Firewallは、より高度なルールで通信を検査できます。
試験では「セキュリティグループやネットワークACLだけでは不安」「VPC全体で統一した通信ルールを適用したい」という文脈で登場します。
試験での出題傾向
- VPC内通信を詳細に制御したい
- セキュリティグループでは足りない通信制御
サービス解説:機密情報管理
このカテゴリでは、「パスワードやAPIキーなどの重要な情報を安全に保管する」ためのサービスを扱います。
AWS Secrets Manager
内容
AWS Secrets Managerは、「パスワードやAPIキーを安全に保管するサービス」です。
暗号化して保存でき、定期的な自動ローテーションにも対応しています。
試験では、「定期的にパスワードを変更したい」「アプリから安全に参照したい」といった 秘密情報管理 の要件で登場します。
試験での出題傾向
- パスワードや認証情報の安全な管理
- 自動ローテーション要件
サービス解説:コンプライアンス・監査
このカテゴリでは、「監査対応や証跡の準備を楽にする」ためのサービスを扱います。
AWS Artifact
内容
AWS Artifactは、「AWSが提供する監査・コンプライアンス資料を入手する場所」です。
AWS側が用意しているSOCレポートやISO認証などを確認できます。
試験では、「AWSが取得している監査資料を提示したい」という 資料取得 の文脈で登場します。
試験での出題傾向
- AWSのコンプライアンス資料を確認したい
AWS Audit Manager
内容
AWS Audit Managerは、「自社環境の監査対応を支援するサービス」です。
監査に必要な証跡を自動で集め、整理するのを助けます。
試験では、「監査準備の手間を減らしたい」といった 監査効率化 の要件で登場します。
試験での出題傾向
- 監査対応を効率化したい
- 証跡収集を自動化したい
全体サマリ(1サービス1文で試験直前に総復習)
ここでは、各サービスを「どんな問題文が出たら、そのサービスを選ぶのか」という観点で、
1サービス=1文で整理します。試験直前は、この章だけを流し読みしてください。
アイデンティティ/アクセス管理
- IAM:AWSリソースに対して「誰が何をしてよいか」を制御したいときに使う基本の権限管理。
- IAM Identity Center:複数AWSアカウントで、従業員のログインと権限管理をまとめたいときに使う。
- Amazon Cognito:Web/モバイルアプリに、利用者向けのログイン機能を実装したいときに使う。
- AWS Resource Access Manager(RAM):VPCなどのAWSリソースを、組織内の別アカウントと共有したいときに使う。
鍵管理・暗号
- AWS KMS:S3やEBSなどのデータを、AWS管理の暗号鍵で簡単に暗号化したいときに使う。
- AWS CloudHSM:暗号鍵をAWSに預けず、自社で厳密に管理する必要があるときに使う。
ログ・構成・ガバナンス
- AWS CloudTrail:誰が・いつ・何を操作したのかを後から確認したいときに使う。
- AWS Config:AWSリソースの設定が、ルール通りかどうかを継続的に確認したいときに使う。
- AWS Organizations(SCP):複数AWSアカウントをまとめ、組織全体で操作の上限ルールを強制したいときに使う。
- AWS Firewall Manager:WAFやNetwork Firewallのルールを、複数アカウントへ一括で適用したいときに使う。
脅威検知・分析・脆弱性
- Amazon Inspector:本番前や定期的に、EC2やコンテナの脆弱性を洗い出したいときに使う。
- Amazon GuardDuty:稼働中の環境で、不審な操作や通信を自動で検知したいときに使う。
- Amazon Macie:S3に保存されたデータに、個人情報や機密情報が含まれていないか確認したいときに使う。
- Amazon Detective:GuardDutyなどの検知結果をもとに、インシデント原因を詳しく調査したいときに使う。
- AWS Security Hub:複数のセキュリティサービスの検知結果を、まとめて把握したいときに使う。
境界・アプリケーション防御
- AWS WAF:Webアプリケーションへの攻撃を、ALBやCloudFrontの前段で防ぎたいときに使う。
- AWS Shield:DDoS攻撃(大量アクセス)から、サービス全体を守りたいときに使う。
- AWS Network Firewall:VPC内の通信を、セキュリティグループやネットワークACLより細かく制御したいときに使う。
機密情報管理
- AWS Secrets Manager:パスワードやAPIキーを安全に保管し、定期的に自動更新したいときに使う。
コンプライアンス・監査
- AWS Artifact:AWSが取得している監査・コンプライアンス資料を確認したいときに使う。
- AWS Audit Manager:自社環境の監査対応を効率化し、証跡収集を自動化したいときに使う。
参考リンク(公式)
本記事は、以下の AWS公式ドキュメント/公式ページ を一次情報として整理しています。試験対策としては本文の理解を優先し、必要に応じて公式情報に立ち戻る使い方がおすすめです。
アイデンティティ/アクセス管理
- IAM(Identity and Access Management)
https://docs.aws.amazon.com/iam/ - IAM Identity Center(旧 AWS SSO)
https://docs.aws.amazon.com/singlesignon/ - Amazon Cognito
https://docs.aws.amazon.com/cognito/ - AWS Resource Access Manager(RAM)
https://docs.aws.amazon.com/ram/
鍵管理・暗号
- AWS Key Management Service(KMS)
https://docs.aws.amazon.com/kms/ - AWS CloudHSM
https://docs.aws.amazon.com/cloudhsm/
ログ・構成・ガバナンス
- AWS CloudTrail
https://docs.aws.amazon.com/cloudtrail/ - AWS Config
https://docs.aws.amazon.com/config/ - AWS Organizations(SCP)
https://docs.aws.amazon.com/organizations/ - AWS Firewall Manager
https://docs.aws.amazon.com/firewall-manager/
脅威検知・分析・脆弱性
- Amazon GuardDuty
https://docs.aws.amazon.com/guardduty/ - Amazon Inspector
https://docs.aws.amazon.com/inspector/ - Amazon Macie
https://docs.aws.amazon.com/macie/ - Amazon Detective
https://docs.aws.amazon.com/detective/ - AWS Security Hub
https://docs.aws.amazon.com/securityhub/
境界・アプリケーション防御
- AWS WAF
https://docs.aws.amazon.com/waf/ - AWS Shield
https://docs.aws.amazon.com/shield/ - AWS Network Firewall
https://docs.aws.amazon.com/network-firewall/
機密情報管理
- AWS Secrets Manager
https://docs.aws.amazon.com/secretsmanager/
コンプライアンス・監査
- AWS Artifact
https://docs.aws.amazon.com/artifact/ - AWS Audit Manager
https://docs.aws.amazon.com/audit-manager/
※ 試験対策としては、すべてを読み込む必要はありません。本文で整理した「役割・境界・使いどころ」を軸に、気になったサービスだけ公式ドキュメントで補強する、という使い方で十分です。
練習問題
ここでは、CLF/SAAでよく出る典型的なシナリオをもとに、**本試験に近い「選択式(4択)」**の練習問題を用意しました。
各問題では、まず
- どのカテゴリの話か
- 何をしたいのか
を意識してから選択肢を見てください。
まとめ
AWSのセキュリティサービスは、個別に暗記しようとすると必ず混乱します。CLF/SAAで重要なのは、「どのカテゴリの話か/何をしたいのか」を問題文から読み取り、適切なサービスを選べることです。本記事では、セキュリティサービスをカテゴリごとに整理し、試験でそのまま使える判断軸に落とし込みました。特に、3章の「1サービス1文サマリ」と5章の練習問題を押さえておけば、セキュリティ分野は大きな失点を防げます。試験直前は細部にこだわりすぎず、「この要件なら、このサービス」と即答できる状態を目指してください。本記事が、その最終確認として役立てば幸いです。
このほかにもAWS認定資格試験の対策に関する記事がありますので、以下のリンクから気になる記事を覗いてみてください!
コメント