クラウドが当たり前になった今、「セキュリティもクラウドで完結させたい」という需要は急速に高まっています。そのなかでAWSを使う現場のエンジニアが次のステップとして目指す資格が、AWS認定セキュリティスペシャリスト(AWS Certified Security – Specialty)です。
「CompTIA Security+やCISSPは持っているけど、クラウドセキュリティの資格はどう選べばいい?」「AWSを日常的に使っているが、セキュリティの体系的な知識に自信がない」——そんな悩みを抱えているエンジニアにとって、この資格は実務直結のスキルを対外的に証明できる強力な武器になります。
この記事では、試験の概要から出題分野・難易度・具体的な勉強法まで、現場目線でわかりやすく解説します。
AWS認定セキュリティスペシャリストとは?
AWS認定セキュリティスペシャリスト(正式名称: AWS Certified Security – Specialty、試験コード: SCS-C02)は、AWSクラウド上でのセキュリティ設計・実装・運用に関する高度な専門知識を証明する資格です。Amazon Web Servicesが認定する資格群の中では「スペシャリティ」レベルに位置し、クラウドセキュリティの実践力を問う上位クラスの試験です。
試験は2023年7月に現行バージョン(SCS-C02)へ改訂されました。旧バージョン(SCS-C01)から出題範囲が大幅に見直され、マルチアカウント管理・セキュリティガバナンス・ゼロトラスト的なアーキテクチャ設計の比重が高まっています。
なぜ今この資格が注目されているのか
日本国内でもAWS採用が急速に広まる中、「AWSを使ってはいるが、セキュリティ設定が十分かどうか自信がない」という組織は少なくありません。一方で、クラウドセキュリティを体系的に理解したエンジニアへの需要は供給を大幅に上回っている状況です。
この資格を取得することで得られる主なメリットは次のとおりです。
・転職・昇進に直結: 求人票でも「AWS Certified Security – Specialty 歓迎」と明記されるケースが増えており、採用現場での評価は高いです
・実務で使うサービスを体系的に理解できる: IAM・KMS・GuardDuty・Security Hub・CloudTrailなど、運用で実際に使うサービスの設計思想から使い方まで学べます
・ベンダー中立資格との相乗効果: CISSPやISO 27001リードオーディターと組み合わせると、「理論と実装の両方ができる」専門家として差別化できます
試験の基本情報
| 項目 | 内容 |
|---|---|
| 試験コード | SCS-C02(2023年7月改訂版) |
| 試験時間 | 170分 |
| 問題数 | 65問(採点対象)+採点外問題 |
| 問題形式 | 多肢選択式・複数回答選択式 |
| 合格スコア | 750点以上(満点1000点) |
| 試験言語 | 日本語対応(英語・その他複数言語も選択可) |
| 受験料 | 300米ドル(税別) |
| 受験方法 | オンライン(自宅受験)またはテストセンター |
| 有効期限 | 3年(再認定試験または後継試験で更新) |
受験料は300米ドルと決して安くありません。1回で確実に合格するために、しっかりと準備を整えてから臨むことをおすすめします。
出題分野と比率
SCS-C02では6つのドメインが出題されます。配点比率を把握することが学習効率を高めるうえで重要です。
| ドメイン | 出題比率 |
|---|---|
| 1. 脅威の検出とインシデント対応 | 14% |
| 2. セキュリティのログ記録とモニタリング | 18% |
| 3. インフラストラクチャのセキュリティ | 20% |
| 4. ID管理とアクセス管理 | 16% |
| 5. データ保護 | 18% |
| 6. 管理とセキュリティガバナンス | 14% |
「インフラストラクチャのセキュリティ(20%)」「セキュリティのログ記録とモニタリング(18%)」「データ保護(18%)」の3分野だけで全体の56%を占めます。まずこの3分野に重点を置いた学習計画を立てるのが合格への近道です。
ドメイン1: 脅威の検出とインシデント対応(14%)
GuardDuty・Security Hub・Amazon Detectiveを使った脅威の検知と、インシデント発生時の対応フローが問われます。CloudFormationやLambdaを使った自動修復の実装、組織全体でのアラート集約も含まれます。「検知してからどう動くか」というシナリオ形式の問題が多い分野です。
ドメイン2: セキュリティのログ記録とモニタリング(18%)
CloudTrail・CloudWatch Logs・S3アクセスログ・VPCフローログといったログサービスの組み合わせ方が中心です。ログの完全性保護(CloudTrail Insightsや整合性検証の設定)、ログの集約アーキテクチャ(Organizations配下の組織証跡)も頻出です。
ドメイン3: インフラストラクチャのセキュリティ(20%)
VPC設計(セキュリティグループとNACLの違いと使い分け)、AWS WAF・Shield・Network Firewallの使い所の判断、EC2とコンテナ(ECS/EKS)のセキュリティ強化、Systems Managerを使ったパッチ適用など、インフラ全体のセキュリティ設計が問われます。
ドメイン4: ID管理とアクセス管理(16%)
IAMポリシーの評価ロジック(「明示的拒否 > 明示的許可 > 暗黙的拒否」の順)、IAMロール・フェデレーション・SCPの使い分け、AWS Organizationsを使ったマルチアカウント環境でのアクセス制御が頻出です。
ドメイン5: データ保護(18%)
KMS(Key Management Service)を使った暗号化設計、S3のサーバーサイド暗号化・バケットポリシー・オブジェクトロック、Secrets Managerを使った認証情報の安全な管理・自動ローテーションが中心です。エンベロープ暗号化の仕組みは必ず理解しておいてください。
ドメイン6: 管理とセキュリティガバナンス(14%)
AWS Config・Security Hub・Trusted Advisorを使ったコンプライアンス管理、AWS Organizationsを使ったポリシーの一括適用、マルチアカウント環境でのセキュリティガバナンス設計が問われます。AWS Security Hubのセキュリティ標準(AWS Foundational Security Best Practicesなど)も押さえておきましょう。
難易度と他のAWS資格との比較
率直に言うと、この試験は「AWSをある程度触ったことがある程度」では歯が立ちません。公式推奨の前提知識を下回る状態で受験すると、問題の多くが「このサービスの意味すらわからない」という状態になります。
公式が推奨する前提条件
・ITセキュリティの実務経験: 5年以上(オンプレ・クラウドを問わず)
・AWSの実務経験: 2年以上(セキュリティ関連サービスの実際の利用経験)
・推奨前提資格: AWS Certified Solutions Architect – Associate相当の知識
AWS資格の難易度比較
| 資格 | レベル | 主な対象者 | 難易度 |
|---|---|---|---|
| Cloud Practitioner | 基礎 | AWS概要を把握したい全般 | ★☆☆☆☆ |
| Solutions Architect – Associate(SAA) | アソシエイト | AWSアーキテクチャの基本設計 | ★★★☆☆ |
| Solutions Architect – Professional(SAP) | プロフェッショナル | 複雑な設計・最適化 | ★★★★★ |
| Security – Specialty(SCS) | スペシャリティ | セキュリティ設計・運用の専門家 | ★★★★☆ |
合格率はAWSが非公開としているため正確な数字はわかりません。ただ現場の感覚として、SAAに合格済みの人がセキュリティ固有の学習を2〜3ヶ月行ってから臨む、というのが現実的なルートです。セキュリティの実務経験がある人ほど短期間で対応できますが、AWSサービスへの理解が薄いと知識のある分野でも失点します。
具体的な勉強法と学習ロードマップ
1. 公式試験ガイドを学習の起点にする
まずAWS公式が無償公開している「試験ガイド(Exam Guide)」をダウンロードして精読することから始めましょう。6つのドメインごとに「試験で問われる具体的な内容」が箇条書きで記載されており、学習の全体像を把握するのに最適です。ここに書かれていない内容がメインテーマとして出題されることはほぼありません。
2. AWS Skill Builderでの公式学習
AWS Skill Builder(AWSの公式学習プラットフォーム)には、SCS向けのコースが用意されています。個人向けサブスクリプション(月額29ドル程度)に加入すると動画コンテンツとハンズオンラボにアクセスできます。
費用を抑えたい場合は、AWS無料利用枠を使って実機ハンズオンを自力で進める方法も有効です。特に以下のサービスは実際に設定を試すことで理解が定着します。
・IAM: ポリシーの作成・評価の動作確認(何が許可されて何が拒否されるか)
・KMS: CMK(カスタマーマネージドキー)の作成・ローテーション設定
・CloudTrail: マルチリージョンのログ有効化・S3への保存・整合性検証
・GuardDuty: サンプルイベントの生成とEventBridge経由の通知設定
・VPCフローログ: 有効化とCloudWatch Logsへの転送・フィルタリング
3. 模擬問題での反復学習
UdemyやTutorialsDojo(英語)の模擬問題集が広く使われています。AWSの試験問題は「最も適切な選択肢を選ぶ」形式で、単純な知識の暗記より「この状況でどのサービスのどの機能が最適か」を判断する力が問われます。
模擬問題は1回解いて終わりにするのではなく、「なぜこれが正解でほかが不正解なのか」を自分の言葉で説明できるレベルまで繰り返すことが大切です。
4. 頻出サービスの重点対策
試験で特に出題頻度の高いAWSサービスを押さえておきましょう。
・IAM: ポリシーの評価ロジック(明示的拒否の優先)・クロスアカウントアクセス・SCPの使い分け
・KMS: CMKとAWSマネージドキーの違い・エンベロープ暗号化の仕組み・キーポリシー
・CloudTrail: 組織証跡・ログファイルの整合性検証・マルチリージョン対応
・GuardDuty: 脅威インテリジェンス・検知カテゴリ・自動修復フローとの連携
・Security Hub: セキュリティ標準(FSBP等)のコントロールとステータス管理
・Secrets Manager: RDS認証情報の自動ローテーション・アプリケーション統合
・AWS WAF: マネージドルールグループ・カスタムルール・CloudFrontとの統合
合格後のキャリアへの活かし方
AWS認定セキュリティスペシャリストを取得すると、以下のキャリアパスで直接的な強みになります。
クラウドセキュリティエンジニア
AWSインフラのセキュリティ設計・構築・運用を担うポジションで、インシデント対応やセキュリティ設計レビューが主な業務です。この資格はそのまま「クラウドセキュリティの専門家」としての証明になります。
セキュリティアーキテクト
組織全体のセキュリティアーキテクチャを設計するポジションです。マルチアカウント・マルチリージョン環境でのガバナンス設計は、この試験で体系的に学べる内容そのものです。
SOCアナリスト(クラウド担当)
GuardDutyやSecurity Hubを使った脅威検知・インシデント対応のスキルは、クラウド担当のSOCアナリストとして即戦力につながります。
フリーランス・コンサルタント
中小企業や地方企業のAWSセキュリティ改善を支援するコンサルタントとして独立する際にも、この資格は対外的な信頼性の根拠になります。
よくある誤解と注意点
【注意1】「SAAがあれば余裕」は過信です
SAAはAWSアーキテクチャを広く浅く問う試験です。セキュリティスペシャリストはセキュリティサービスの深い理解と「セキュリティ固有の設計判断」を問います。SAAに合格済みでも、セキュリティ分野の追加学習は必ず必要です。
【注意2】サービス名の暗記だけでは不十分
この試験の問題は「GuardDutyとは何か?」ではなく、「この状況でGuardDutyを使うか、Security Hubを使うか、それともCloudTrailのログ分析か?」という判断を問います。サービスの「できること・苦手なこと」を理解していないと、似たサービスを混同して失点します。
【注意3】日本語訳に違和感がある問題に備える
AWSの試験は英語から翻訳されており、日本語版で「意味がとりにくい」問題に出会うことがあります。試験画面では英語表示に切り替える機能が使えるため、英語に自信のある方は積極的に活用してください。
【注意4】3年ごとの更新が必要
有効期限は取得から3年です。更新は「再認定試験」または「上位・関連資格の取得」で行います。取得して安心せず、更新の計画も念頭に置いておきましょう。
本記事のまとめ
| 項目 | 内容 |
|---|---|
| 試験コード | SCS-C02(2023年7月改訂) |
| 難易度 | 高め(SAA合格後でも2〜3ヶ月の追加学習が目安) |
| 重点分野 | インフラセキュリティ・ログ監視・データ保護の3分野で56% |
| おすすめ学習順 | 公式試験ガイド精読 → ハンズオン → 模擬問題の反復 |
| 活かせるキャリア | クラウドセキュリティエンジニア・セキュリティアーキテクト・SOCアナリスト |
| 有効期限 | 3年(再認定で更新) |
AWS認定セキュリティスペシャリストは、クラウド時代のセキュリティ専門家として第一線に立つための実力を証明できる資格です。セキュリティの知識だけでなく、AWSの実務経験も問われる分、取得したときの市場価値は大きいです。
まずは公式試験ガイドで自分の弱点分野を確認し、ハンズオンと模擬問題の2本柱で学習を進めてみてください。
Linuxのセキュリティ強化(SELinux・firewalld・権限管理・ログ監視)については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。AWSとLinux、両方の知識を組み合わせることでクラウドセキュリティへの理解がさらに深まります。
クラウドセキュリティの資格取得、何から始めればいいか迷っていませんか?
AWSの資格学習は「どのサービスを・なぜ使うか」という判断力が合否を分けます。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント