今回は、自分が模試やハンズオンの中でつまずいたポイントをまとめました。
どれも一度は混同したり、選択肢で迷ったりしたところです。
自分用の復習ノートとして読んでもらえたらうれしいです。
Secret Manager vs SSM Parameter Store(Secure String)
どっちを使う?
試験でよく出るのは「後者(Secure String Parameter)の方が有利なケース」。
たとえば「少数の設定値をCodeBuildやLambdaで参照するだけで、ローテーションは不要」な場合。
Secret Managerは自動ローテーションやシークレットライフサイクル管理が得意だけど、
コストも高め。逆にSecure Stringは低コストで、KMS暗号化付きの単純な設定管理に最適。
自分が間違えた理由:
「Secret=セキュア」という印象で、何でもSecret Managerを選んでしまった。
でも、要件が“自動ローテーション不要”ならSSMの方が正解。
EC2がAbuse Noticeを受け取ったときの最初の対応
AWSから「あなたのインスタンスが悪意ある通信をしています」と通知されたとき。
まずすべきは 該当インスタンスのネットワーク隔離(停止 or SG遮断)。
ログ確認や原因特定はそのあと。誤って「即削除」すると、証跡が消えて原因分析できない。
AWSはまず通信を止める→証跡確保→分析→再発防止の順序を推奨。
悪意あるIPパケット検査のアプローチ2つ
- Network Firewallでのステートフルインスペクション(シグネチャ検知)。
- GuardDutyによるVPCフローログ・DNS・CloudTrailからの脅威検知。
両者の違いは「リアルタイム検査」か「分析検知」か。
Firewallは通信を“通す前”に止める、GuardDutyは“通った後”に気づく。
一般的なWebエクスプロイトへの保護方法
- AWS WAFでSQLiやXSSの防御。
- Shield Standard / AdvancedでDDoS対策。
- CloudFront + WAF構成でエッジ防御を組み合わせるのが王道。
Security GroupやNACLはL3/L4レベル、WAFはL7レベルと覚えると整理しやすい。
CLBからALBに切り替えたら古い端末がつながらない?
原因はALBがHTTP/2や最新TLSを優先しているため。
古いクライアントが古い暗号スイートしか対応していないと、
ハンドシェイクで失敗する。
なぜそうなるか:
CLBはTLS 1.0/1.1をまだサポートしていたが、
ALBはセキュリティ強化のためTLS 1.2以上が既定。
kms:CreateGrant の役割
KMSキーの利用権限を一時的・限定的に他サービスへ付与するための操作。
例:EBSスナップショットやRDS暗号化が、内部的にこのGrantを使う。
initiate-vault-lock / abort-vault-lock のユースケース
Vault LockはS3 GlacierやAWS Backup Vaultの「WORM(Write Once Read Many)」機能。
initiate-vault-lock:ポリシー設定を開始。abort-vault-lock:コミット前に取り消す。
一度complete-vault-lockすると変更不可。
試験では「コンプライアンス対応(改ざん防止)」のキーワードが出たらVault Lockを選ぶ。
SNSデータ保護ポリシーの役割
SNSトピックに機密データを誤送信しないよう制御するための仕組み。
メッセージ本文にPII(個人情報)などを含めるのを防ぐため、
Data Protection Policyでキーワードマッチや拒否ルールを設定できる。
インターフェイスエンドポイントとゲートウェイエンドポイントの違い
| 種類 | 対応サービス | 通信方式 | コスト | 覚え方 |
|---|---|---|---|---|
| ゲートウェイ型 | S3 / DynamoDB | ルートテーブルで指定 | 無料 | “ゲート”は出入口(大通り) |
| インターフェイス型 | ほとんどのサービス | ENI経由のPrivateLink通信 | 有料 | “インターフェイス”=専用線で握手 |
GuardDuty / Inspector / Detective / CloudTrail の違いと覚え方
| サービス | 目的 | タイプ | 覚え方 |
|---|---|---|---|
| GuardDuty | 悪意ある挙動の検知 | 監視・分析 | 「門番」=警備員 |
| Inspector | 脆弱性スキャン | 予防 | 「検査官」=脆弱性チェック |
| Detective | 事後分析・相関調査 | 調査 | 「探偵」=事件の後に動く |
| CloudTrail | API操作履歴記録 | 証跡 | 「足跡」=すべての操作を残す |
なぜ混乱したか:
DetectiveとGuardDutyの違いが曖昧だった。
→ 「前に気づくか、後から調べるか」で線を引くとスッキリ。
IAM Access Analyzer と Service Control Policy(SCP)の違い
Access Analyzer:
組織やアカウント外に誤って共有されているリソースを検出。
“可視化”と“検出”が目的。
SCP:
Organizations全体で何をしてはいけないかを制限。
“制御”と“予防”が目的。
よくある間違い:
Access Analyzer=SCPの一部と思っていた。
→ 実際は全く別物。前者は「気づく」、後者は「止める」。
まとめ
Security Specialtyの学習では、「似ているけど目的が違う」ものがたくさん出てきます。
試験では単語を丸暗記するより、「この機能はどんなタイミングで使うのか?」をイメージしておくと安定します。
自分は何度も「サービス名で反射的に選んで失敗」したので、
今は「要件 → 目的 → サービス名」の順で考えるようにしています。
コメントを残す