MENU
  1. ホーム
  2. ブログ
  3. 【2026年1月:最新版】AWS認定資格:AWS Certified Security – Specialty (SCS-C03) 合格者による徹底解説&模擬問題付き

【2026年1月:最新版】AWS認定資格:AWS Certified Security – Specialty (SCS-C03) 合格者による徹底解説&模擬問題付き

作成日: 2026年1月29日 / 更新日: 2026年1月29日

AWS認定資格 解説ブログ

本ブログでは、AWSの専門知識を証明する認定資格の一つであるAWS Certified Security – Specialty (SCS-C03)試験について詳しく解説します。この試験は、AWS製品およびサービスを保護するための深い知識とスキルを検証するものです。本記事では、公式資料に基づいた最新の試験概要、範囲、および学習の注意点を網羅的に紹介し、受験を検討されている皆さまの準備をサポートします。

目次 クリックで開閉
  1. はじめに
  2. そもそも資格取得におすすめの人は?
  3. SCS-03の試験概要
  4. 試験範囲
  5. SCS-C02からの変更点
  6. 試験の注意点・勉強すべき点
  7. 模擬問題
  8. まとめ
  9. 参照公式資料

1はじめに

本ブログでは、AWSの専門知識を証明する認定資格の一つであるAWS Certified Security – Specialty (SCS-C03)試験について詳しく解説します。この試験は、AWS製品およびサービスを保護するための深い知識とスキルを検証するものです。本記事では、公式資料に基づいた最新の試験概要、範囲、および学習の注意点を網羅的に紹介し、受験を検討されている皆さまの準備をサポートします。

2そもそも資格取得におすすめの人は?

AWS Certified Security – Specialtyは、クラウドソリューションの保護において責任を持つ個人を対象として設計されています。具体的には、以下のような経験や役割を持つ方に最適です。

  • クラウドソリューションの保護において、実務上3~5年に相当する経験を持つ方。
  • AWSワークロードの保護において、少なくとも2年の実務経験を持つセキュリティ担当者。
  • セキュリティを専門としたいソリューションアーキテクトや、セキュリティ制御の実装を担当するDevOpsエンジニア。
  • AWS環境におけるコンプライアンス管理を担当するプロフェッショナル。

3SCS-03の試験概要

試験の基本的な形式と構成は以下の通りです。

項目内容
試験時間170分。
問題数65問(スコアに影響する50問と、今後の試験評価用の未採点問題15問で構成)。
解答形式択一選択、多肢選択、並べ替え、およびマッチング形式。
合格基準100~1,000の間のスコアでレポートされ、合格に必要な最低スコアは750です。
受験料300 USD。

4試験範囲

SCS-C03試験は、以下の6つの主要な分野(ドメイン)で構成されており、それぞれ特定の比重が設定されています。

分野比率説明
第1分野:検出16%AWSアカウントや組織全体での監視、アラート、ロギングソリューションの設計と実装を扱います。
第2分野:インシデント対応14%インシデント対応計画の設計・テスト、およびセキュリティイベントへの対応を検証します。
第3分野:インフラストラクチャのセキュリティ18%ネットワークエッジ、コンピューティングワークロード、およびネットワーク全体のセキュリティ制御の設計とトラブルシューティングを含みます。
第4分野:アイデンティティとアクセスの管理20%認証および認可戦略の設計と実装に焦点を当てます。
第5分野:データ保護18%転送中および保管中のデータの保護制御、機密データや鍵管理の設計を扱います。
第6分野:セキュリティ基礎とガバナンス14%AWSアカウントの集中管理、クラウドリソースの一貫したデプロイ、コンプライアンスの評価を検証します。

5SCS-C02からの変更点

SCS-C03は、前身のSCS-C02からいくつかの重要なアップデートが行われ、最新のセキュリティ脅威とAWSのサービス進化に対応しています。

  • ドメインの再編: SCS-C02では「脅威検知とインシデント対応」や「セキュリティのロギングと監視」に分かれていた分野が、SCS-C03では「検知」と「インシデント対応」という明確な役割に基づいて再構成されました。
  • 生成AIセキュリティの追加: 生成AIアプリケーション(Amazon Bedrockなど)の保護やガードレールの実装、AIモデルのトレーニングデータの保護に関する知識が試験範囲に新たに追加されました。
  • ガバナンスの強化: リソースコントロールポリシー (RCP) などの新しいポリシータイプの知識や、AWS Organizations、AWS Control Towerを利用したマルチアカウント環境のガバナンスへの焦点が強まっています。

6試験の注意点・勉強すべき点

試験合格を目指す上で、特に注意すべきポイントと重点的に学習すべき内容は以下の通りです。

  • 責任共有モデルの理解: AWSが「クラウド自体のセキュリティ」を担当し、ユーザーが「クラウド内のセキュリティ」を担当するという原則を、各サービスごとに正しく適用できる必要があります。
  • IAMとKMSの徹底理解: 最小権限の原則に基づいたIAMポリシーの作成、暗号化鍵(KMS)の管理モデル(カスタマー管理型、AWS管理型など)の違い、およびそれらのトラブルシューティングは最重要項目の一つです。
  • 自動化とインシデント対応: Amazon EventBridgeを利用した修復作業の自動化や、フォレンジック調査のためのログ(CloudTrail、VPC Flow Logs、Route 53 Resolverログ)の収集・分析方法を習得してください。
  • 各サービスの使い分け: 例えば、GuardDuty(脅威検知)、Security Hub(結果の集約)、Detective(調査)、Macie(機密データの特定)といった、似た役割を持つサービスの機能差と連携方法を明確に区別できるようにする必要があります。
補足

本試験は「複合シナリオ(IAM + KMS + ネットワーク + ログ)」のように、複数レイヤーを横断したトラブルシューティングを問う設問が多くなりがちです。各ドメインの知識を“連携”で説明できるように整理すると効果的です。

7模擬問題

1問目)

セキュリティチームが、プライベートVPC内のEC2インスタンスから、KMSで暗号化されたS3バケットのオブジェクトを取得しようとしていますが、アクセス拒否エラーで失敗します。VPCにはS3とKMSのVPCエンドポイントが設定されており、すべてのトラフィックはAWSネットワーク内に留まることが保証されています。

この問題を解決するために、セキュリティエンジニアが調査すべき最も可能性の高い原因を3つ選択してください。

  1. EC2インスタンスのセキュリティグループに、S3ゲートウェイエンドポイントからのインバウンドトラフィックを許可するルールがある
  2. S3バケットの暗号化に使用されているKMSキーのキーポリシーが、EC2インスタンスのIAMロールによるkms:Decryptアクションを許可していない
  3. KMSキーのキーポリシーが、EC2インスタンスのIAMロールによるkms:ListAliasesアクションを許可していない
  4. EC2インスタンスのIAMロールに、対象のS3バケットに対するs3:GetObjectアクションを許可するIAMポリシーがアタッチされていない
  5. EC2インスタンスのセキュリティグループに、S3ゲートウェイエンドポイントとKMSインターフェイスエンドポイントへのアウトバウンドトラフィック(ポート443)を許可するルールがない
  6. EC2インスタンスにIAMインスタンスプロファイルがアタッチされていない
(回答&解説) クリックで開閉

正解: 2, 4, 5

この問題は、VPCエンドポイント経由でKMS暗号化されたS3オブジェクトにアクセスするという、複合的なシナリオでのトラブルシューティング能力を問うています。問題を解決するには、以下の3つのレイヤーすべてが正しく設定されているかを確認する必要があります。

IAM権限 (S3): S3オブジェクト自体にアクセスする権限

IAM権限 (KMS): オブジェクトを復号するためにKMSキーにアクセスする権限

ネットワーク経路: EC2からS3/KMSへの通信を許可するファイアウォール設定

選択肢4: (IAM権限 – S3)

理由: 最も基本的な原因として、EC2インスタンスのIAMロールに、S3オブジェクトを取得するためのs3:GetObject権限が付与されていない可能性が考えられます。

選択肢2: (IAM権限 – KMS)

理由: オブジェクトはKMSで暗号化されているため、S3からデータを取得するだけでは不十分です。そのデータを読み取れるように復号するために、EC2のIAMロールが、暗号化に使われたKMSキーに対してkms:Decryptアクションを実行する権限を持っている必要があります。この許可はKMSキーのキーポリシーで設定します。

選択肢5: (ネットワーク経路)

理由: VPCエンドポイントがあっても、セキュリティグループは機能します。EC2インスタンスのセキュリティグループで、S3とKMSのエンドポイントへのアウトバウンド通信(HTTPS/443)が許可されていなければ、そもそもネットワーク的に到達できず、アクセスは失敗します。

2問目

あなたの会社は、AWSリソースの一部を監視・管理してもらうために、サードパーティのマネージドサービスプロバイダー(MSP)を雇いました。MSPは、自社のAWSアカウントを持っています。あなたは、MSPのIAMユーザーに対して、自社の「ステージング」アカウントへのアクセスを許可する必要があります。

あなたの会社のセキュリティポリシーでは、いかなるクロスアカウントアクセスも、一時的な認証情報を使用し(静的なIAMユーザーキーは不可)、かつ、ロールを引き受けるユーザーが自社のアカウントでMFA(多要素認証)を使用して認証済みであることを必須としています。

  1. 自社の「ステージング」アカウントにMSP用のIAMユーザーを作成する。アクセスキーとパスワードを生成し、このユーザーにMFAを有効化して、すべての認証情報をMSPに安全に提供する
  2. 自社の「ステージング」アカウントにMSPのアカウントを信頼するIAMロールを作成するが、MFAの条件は信頼ポリシーに追加せず、MSP側で自社のユーザーにMFAを強制することに依存する
  3. 自社の「ステージング」アカウントに、MSP-Access-RoleというIAMロールを作成する。ロールの信頼ポリシーで、PrincipalにMSPのAWSアカウントIDを指定する。さらに、{“Bool”: {“aws:MultiFactorAuthPresent”: “true”}}というConditionブロックを追加して、MFA認証済みのユーザーのみがロールを引き受けられるようにする
  4. 自社のAWS IAM Identity Center (SSO) インスタンスに、MSPのユーザーをローカルユーザーとして作成し、オンボーディングする
(回答&解説) クリックで開閉

正解: 3

理由: この方法は、提示されたすべてのセキュリティ要件を、自社のアカウント側で完全にコントロールしながら満たす、最も安全で適切なベストプラクティスです。

一時的な認証情報: IAMロールを使用することで、永続的な認証情報(アクセスキーなど)を共有することなく、一時的な認証情報でのアクセスを許可します。

MFAの強制: ロールの信頼ポリシーに”aws:MultiFactorAuthPresent”: “true”という条件を追加することで、このロールを引き受ける(AssumeRoleする)側のユーザーが、自身のMFAデバイスで認証済みであることを自社側で強制できます。この条件が満たされない場合、ロールの引き受けは失敗します。

3問目

ある企業では、開発者が自由にリソースを作成できるサンドボックスアカウントを運用しています。しかし、セキュリティ監査により、以下の2つの重大なコンプライアンス違反が頻繁に発生していることが判明しました。

1.意図せずパブリックに公開(「ブロックパブリックアクセス」が無効)されている Amazon S3 バケット 。

2.SSH (ポート 22) を、インターネット全体 ( 0.0.0.0/0 ) に開放している セキュリティグループ 。

セキュリティチームは、これらの非準拠リソースを 継続的に検知 し、検知した場合は 自動的に修復 する仕組みを導入する必要があります。例えば、S3 バケットは自動でパブリックアクセスをブロックし、セキュリティグループのルールは自動で削除したいと考えています。

この要件を、 カスタムコード(Lambda関数など)の開発を最小限に抑えて 実現する最適なソリューションはどれですか?

  1. Amazon GuardDuty を使用して脅威を検知します。検知した結果に基づき、AWS Lambda 関数をトリガーして非準拠リソースを修復します
  2. AWS CloudTrail を有効にして API 呼び出しを記録します。Amazon EventBridge ルールを設定し、 CreateBucket や AuthorizeSecurityGroupIngress などのイベントをキャッチして、AWS Lambda 関数をトリガーし修復アクションを実行します
  3. AWS Systems Manager Compliance を設定して、リソースのコンプライアンス状態をスキャンします。非準拠が検出された場合、Systems Manager State Manager の関連付けを実行してリソースを修復します
  4. AWS Config のマネージドルール( s3-bucket-public-read-prohibited や restricted-ssh など)を使用して、非準拠リソースを継続的に監視します。ルールの非準拠が検知された際に、 AWS Systems Manager Automation の定義済みランブック(例: AWS-DisableS3BucketPublicReadWrite )を修復アクションとして設定します
(回答&解説) クリックで開閉

正解: 4

理由: この選択肢は、要件を満たすためのAWSのベストプラクティスです。

継続的な監視 (AWS Config): AWS Config は、AWS リソースの設定を評価、監査、審査するためのサービスです。「S3 バケットがパブリックか?」といった 設定状態 を継続的にチェックするのに最適です。 s3-bucket-public-read-prohibited や restricted-ssh といった マネージドルール (AWSが定義済みのルール)が提供されているため、自分でコードを書く必要がありません。

自動修復 (SSM Automation): AWS Config は、ルールに違反した際に 修復アクション を自動実行する機能を持っています。その修復アクションとして、 AWS Systems Manager Automation の ランブック (自動化の手順書)を指定できます。

コーディング最小限: AWS-DisableS3BucketPublicReadWrite のような、一般的な修復作業(例: S3 のパブリックアクセスをブロックする)のためのランブックが AWS によって多数提供されています。これらを利用することで、Lambda 関数などで修復ロジックを 自分でコーディングする必要がなく 、「最小限の労力」という要件を完璧に満たします。

8まとめ

AWS Certified Security – Specialty (SCS-C03)試験は、クラウドセキュリティの高度な専門知識を証明するための、非常にやりがいのある資格です。試験範囲は広く、最新の生成AIセキュリティなども含まれていますが、AWS公式の試験ガイドやSkill Builderの学習プランを活用することで、体系的に準備を進めることが可能です。実務経験を活かしつつ、AWSの最新ベストプラクティスを深く理解することが合格への近道となるでしょう。

参照公式資料 クリックで開閉

AWS Certified Security – Specialty (SCS-C03) 試験ガイド / 公式ドキュメント。

AWS Certification Exam Guides (Appendix: Comparison of SCS-C02 and SCS-C03)

AWS Security Incident Response Guide

AWS Prescriptive Guidance – AWS Key Management Service best practices:

Amazon S3 の暗号化に関するドキュメント:

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingClientSideEncryption.html

Amazon S3 Glacier のボルトロックに関するドキュメント:

https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html

https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock-policy.html

https://aws.amazon.com/blogs/aws/glacier-vault-lock/

ブログ