実務2日から始めるAWS認定5冠め突破作戦
AWS認定のプロフェッショナルレベルの横に位置する専門知識の資格、『セキュリティ - 専門知識』(AWS Certifed Security - Specialty)に、2021年11月に合格することができました。
祝ってくれた皆様ありがとうございます。今回も過去の先人の合格エントリにもかなり助けられました。これから挑戦する方と未来の自分向けに情報を残しておこうと思います。
例によって資格の名前が長いので、以下公式の3文字略称を使います。
~入門者向けの基礎コース(Foundational)~
~中級者向けのアソシエイト(Associate)3兄弟~
- 設計の『ソリューションアーキテクト - アソシエイト』
(Solutions Architect - Associate: SAA) - 開発の『デベロッパー - アソシエイト』
(Developer - Associate: DVA) - 運用の『SysOps アドミニストレーター - アソシエイト』
(SysOps Administrator - Associate: SOA)
~上級者向けのプロフェッショナル(Professional)級~
- 最難関の『ソリューションアーキテクト - プロフェッショナル』
(Solutions Architect - Professional: SAP) - 開発と運用が合体してDevOpsをやる資格『DevOpsエンジニア - プロフェッショナル』
(DevOps Engineer - Professional: DOP)
~特化した専門知識(Specialty)~
- 今回取得した、セキュリティに特化した『セキュリティ - 専門知識』
(Security - Specialty: SCS) - 『データベース - 専門知識』
(Database - Specialty: DBS) - 『機械学習 - 専門知識』
(Machine Learning - Specialty: MLS) - 『データアナリティクス - 専門知識』
(Data Analytics - Specialty: DAS) - 特に難しいといわれる『高度なネットワーキング - 専門知識』
(Advanced Networking - Specialty: ANS)
基礎コースを表すFoundationalは資格名のCloud Practitionerには入りませんが、3文字略語では末尾に付けられてCLFとなります。
アソシエイトレベル、プロフェッショナルレベル、専門知識を表す末尾の単語は区切りの半角スペース+半角ハイフン+半角スペースは省略されたり、スペースや中黒点や横棒などで代用されることもあります。
日本語だとふつう「専門知識のくくりに属する中のセキュリティ」だから『専門知識 - セキュリティ』となりそうですが、英語に習って資格の名前は逆で『セキュリティ - 専門知識』(Security - Specialty)となり、ちょっとややこしいです。
みんな最後にSpecialtyがつくので、専門知識分野の資格は3文字略称の最後がみんなS、なんかのシステム名やサービス名みたいになっています。
以前は専門知識に6つめ『Alexaスキルビルダー - 専門知識』という資格もあり、よく本などには書いてあるのですが、2021/3/22に廃止。現在はAWS認定は全11種類、全部獲っても認定11冠となっています。廃止される前にAlexaスキルビルダーも取って、認定12冠を達成するのが真のAWS強者の習わしだったようです...(うそ)
参考:AWS 認定 – AWS クラウドコンピューティング認定プログラム | AWS
挑戦への経緯
きっかけ
仕事でAWSを使うチャンスを増やすために復活させた上位資格を取っていく計画。先人の合格記録を見ると、特にプロフェッショナルレベルと専門知識は互いに範囲がある程度被っており、間を空けずに受けたほうが効率がよい...という話をよく見かけます。DOP資格でもそれは感じました。
セキュリティのSCSは比較的難易度が低く、専門知識の中で最初に受けるのに適しているという話もよく見かけます。
AWSの世界でもオンプレの世界でも、何はともあれセキュリティは必須の分野。知っておけば役に立つ時があるでしょう。ということで次のターゲットはここに。DOP試験に受かったその日に要点整理本をAmazonでポチって、認定5冠を目指した次の作戦を始めることにしました。
書いている人のセキュリティ歴
エンジニア歴ウン年の管理職への昇格試験を受けないマンです。DOPの合格記録にスキルセットは書いてみました。
エンタープライズな開発の世界にいるとセキュリティは重要分野であり、まあ新サービスを世に出す開発速度最優先でガーっと作り上げるような世界よりは意識されています。コンプライアンスの教育も定期的に行われますし、システム開発のセキュリティ面の教育なんかもあります。セキュリティ周りを主な仕事にしている集団も社内にはあります。僕もWebアプリケーションの認証機能を作りこんだり、いろいろやってきました。
社内の開発案件ではシステムが出来上がるとセキュリティ的な脆弱性を診断してくれるツールにかける仕組みがあり、専門の窓口があったりします。この手のツールが機械的に出してくる診断結果はたいてい日本語だけど理解できない呪文のようになっていたりするので、翻訳して対応方針をプロジェクト内に展開するような役目を担当したこともあります。
情報処理試験では以前『情報セキュリティスペシャリスト』に合格。その後『情報処理安全確保支援士』という名前と制度に変わった後も、年間1万の費用を出して認定を維持しています。そういえば最近この費用を会社に請求し忘れてる気がする...
という訳で専門のセキュリティエンジニアではないですが、セキュリティの一般素養は持っているという感じです。
AWSの実務経験とよく使う興味のあるサービス
基本は開発屋なので興味のあるサービスはサーバーレスアーキテクチャ周り、API GatewayやLambda関数周りですね。
DOPの時と状況が変わっていないので、SCSの想定している保有スキルは「AWSワークロードのセキュリティ保護の実務経験2年」ですが、実務経験は2日です!(開き直りagain)
また試験ガイドを見ると「ITセキュリティに関してセキュリティソリューションの設計と実装における5年以上の経験」とあります。こちらは何となく満たしていそうです。
やったこと
基本方針の確定
DOP合格後に要点整理本をパラ見したり情報を収集しながら、1週間後から本格的に開始することにしました。
- 学習時間は週末も含め1日1Hでなく、できたら2H~から
- 最初に情報を集め、基本はこれまで通り問題演習を中心に学習を組み立てて、分からないところを次に調べるスタイルでいく
- DOPが5週間で取れたので、同じく1ヶ月ぐらいのゆるい目標で行く(実際には3週間でした)
- 実機でもバシバシ触って慣れれば理想ですが、そこまで時間がないので学習による資格突破をメインに
スタプラで学習記録を可視化する
今回も時間の計測、成果を出してる感、モチベーションを維持するため、学習管理アプリのStudyplus(スタプラ)を継続しました。
ネット上のSCS合格エントリを参考にする
ググって約21人分、Qiitaで探して約26人分、koiwaclubの合格記録を見て回り、はてなブログならお礼に☆をつけてQiitaならいいねストックして蹂躙して回りました。貴重な記録を残してくれた先人の皆さん、今回もありがとうございました。
書いている方の来歴(エンジニア歴とAWS歴)、学習期間と学習時間、学習に使った題材、サンプルや模試の点数、本番の点数や時間配分、よく出る分野や受験戦略、その他お役立ち情報...などをポイントとして見て回りました。DOPの時よりも合格記録が多かったですね。
さすがにSCSを受けるような方は普段からAWSを使っていたり認定も既にX冠を達成していたり、慣れている方が多いですね。アソシエイトレベルから次に来るパスもあれば、プロフェッショナルレベルのSAP,DOPの後に来るパス、他の専門知識と合わせて、専門知識の中ではだいたい最初の方で取るパスもあります。
特にSAPを獲った後だと楽勝だったという声が多く、DOPの後でもスムーズに合格している人が多かったです。また試験時間はプロフェッショナルの180分より微妙に短い170分ですが、これも時間が余った、タイムマネジメントを特に意識せずいけた、見直しなしでも合格できた...などの猛者の声もありました。
よしよしこれなら大丈夫そうだ、と感触を得て準備を進めました。
学習時間の確保に立ち向かう
こちらもDOP受験の時と同じですね。ほぼ全面リモートワーク(テレワーク)で時間の調整がしやすかったです。子供も2歳→4歳に成長するとだいぶ楽になりました。
またDOP受験時にやった、金曜に仕事の午後休を取って余裕をもって準備→土曜の朝に受験 というコースがよさげだったので今回も同じ手で行きました。
コロナの脅威に立ち向かう
何はともあれ大事な試験なので今回もオンライン受験は見送り、東京新宿のテストセンターで受けることにしました。
計画変動に立ち向かう
今回は10月の下期が始まったところで、それほど大きいハプニングがなく進められました。だいたい4週間ぐらいでイケるかなというお気持ちだったのですが、2週間ちょっと経過後にもう今週やっちゃおう!と予定を早めています。
モチベーションを保つ工夫をする
ここもDOPの時と同じで保つ工夫をしました。DOPの分に追加すると,,,
- 俺...この資格に受かったら...冷蔵庫にとってあるどら焼き食べるんだ...←NEW!
- 俺...この資格に受かったら...ローソンで買った「艦これ」ラベルのお酒を飲むんだ...←NEW!
- 俺...この資格に受かったら...自分へのご褒美にロジクールの新作キーボード『MX KEYS mini』買っちゃうんだ...←効果大!
学習の流れ
要点整理本を購入する
2020/7初版登場の、SCS試験では唯一の本『要点整理から攻略する『AWS認定 セキュリティ - 専門知識』』を読解しました。
佐々木拓郎さん(id:dkfj)、上野史瑛さん(id:fu3ak1)、小林恭平さん(@kobakoba09)とAWS勢にはおなじみの強メン結集の本。作者全員がAWS認定12冠というのも圧倒的です...!
blog.takuros.net fu3ak1.hatenablog.com
各所のSCS合格エントリでもよく登場し、軒並み評判が高いですね。中にはこの本+αだけで受かったという猛者もいました。(笑)
実際にAWSのセキュリティに関する考え方、セキュリティに関するサービスが一式網羅されていてしっかりまとまっています。図も豊富で、自分のようなペーパードライバーだとなんとなく脳内にぼんやりと構成図を書いて問題を解くのですが、「あーやっぱり図にするとこうなるのね!」という感じで理解がよりクリアになりました。
8章の問題演習も最初に問題の解き方のポイントが載っています。自分がDOP資格で体感的に分かったことと同じようなことが明確に述べられており、やっぱりそうなのかーと納得しました。
この問題演習は40問ついているのですがなかなか工夫されていて、正しく理解していないと解けない引っ掛け問題もあって本格的です。自分は読了して割と分かったつもりでいたのですが、1周目の問題演習は正答50%と酷い点でした。わはははは。
AWS認定初の専門知識分野の本にして、SCSといえば現状この本だけです。僕も大変助けられたので、まずはこの本を1冊揃えるとよいと思います。
公式のデジタルトレーニングを受ける
各所の合格エントリでお勧めされているのが以下のExam Readiness。計4Hとなっています。
DOP試験だとメガネのシュッとしたお兄さんでしたが、SCSではBlaine Sundrudさんというおじさんが身振り手振りを交えて分野1から5まで、試験の解き方も含めてセキュリティを熱く語ってくれます。
公式でも11/2頃にツイートされていたのですが、動画の講師の方も日本人になって講座内容の日本語ローカリゼーションも進んで更新されました。
無料の #AWSトレーニング でセキュリティの認定試験を勉強しませんか? https://t.co/z9mRcr4gNV
— AWS/アマゾン ウェブ サービス/クラウド (@awscloud_jp) November 2, 2021
Exam Readiness: AWS Certified Security - Specialty (日本語実写版) コースでは #AWS認定 セキュリティ — スペシャリティの試験準備を認定インストラクターが解説します。 pic.twitter.com/jpWvlM5ojT
僕はちょうど受けている途中だったのですが、ある日続きを始めたら画面のリダイレクトが始まって講師のおじさんがいつの間にか日本人のAWSJのお兄さんにシュッと変わるという、面白い経験をしました。こうした動画の講師でも、やっぱり英語圏の人のほうが身振り手振りや表情の変化が明らかに激しくて、やっぱりこういうのは国民性なんですね。
分野(Domain)ごとに基本的な例題も2~4問ついてきて、問題文からポイントを読み取る訓練になります。最後には模擬テストとして24問、紙芝居のようにスッと問題が切り替わっていくUIで模試もできます。画面構成もきれいです。すべて無料なのでこの講座もお勧めです。
EBSボリュームのタイプのIOPSは英語では「アイオプス」と発音していました。S3から長期保存でおなじみのGlacierは明確に「グレイシャー」でしたね。
あと頻出のネットワークACL略してNACL、僕はふつうに「えぬえーしーえる」と発音していたのですが、英語だと「ナクル(ナクォー)」とも発音する模様。
また、AWSのセキュリティ分野では、ユーザ認証を肩代わりしてくれるサービスでCognitoがよく出てきます。
アーティストのIncognitoが「インコグニート」(=匿名者)と発音するのでCognitoは「コグニート」だとずっと思っていたのですが、この講座のAWSJのお兄さんは「コグニト」と発音していました。どちらでも良いのだと思いますが、主流はどうなんでしょうね。教えてエライ人!
なおこの講座の最後の模擬テスト24問も正答は半分ぐらいでした。解説を見たり他の資料に飛んだりしながら学びました。
公式のクラスルームトレーニングを...やらない
公式が提供しているのが『Security Engineering on AWS』の3日間ですが、例によって見送りました。
公式Black Beltやホワイトペーパーは...後回し
SCSの合格エントリでも、AWS強者の方だとExam Readness、Black Beltなど、あとは公式サンプル+公式模試ぐらいでもうシュッと余裕で突破してしまう方もおられます。特にSCSは専門分野の中では難易度がそんなでもないためか、あまり準備せずに行けたという報告が多いですね。
自分の場合はそうもいかないので、例によって
まずは問題演習をたくさんやる→絶望する→復活、そこから解説やリンク先の公式リソースに飛んで学ぶ
の繰り返しの反復学習で学んでいきました。
『AWS WEB問題集で学習しよう』で学ぶ
通称小岩、もしくはkoiwaやkoiwaclubで知られる学習プラットフォーム。SCSの合格エントリでもよく登場します。
DOP受験の時に申し込んだ有料会員のプロフェッショナルプラン5480円(税込み6028円)が3か月間有効なので継続利用です。AWS認定のプロフェッショナルレベル(SAP,DOP)と専門知識にはこのプロフェッショナルプランが必要になります。
7問1セットの問題がこのエントリ執筆時点でSAPは59、DOPは55と揃っているのですが専門知識はまだ数が揃っておらず、SCSは23セット。161問で本試験2.5回分ぐらいになります。7問ごとに正解不正解が分かり、解説も比較的明確で分かりやすいです。反復学習にちょうど良いので今回はまずはここでしっかり学ぶようにしました。
確かSCS#16あたりに1問だけこれおかしいのでは...? というのがちょっとあったのですが結局スルーして進行。Google Spreadsheetで結果を色分けしてモチベーションが維持できるようにしながら進みました。
1周目は正答56%でまだまだ、最後の仕上げの2周目で78%、前日にさらに一部3周目もやりました。
Udemyの英語講座で学ぶ
SCSは有効な日本語講座がまだないので、英語頼りとなります。みんな名前が似ていてややこしいです。
Chandra Lingamさんによるベストセラー講座。最後に Practice Examとして71問の模試、Preparation Check Listとして小さな問題がついています。学習の過程でこの Practice Exam を事前翻訳してやったところ、合格ラインは75%のところ51%とまだまだ。解説も簡潔で分かりやすいです。
Zeal Voraさんによる講座、こちらも最高評価がついています。最後にFinal Exam Practice Testと題してDomain1~5まで、模試形式でないですが問題演習付き。各所の合格エントリを拝見するとこの講座が役に立ったという話を時々見かけます。
Alan Rodriguesさんによる講座。最後にPractice Testとして53問の模試がついています。自分は直前の仕上げに使ったのですが正答83%と良好でした。
他にも探すとよりマイナーなものなどSCS用の講座はいくつかあります。評価が高くレビューも高くレビュー件数も受講者数も多い、まず安心の鉄板の講座というと上の3つでしょうか。
自分の場合は会社契約のUdemy for Business内でこの3つの講座がどれもあったので、こういう時こそ規模のある企業の強みを活かすんやで~ということで全部無料で済ませました。
タイムマネジメントを意識...しない
SCSも公式に書いてある試験時間は170分(2時間50分)と長いですが、各所の合格記録を見ると時間が余ったという声が多くみられます。
DOP受験でタイムマネジメントは分かったので、前回目安にした「20問を約30分」を守れればまあいいやという感じで、今回はそれほど気にしませんでした。
さらに英語のWhizlabsを...やらない
英語の学習プラットフォームとしてはこちらもおなじみWHIZLABSにもSCS試験の講座があります。今回もやらずに済むかな~と思っていたのですが、結局使わずに仕上がりました。
65問の模試が4回分+Quizが計30問あるそうで、19.95ドルならコスパ的にはかなりおトクですね。なお合格エントリを概観すると、Whizlabは内容がちょっと古かったという報告があります。
公式サンプル
以前は英語版だけだったり版が古かったりしたようで、合格エントリを見ると他のリンク先が3つぐらい存在していました。サンプルはやらなかったという人も多いですね。僕もスキップしました。
公式模試
AWS認定のどの資格でも多くの方が本番前に受けた方が良いと言っているAWS認定の公式の模擬試験ですが、SCSに限って言うとやらずに本試験を突破しちゃったという強者の声を割と見ますね。自分の場合はさすがにそれは危険なので、作戦を始めて3週目にチャレンジしました。SCS試験ならAWS Certified Security - Specialty Practiceと最後にPracticeがつき、試験コードもSCS-C01でなくSCS-P01になっています。
- AWS Certified Security - Specialty → [試験の復習]タブ → AWS Certified Security - Specialty 模擬試験
プロフェッショナルレベルと同じ制限1時間で20問とボリュームアップ、費用も2000円でなく4000円になります。DOP合格のバウチャーが使えるかと思ったのですがなぜか使えず、税込み4400円払いました。
学習も仕上がってきた段階だったので、ほとんどの問題は悩まずにスッと答えられて20分程度。スクショはNotionに貼り付けて見直しました。自己採点したら90%、後程送られてきたスコアレポートでは85%でした。これなら安全圏でしょう。
祝日前の夜中にやったのですが、AWSパートナーネットワーク(APN)経由でログインしているからなのか、費用の請求メールは自分のメアドに来たのですがスコアレポートは会社のメアドにだけ届いてしまい、休み明けまで結果が分からないという現象が発生しました。(笑)
プロフェッショナルレベルのDOPの公式模試が本番より難しいというのはよく語られていますが、このSCSの公式模試は体感でもあまり難しくなかったので、スルーする人も多いのかなと思います。
仕上げへ
最初は作戦開始から4週間後の週末をなんとなく予定していました。しかし3週目、このまま仕上げて脳内のS3にセキュリティの知識が根付いたベストコンディションを保って週末に決行してしまったほうがよいのでは...?という考えがだんだん満ちてきます。
祝日に家族で水族館に出かける予定がポップアップしたりしたのですが、それと仕事も含めて使える残り時間を逆算して、今週末に強行突破しちゃうYo!と決定して試験予定を1週間早めることにしました。
Udemyの英語の講座の「AWS Certified Security – Specialty SCS-C01 [New]」のExamの結果は5割で低かったのですが、上の公式模試も85%と好調です。
家族のお出かけ予定は予定通り実施。ペンギンやクラゲやお魚さんを見て子供氏は大喜びでした。あとグソクムシの実物はけっこうインパクトがありました。(ラブライブ脳)
その後Udemyの英語講座の間違いの復習をしたらだいぶ理解度が上がり、koiwaclubの2周目も全体で正答78%と上昇。公式Exam Readinessの模擬テストも2周目をやったらだいたい即答で正答8割超え。Udemyの『AWS Certified Security Specialist』のPractice Testも8割超えと予定通り仕上がってきました。
前回のDOP受験時に習って試験前日は仕事で午後半休をとることにしました。ついでにインフルエンザの予防接種も済ませたり息抜きにアニメを見たり余裕の仕上げです。
夜にもう少し最後の仕上げをしようかな...と思ったら子供氏が知育玩具のビー玉転がし的なやつをせがんできたので、一緒に組み立てて遊んだりしていました。
↑こういう系統のやつですが、けっこう面白いんですよね。DevOpsなCI/CDのパイプライン処理とか、SQSのキューから起動したLambda関数がファンアウトパターンでパーッと広がって全自動で処理が続いていく様とか、ああいうのになんか通じてる気がする!
試験当日:SCSは割と余裕?
テストセンターへ
いつも通り5:40に起床して前回と同じピアソンVUEの新宿「西新宿テストセンター」の朝一番の9時で受験しました。受験した土曜日は英検の予定が入っていて賑わっていました。
相変わらず受験した端末のディスプレイは大きく、テスト画面が最大化されて文字が横いっぱいに表示されて見づらいのですがそこをなんとか。前回10月は室内の寒さが激しかったのですが、今回の11月はちょっと緩和されていた気がします。外の気温も下がっていたからかもしれません。
試験本番!
試験ガイド にちゃんと書いてあるのですが、専門知識分野になると65問中、スコアに影響しない問題が10問ではなくて15問混じっています。このためか「えっ何これ試験範囲なの?」と心を乱されそうな問題がちょくちょく出てきました。
また自分的に今回困ったのが、前の晩どうも睡眠不足気味で集中力が減退していたこと。途中で猛烈に眠くなってきて少し休憩したりしました。それでも「30分で20問」の目安は守って、1時間35分(95分)頃で65問回答終了。各所の合格エントリを見ると1時間ちょっとで終わったなんて声も複数あり、ややオーバーしています。
その後は最初から見直して、今回は「危ね~よく見たらこの問題こっちじゃん!」というミスも何問かありました。集中力が下がってましたね。やっぱり体調管理は重要だと改めて思いました。
そして見直し終了が約2時間30分(150分)時点。ここで終了をポチリポチリして小さく「合格」が表示、目でスクショしてサイレント退出しました。
難しい問題もあったので自分的には「楽勝」では決してなかったですが、DOPに比べれば楽だったなという感じです。
またまた合格エビデンスなしの合格
スコアレポート類は5営業日以内にメールで来ることになっているので、休日受験だとペーパーをもらうだけです。
その後はヨドバシカメラに寄って、キーボード売り場で僕も愛用しているロジクールのワイヤレスイルミネーションキーボード『MX KEYS』が店頭で大きく扱われているのを見てムフーとなったり。テンキーレス版の『MX KEYS mini』の実物がもう並んでいて買うぞ...と決心したり。
西新宿のコクーンタワー地下の大きな本屋でオライリー本を買って来年のカレンダーをゲットしたり、久々に外でランチを食べたりして帰りました。
帰ったら子供氏が今日はインフルエンザの予防接種を泣かずに突破してきていたので、お互いにがんばったねメダルをエアで首に掛けるごっこをしました。深夜に飲む酒は旨かったんだぜ...!
ちなみにスコアレポートは週明けになったらすぐ来ました。
試験まとめ
得点の話
後で届いたスコアレポートは875点。最高点のDOPでの902点よりは下ですが、SAAが836点、DVAが845点、SOAが801点だったのよりはだいぶ上です。だいぶこれまでの知識の積み重ねが効いてきたということでしょうか。
100点~1000点で合格が750点。複数回答式の設問の方が得点が高く設定されていると思いますが気にしないことにして、関係ない15問も計算に入れるとして、実質900点満点/65=13.85点/1問。47問が650点+100で750点なので、単純計算だとアソシエイト級と同じく47問ぐらいがラインでしょうか。
スコア875だと56問ぐらい正解だったことになります。模試類でコンスタントに8割行けるようになれば本番もだいたい同じぐらい行けるのは、アソシエイトレベル/プロフェッショナルレベル/専門知識どれでも同じなのが今回実証できました。
費用:2.1万(実質4400円)
Udemyの英語版講座は会社のUdemy for Businessで済ませたので0円。koiwaclubのプロフェッショナルプランは3ヶ月有効なので0円。
『要点整理から攻略する『AWS認定 セキュリティ-専門知識』』本が3718円ですが、今回はブログ収入でなく会社の福利厚生のもので申請してみたので0円。公式模試が4400円、本試験がバウチャーで半額にして16500円で合計2.1万円。このうち本試験は会社で請求できるはずなのでそれを引くと公式模試の4400円だけでした。だいぶ節約して済ませることができました。
学習期間と時間:3週間、40-50H
2020年10月に開始、受験が11月始めで3週間となりました。学習時間は10月が25.35+11月が15.75=41H。誤差としてもうちょい足すことにしてだいたい40-50Hぐらいとなりました。自分の場合はアソシエイトレベルが70-80Hぐらい、プロフェッショナルレベルのDOPが80-90Hだったので、DOPの約半分となります。各所の合格エントリでも学習時間は短めというものが多いですね。
学習期間についても各所の合格エントリでは速い人で1週間、2-3週や1〜1.5ヶ月。薄く長くという方で2-3ヶ月など、短い期間でサッと獲っている方が多いです。やはり専門知識の中だとSCSは獲りやすいのですね。
また、自分の場合は実務経験不足のハンデからSAA/DVA/SOPのアソシエイトレベル3冠取得までにはだいぶ時間を食ってしまった自覚があるのですが、DOP, SCSになると世の中の皆さんの掛かっている時間と差が縮んできています。
ここから、プロフェッショナルレベルや専門知識になるとみんな基本X冠保持でAWS認定に詳しくなるので、実務経験年数などは影響度が下がってくるのかな?と思いました。(最難関のSAPだと違うのかもしれませんが...)
『セキュリティ- 専門知識』試験所感
SCS試験の難易度
人によって違い、またその人のスキルセットや得意分野によっても異なりますが、だいたい難易度の順は以下だと言われています。
ソリューションアーキテクト- プロフェッショナル(SAP)
>高度なネットワーキング - 専門知識(ANS)
>DevOpsエンジニア - プロフェッショナル(DOP)
≧同位かその下で、ANSを除く専門知識の資格群
- 問題文、選択肢も長くなるが、DOPほどではない。アソシエイトのSOAよりちょい長いぐらい? 短い問題もある。
- SAP, DOP同様に設問のシチュエーションで求められているポイントを読み取る能力が求められるが、すべての設問がそうではない。正しく理解していれば即答できる問題もけっこう出る。
- 設問数もプロフェッショナルレベルの75より少ない65。時間が余る人が多い。
- 登場するAWSサービス群は他の資格とほとんど被っているので、学習しやすい。
- ただしこれらは、ITエンジニアリングにおけるセキュリティ関連の素養が既にあることが前提になる。
以上の理由から、自分的にはDOPの下の4位群かな〜と思います。(個人の感触です)
また、ITエンジニア歴がまだ浅い方はセキュリティ関連の知識を得る機会がまだない場合もあるかと思います。「そもそもDDoS攻撃とかブルートフォース攻撃って何?」という方は、別途ITセキュリティの基礎を一般教養的に学んでおいた方がよいでしょう。こうした知識はクラウドプラットフォームやプログラム言語や技術を問わず有効ですし、後々役に立つ時がきます。要点整理本にもこうした学習リソースの記述があります。
所感:総合的に学ぶセキュリティ on AWS
他の資格群でもサービス別の暗号化の仕方やIAMによる認証・認可など、個別にはセキュリティ分野の問題はぽつぽつ出てきましたが、改めてまとめて総合的に出てくると知識の整理にもなりました。「あーAWSだとこの問題にこうやって対応するのか~」というのが分かり、なかなか興味深かったです。
前述の要点整理本が文字通り要点を整理しているので、資格対策以外にも役に立つかと思います。
さてせっかくなので、学習過程の模擬試験類で出てきたものを中心に、個人的に思ったことなどを書き連ねてみます。
処理タイミングは即時が多い
その場で処理するのか、定期的に処理するのか読み取るのはSAP,DOP試験でも重要になってきますが、セキュリティの問題では即時が多いです。セキュリティインシデントが起こったらすぐさま報告するべきですからそうなりますね。
- アクセスキーや認証情報が流出した、S3やコードに保存してしまった、アヤしいリクエストがネットワークを流れてきた、ポートスキャン攻撃やDDoS攻撃を検知した...など。
- たいていCloudWatchイベントやS3イベント、CloudTrail、待機しているサービスからのアラートなど。ログを一旦流してからCloudWatchのメトリクスフィルターでフィルターすると遅れたり、Configルールだと遅延が発生したりする。「1時間ごとに」「定期的に」などの選択肢が間違いになる。
- 逆に定期的に実行するのはルールに違反しているEC2を定期的にチェックするとか、システムの継続的な改善、コンプライアンス維持のためが多い。
- サービスでもGuardDutyやInspectorのように受動的に動いて検知して報告してくれるするだけのものと、Configのようにその後に能動的に動いて修復してくれるものがある。
不自由な日本語に慣れる
これはもう約束ですね。
- VPC内やNACL、セキュリティグループの話で「インバウンド」「アウトバウンド」が変な訳され方をする。(約束)
- 僕が本試験で見たものだと、「Config集約機能」が出てきてなんぞ?と思ったら「Configアグリゲーター」のことでした。
なんかアヤしいと思ったら問題の英語の原文を確認するテクニックはいつでも有効です。
スクリプトやLambdaの処理は比較的少ない
アソシエイト級の3試験だと、お手製のスクリプトでわざわざ手間のかかる仕組みを作るような解法はだいたい間違い、しかしプロフェッショナル級のDOP試験では高度な仕組みを実現するのにけっこう活躍していました。
SCSの試験では、Lambda関数でわざわざ何かを作るケースというのは比較的少なかったです。よく使われる重要な機能ならセキュリティ用のサービスの機能として最初から用意しているよ、ということでしょうか。Lambdaが必要になるのは例えば以下のようなシーンになります。
- 悪い人にCloudTrailが止められちゃったらLambdaでStartLoggingさせる
- Configルールで引っかかったEC2をLambdaで治したり止めたり
- VPCフローログの中からポートスキャン攻撃を探し出す
- カスタマーマスターキーを毎月ローテーションさせてS3を更新させる
- CloudFrontログからアヤしいアクセスを見つけてWAFルールを強化
SCSで初見っぽいサービス
- Security Hubは初見でしたが要点整理本に出てきます。
- S3の中から載せてはまずい個人情報を見つけてくれるAmazon MacieもSCS初登場でしたが、アソシエイトでもプロフェッナルでもあちこちの問題の選択肢にぽつぽつ名前は出てきていたような...?
- という感じで、専門知識にチャレンジするようなレベルの方だったらみんな名前は知ってるようなサービスがほとんどなので、このへんは安心ですね。
AWSだけではできないこともあり、サードパーティ製ツールも割と出てくる
CLFやSAAの単純な問題ですと「こういうことをしたい時には?」→「このサービスを使えばできます!」→「万能だ!さすがオレたちのAWSパイセン!」となります。
しかしセキュリティ周りになるとそう簡単にもいかなくなり、試験ではツール名までは問われませんがサードパーティ製のツールがけっこう登場します。このへん、へぇーと思いました。
- EC2インスタンスに侵入されたら、物理的なマシンの実体はデータセンターの中にあるのでセキュリティグループで隔離。フォレンジック調査をしていくが、このフォレンジック専用のAWSサービスというのはない。ツールが必要になる。
- VPCの中を流れているネットワークトラフィックが見られるのはすべて「VPCフローログ」。この中身は抽象化されているので、実はIPパケットの実物は見られない。EC2インスタンス内にツールが必要になる。
- 動的に変わるIPからのEC2インスタンスへのブルートフォース攻撃、サイト改竄などを防ぐには、インスタンスにIPS(不正侵入防止システム)を別途入れる必要がある。
- VPCの中で独自にルーティングしたい時は、仮想セキュリティアプライアンスというものを別途入れることも実はできる。
- 頻出のネットワークACL、セキュリティグループはIPで弾いたりルールをいろいろ作れるが、URLベースのルールには別途プロキシサーバーがいる。
NACL、セキュリティグループ周りは問題にもよく出てきますが、セキュリティの根本的な対策にはならないという話も最初は意外でした。
セキュリティ的には多層防御しつつも攻撃はまず入口で防ぐのが普通ですから、AWSの雲海の王国の入り口のエッジ、CloudFrontやELBやWAFで不正なトラフィックは防ぎきって、VPCの中を行き来するのはもう安全なトラフィックのみにするということなんでしょうね。
ほか
- 皆さんの合格記録によく書かれていますが、KMSのCMK周りはとてもよく出てきます! 要点整理本の「4章 データ保護」で多くのページが割かれています。
- AWSの最新状況と認定に出てくる問題に多少差がある...という話は、セキュリティ分野では特に出てきませんでした。要点整理本には2020年公開のAmazon Detectiveという新しいサービスも触れられていましたが、模試や本試験ではこれも見かけませんでしたね。
おわりに
というわけで今回もガンダムではなく量産機から作戦開始、専門分野は巡洋艦や戦艦でなくて特殊艦でしょうか、一隻撃破に成功しました。
Udemy講座の講師の方々、読んだ商業本や技術同人誌の著者陣の方々、様々な形でインターネット上に有益な情報や貴重な受験情報を発信してくれたAWS勢の先人の方々、面識があってもなくても様々な形で僕が刺激を受けたり勝手に凄いと思っているクラウド勢の先人の方々、TwitterやStudyplusで応援してくれたりお祝いしてくれた皆様に感謝します。
爽やかブルーの『要点整理から攻略する『データベース - 専門知識』』本も一緒に買ってあるので、データベースもわかるマンとして次はあまり間を置かずにDBSもチャレンジして認定6冠を目指そうかなと考えています。最難関のSAPは一番最後にとっておくということで...
それではこれからAWS認定『セキュリティ - 専門知識』資格に挑戦する皆さんに、雲海とファイアウォールのご加護のありますように......(`・ω・́)ゝビシッ
当ブログのAWS認定の合格エントリシリーズは以下を記録しています。
iwasiman.hatenablog.com iwasiman.hatenablog.com iwasiman.hatenablog.com iwasiman.hatenablog.com iwasiman.hatenablog.com iwasiman.hatenablog.com
認定対策本のまとめ記事も新刊が出るたび整理しています。
