2020年10月の目標に掲げていたAWS認定セキュリティ専門知識の試験に無事合格したのでまとめておく。
2018年のDeveloper Associateと2019年のDevOps Engineer Professionalに続く3つ目のAWS認定となる。
[どんな試験なのか]
公式サイトの説明によれば、以下のような試験だ。
「AWS 認定セキュリティ - 専門知識」 (SCS-C01) 試験は、セキュリティロールを遂行する人を対象 としており、AWS プラットフォームのセキュリティ保護についての理解度を評価するものです。
AWS認定は、大別して4つのレベルがあり、SCS-C01試験は専門知識試験に分類される。
- 基礎コース
- アソシエイト
- プロフェッショナル
- 専門知識
アソシエイトやプロフェッショナルの試験で出題された分野・内容の中から、さらに該当分野に関して深掘りした問題が出題される。
セキュリティ専門知識試験の出題分野は以下の5つである。本番の試験では、65問が出題された。
分野 1: インシデント対応
分野 2: ログ収集と監視
分野 3: インフラストラクチャのセキュリティ
分野 4: ID とアクセスの管理
分野 5: データ保護
DevOpsエンジニア プロフェッショナル試験の出題分野でいうと、「分野 3: 監視およびロギング」や「分野 5: インシデントおよびイベントへの対応」などが関連してくる。
[試験対策リソースと学習方法]
過去にDeveloper AssociateとDevOps Engineer Professionalを受験した際には、Udemyの教材を中心に勉強を進めていたが、今回は以下の日本語の書籍を中心に対策を進めた。
要点整理から攻略する『AWS認定 セキュリティ-専門知識』 (Compass Booksシリーズ)
- 作者:NRIネットコム株式会社,佐々木 拓郎,上野 史瑛,小林 恭平
- 発売日: 2020/07/29
- メディア: Kindle版
SCS-C01試験は2018年12月1日に始まった試験だが、この本は2020年7月に出版されたばかりなので、試験には出題されないものの最近のAWSサービスのアップデートにも対応しており、今後の業務に役立てたい*1。
上記書籍以外に、実際の問題に即した形式の演習問題として、以下のリソースを利用した。
- 公式サイトのサンプル問題
- UdemyのAWS Certified Security Specialtyコースの出題分野ごとの小テスト、および演習テスト*2
- 公式の模擬試験
本番の試験で、上記リソースにかなり近い内容の問題を見つけて、(以下の試験結果を見るにおそらく)無事解答できたので、今後同試験の受験を考えている方がいれば是非解いてみて欲しい。
前回同様、公式模擬試験については受験時に画面キャプチャを取得しながら進め、後から復習できるようにした。これはUdemyの講座の演習テストについても同様である。
取得した画面キャプチャはすべてGoogle Driveに保存し、特に間違えた問題や不安だった問題について、試験会場に向かう途中で見直すことで不安を払拭できた。
[何で受験しようと思ったか]
セキュリティ対策はどこまでやるべきか、というのは難しい問いである。しかし、それでもサービスの開発および運用に関わっている以上、やっていくしかない。やっていくしかないのだが、今自分がやっている内容・レベルの対策で果たして十分なのだろうかという疑問が湧いてくる。
この疑問にある程度自信を持って解答したい、というのがSCS-C01試験を受験した主な動機である。
他にも、例によって会社から受験費用の全額補助が出るとか、Effective DevOpsやThe Amazon Builder's Libraryのオンライン輪読会で一緒だったtadaさんが複数の専門知識試験に合格されたのに触発されたとか、いくつか理由はある。
[受験して何が分かったか]
受験して、というか受験のための勉強を通して、AWSのセキュリティについて自分全然分かってないな、ということを痛感した。
具体的なAWSサービスでいうと、AWS Organizationsのサービスコントロールポリシーとか、KMSのキーローテーションとか、IAMポリシーの歴史などである。普段使っていないものはもちろん、よく使っているIAMのようなサービスでも「え、こんな機能あったんだ!」という発見があり、各APIドキュメントのパラメータの一つ一つまで精読することが重要だと感じた。
とはいえ、Xと書かれていたら反射的にYが答えだ!みたいなレベルの問題も出題されていたので、そこまでがんばらなくても何とかなるかもしれない。
また、自分の興味関心がAWS上でのサービスの運用・開発にあるせいか、やはりオンプレミスのデータセンターが関連してくる分野は弱いと感じた。例えば、AWS Directory ServiceのAD Connectorとか、VPCのTransit Gatewayなどは、今回の試験対策でほぼゼロから勉強することとなった。オンプレミス環境とクラウド環境の接続については、Solutions Architect試験でも出題されることがあると聞いているので、今後そちらに進出する足掛かりになればと思う。
今回はコロナ禍ではあるものの、自宅で十分な受験環境を整えるのが難しいと判断したため、新宿にある試験センターで午前中に受験した。前回DevOpsエンジニア試験を受けた会場とは異なる会場だったので多少迷っても大丈夫なよう、保育園に子供達を預けた後早めに電車に乗ったのだが、模擬試験の復習をしていたら電車の乗り換えをミスってしまった。会場が新宿でルートがいくつかあったことと、早めに出ていたこともあり何とか予定通りの時間に会場に到着できた。
公式サイトでは170分の試験時間と記載されているが、事前に準備した演習問題に近い問題が出てあまり悩まず、見直しの時間も取らなかったので、75分で解き終わることができた。
試験結果も913/1000と90%以上解けていたので 、よくできていた方だと思う。
[今後どう活かすか]
試験対策で学んだAWSのセキュリティ機能やセキュリティサービスの数は膨大で、まだまだ現場で100%活用できているとは言いがたい状況である。それを一度に適用していくことは難しいにしても、一つずつ着実に改善を進めていきたいと思う。
最近読んでいるGoogleの『SRE Workbook』にも以下のように書かれていた。
Principle #2
SREs must have time to make tomorrow better than today.
Google - Site Reliability Engineering
自分は肩書きとしてのSREは持っていないけれど、サービス運用の一端を担うものとして、今日よりも良い明日にしていきたいと思う。
[まとめ]
- 2020年10月30日にAWS認定 セキュリティ – 専門知識 (SCS-C01) 試験に合格した
- 試験対策としては対策本のほか、公式の模試やUdemy講座の演習テストが役に立った
