セキュリティサービス＆リソース

AWSのセキュリティサービスとリソースは、お客様がツールを自分で運用することなく、脅威の検知・脆弱性の発見・データの保護・ネットワークトラフィックの制御・暗号化キーの管理を行えるようにAWSが提供するマネージドな構成要素だ。CLF-C02試験のタスク2.4では、説明されたシナリオに対して正しいAWSセキュリティサービスを選択できるかが試される。脅威検知はGuardDuty、脆弱性スキャンはInspector、S3での機密データ検出はMacie、DDoSはShield、Webエクスプロイトはとなり、クロスサービス集約はSecurity Hubとなる。

このページでは、CLF-C02の試験範囲に含まれるすべてのAWSセキュリティサービスを解説し、三大混同の罠（GuardDuty vs Inspector vs Macie）を説明し、試験で問われる必須暗記事項を定着させる。読み終わる頃には、シナリオを読んで保護対象のオブジェクトを見抜き、10秒以内に正しいAWSセキュリティサービスを特定できるようになる。

AWSセキュリティサービス＆リソースとは何か？

AWSセキュリティサービスは、AWS上で動くワークロードを六本の柱 — 脅威検知・脆弱性評価・データ分類・ネットワーク保護・アイデンティティとシークレット・集約 — にわたって保護するマネージドツールのファミリーだ。各AWSセキュリティサービスは特定のオブジェクトを標的とする — ログストリーム、EC2インスタンス、S3バケット、Webリクエスト、キー、シークレット、または検知結果 — そしてCLF-C02試験はほぼ常にシナリオ内でそのオブジェクトを名指しすることで手がかりを与える。

Cloud Practitioner試験はこれらのAWSセキュリティサービスの設定を求めない。どのAWSセキュリティサービスがどの問題を解決するかを認識し、GuardDuty・Inspector・Macieの定番の罠を回避することを求める。ドメイン2はCLF-C01の25%から今やCLF-C02の30%を占めるため、AWSセキュリティサービスへの習熟は学習時間あたりの効果が他のどのトピックよりも高い。

AWSセキュリティサービスが責任共有モデルのどこに位置するか

すべてのAWSセキュリティサービスは、責任共有モデルの「クラウド内のセキュリティ」側に存在する。AWSがツールを提供し、お客様がそれをオンにするかどうかと検知結果にどう対処するかを選択する。GuardDuty・Inspector・Macieはデフォルトでは動作しない。アカウントレベルで有効化する必要があり、AWS Organizationsのマスターアカウントではすべてのメンバーアカウントで一括して有効化できる。

CLF-C02試験がAWSセキュリティサービス問題を好む理由

コミュニティの複数ソースの調査では、「ユースケース別セキュリティサービスの選択」が最高頻度の試験シグナルだ（95件言及、+18%トレンド）。また、GuardDuty vs Inspector vs Macieの混同がドメイン2で最も多く報告される罠だという受験者レポートもある。これにより、AWSセキュリティサービスは試験全体で最も高い学習費用対効果を持つトピックとなっている。

やさしい解説: AWSセキュリティサービス

AWSアカウントをマンションビルだと考えてほしい。AWSセキュリティサービスは、住人を安全に保つためにビルが雇う専門家たちだ。各専門家は異なるものを監視し、CLF-C02試験はどの専門家を呼ぶかを問う。

Analogy 1 — 駅構内の警備チーム（設備・接客・巡回のアナロジー）

大規模な鉄道ターミナルを想像してほしい。GuardDutyはホーム全体の監視カメラチームだ。同じ改札を50回試みる人物や、不審な荷物を持ち出そうとする人物に気づく。部屋の中は調べない — 動きのパターン（CloudTrail APIコール、VPCフローログ、DNSログ）を見ている。Inspectorは設備保全の検査員だ。各車両（EC2インスタンスやコンテナイメージ）に入り込み、ドアロック・煙感知器・電気配線が安全基準を満たしているかを確認する — それが脆弱性評価だ。Macieはコインロッカーの安全検査員だ。すべてのロッカー（S3バケット）を開けて、パスポートのコピーやクレジットカード番号が清掃員の目に触れるところに放置されていないかを確認する。

比喩を続けよう。Detectiveはインシデント発生後に呼ばれる鑑識担当者だ。構内のすべてのカメラ映像を引き出し、誰が何をいつしたかを再構築する。Security Hubは駅長室の壁に貼られた全専門家のダッシュボードだ — 一枚の画面ですべてを管理する。Shieldは、入口に群れをなして押し寄せる不審者集団（L3/L4 DDoS）を対処するガードマンだ。WAFは各入場者の受付票をチェックして不審なものを弾く案内係だ（L7 Webリクエスト）。KMSはマスターキーの保管庫だ。Secrets Managerはスタッフが使う部屋の鍵を管理し、シフトごとに自動で鍵を交換するコンシェルジュだ。

Analogy 2 — 持ち込み資料ありの試験（試験アナロジー）

AWSセキュリティサービスのほとんどはすでに持っているものを読み取って機能するため、持ち込み資料ありの試験で考えると分かりやすい。GuardDutyはすでに持っているCloudTrail・VPCフロー・DNSログを読む — GuardDuty用に新しいログを書いたわけではない。スマートな「ノートの読み手」だ。Inspectorは試験官が採点基準（CVEデータベース）を使って回答用紙（EC2やコンテナイメージ）をチェックして誤答（脆弱性）を見つけるのと同じように、動作中のEC2とコンテナイメージを読む。Macieは試験官が持ち込み禁止の資料がないかパターンマッチングでスキャンするように、PIIルールに照らしてS3オブジェクトを読む。DetectiveはGuardDutyとCloudTrailから集めた結果を読み、試験のタイムラインを再構築する。教訓：AWSセキュリティサービスはリーダーだ。一行も追加のログは書かない。有効化するだけで、すでに持っているものを読んでくれる。

Analogy 3 — 電力グリッド（インフラアナロジー）

ワークロードを都市として、AWSセキュリティサービスをその安全を守るユーティリティとして考えよう。Shieldはすべての変電所の避雷針と過電圧保護装置だ — 建物に到達する前に大規模な電力サージ（L3/L4 ボリューム攻撃）を吸収する。WAFは建物内のブレーカーパネルで、特定の回路が悪いパターンを引いたとき（L7 SQLインジェクション、XSS）に自動でトリップする。KMSは都市内のすべての鍵付きパネルのインフラだ — 鍵を配布し、KMSは誰がどの鍵を使ったかを追跡する。CloudHSMは、より厳格な規制を満たすべき政府系建物のための金庫室だ。Secrets Managerはスタッフが安全な部屋を開けるために使うマスターキーサービスで、スケジュールに従って自動で鍵を交換する。GuardDutyは電力使用パターンの異常を検知するグリッド監視ステーションだ（一つの変電所が通常の100倍の電流を引いていれば = 暗号マイニングの疑い）。これらのAWSセキュリティサービスが合わさって多層防御を形成する：境界（Shield/WAF）、アイデンティティ（IAM）、監視（GuardDuty）、対応（Detective）、鍵管理（KMS/Secrets Manager）。

Core Operating Principles — AWSセキュリティサービスによる多層防御

AWSセキュリティサービスは意図的に重ねて使われる。単一のAWSセキュリティサービスがすべての脅威をカバーするわけではなく、試験はその重ね方を理解しているかどうかをテストする。

Layer 1 — エッジ保護（Shield + WAF）

アーキテクチャの端で、AWS ShieldがL3/L4 DDoSフラッドを止め、AWS WAFがL7 HTTP/HTTPSリクエストを悪意のあるパターンで検査する。Shield Standardは無料で自動的だ。Shield Advancedは24時間365日のDDoS対応チームとコスト保護を追加する。WAFはCloudFront・ALB・API Gateway・AppSyncにアタッチする。

Layer 2 — ネットワーク制御（Security Groups + NACL）

VPCの内部では、Security GroupsがステートフルなインスタンスレベルのFirewallとして機能し、NACLがステートレスなサブネットレベルのFirewallとして機能する。これらはネットワークサービスのトピックでカバーされるが、エッジのAWSセキュリティサービスとペアになる。

Layer 3 — 脅威検知（GuardDuty + Detective）

GuardDutyはCloudTrail・VPCフローログ・DNSログを既知の悪意あるパターンに対して継続的に分析する。Detectiveはそれらの検知結果の関係を視覚化して根本原因分析を支援する。

Layer 4 — 脆弱性とデータ（Inspector + Macie）

InspectorはEC2インスタンス・Lambda関数・コンテナイメージをCVEスキャンする。MacieはS3で機械学習を使って機密データ（PII、PHI、認証情報）を検出する。

Layer 5 — アイデンティティとキー（IAM、KMS、CloudHSM、Secrets Manager、Parameter Store）

IAMは誰が何をできるかを制御する。KMSは大規模な暗号化キーを管理する。CloudHSMは規制対象ワークロードのための専用ハードウェアキーモジュールを提供する。Secrets Managerはシークレットをローテーションする。Parameter Storeは設定値を保持する。

Layer 6 — 集約（Security Hub）

Security HubはGuardDuty・Inspector・Macie・IAM Access Analyzer・AWS Configの検知結果を単一の画面に集め、CSPMスタイルのコンプライアンススコアリングを行う。

Amazon GuardDuty — CloudTrail・VPCフロー・DNSの脅威検知

Amazon GuardDutyは、機械学習ベースの継続的な脅威検知AWSセキュリティサービスだ。エージェント不要で三つのデータソースを取り込む：CloudTrailの管理イベントとデータイベント、VPCフローログ、Route 53 DNSクエリログ。GuardDutyはこれらのソースをAWS脅威インテリジェンスフィードとMLモデルと照合し、「recon:IAMUser/MaliciousIPCaller」や「CryptoCurrency:EC2/BitcoinTool.B」のような検知結果を生成する。

GuardDutyが検知するもの

GuardDutyは脅威検知に特化しており、脆弱性評価ではない。典型的な検知結果には、異常な地域から使用された侵害された認証情報、既知の暗号マイニングプールに突然接続し始めたEC2インスタンス、APIに対する偵察パターン、異常な送信先へのデータ流出などが含まれる。シナリオに「異常なAPIアクティビティ」「侵害されたアカウント」「暗号マイニング」とあれば、答えはGuardDutyだ。

GuardDutyの料金体系

GuardDutyは分析されたCloudTrailイベント数とVPCフロー/DNSログのボリュームで課金される。コミット前に評価できる30日間の無料トライアルがある。AWS Organizationsのセットアップでは、委任管理者からすべてのアカウントにまたがってGuardDutyを有効化できる。

GuardDutyの暗記すべき重要事項

データソース = CloudTrail + VPCフローログ + DNSログ。エージェント不要。リージョン固有 — 各リージョンで個別にGuardDutyを有効化する必要がある。検知結果はSecurity HubとEventBridgeにネイティブで流れる。

Amazon Inspector — EC2・Lambda・コンテナの脆弱性評価

Amazon Inspectorは、自動化された脆弱性評価AWSセキュリティサービスだ。EC2インスタンス・Amazon ECRのコンテナイメージ・Lambda関数を、既知のCVEと意図しないネットワーク露出について継続的にスキャンする。InspectorはEC2上のSystems Managerエージェント経由でパッケージインベントリを読み取り、公開CVEデータベースと照合する。

Inspectorが検知するもの

Inspectorはソフトウェアの脆弱性を見つける — 古くなったOpenSSL、log4shell脆弱性のあるJavaライブラリ、欠落したカーネルパッチなど。ライブの脅威を監視するわけではない。「攻撃者が現れたとして、何が悪用可能か？」という問いに答える。

InspectorとレガシーInspector Classicの違い

Classic Inspectorは評価テンプレートを構築してスキャンをスケジュールする必要があった。Inspector（v2）は常時オンで、新しいEC2インスタンスが起動するか、コンテナイメージがECRにプッシュされると自動的にトリガーされる。試験目的では、InspectorとはCVEの継続的・自動スキャンを意味すると理解する。

Inspectorの暗記すべき重要事項

対象 = EC2、ECRコンテナイメージ、Lambda。EC2ではSystems Managerエージェントを使用する。脆弱性ごとにリスクスコアつきの検知結果を出力する。検知結果はSecurity HubとEventBridgeに流れる。脅威検知ではない — それはGuardDutyの役割だ。

Amazon Macie — Amazon S3の機密データ検出

Amazon Macieは、機械学習とパターンマッチングを使用してAmazon S3内の機密データを検出・保護するデータセキュリティ・データプライバシーAWSセキュリティサービスだ。MacieはPII（氏名、住所、社会保障番号）、PHI、認証情報（APIキー、トークン）、財務データ（クレジットカード番号、銀行口座番号）を識別する。

Macieが検知するもの

MacieはS3オブジェクトとバケットをスキャンし、「機密データを検出：3つのオブジェクトにクレジットカード番号が含まれる」や「バケットが公開読み取り可能でPIIを含む」のような検知結果を生成する。Macieはバケットレベルのセキュリティ態勢（パブリックアクセス状態・暗号化設定・外部アカウントへのレプリケーション）も評価する。

Macieを使うタイミング

試験での合図は「S3」と「機密データ」「PII」「コンプライアンススキャン」の組み合わせだ。「S3内のクレジットカードを見つける」または「S3内のデータを分類する」とあれば、答えはMacieだ。「CVEを見つける」とあれば、答えはInspectorだ。「異常なアクティビティ」とあれば、答えはGuardDutyだ。

Macieの暗記すべき重要事項

Amazon S3のみに対して機能する — MacieはEC2ファイルシステム・RDSデータベース・EFSをスキャンしない。マネージドデータ識別子（デフォルト）とカスタム識別子（独自の正規表現）を使用する。検知結果はSecurity HubとEventBridgeと統合する。

Amazon Detective — インシデント調査と根本原因分析

Amazon DetectiveはAWSセキュリティサービスの調査ツールだ。GuardDuty・CloudTrail・VPCフローログからデータを取り込み、時間経過とともにリソースの関係・ネットワーク動作・アイデンティティアクションのインタラクティブなグラフを構築する。GuardDutyの検知結果が発火したとき、Detectiveを使うとクリックスルーしてインシデントウィンドウ中のすべてのAPIコール・ネットワークフロー・関連するIAMプリンシパルを確認できる。

Detective vs GuardDuty

GuardDutyは「02:14 UTCに何か悪いことが起きた」と言う。Detectiveは「それに至るまでの全体像、その後何が起きたか、他にどのリソースが関係しているか」を示す。Detectiveは独自の検知結果を生成しない — GuardDutyからの検知結果を視覚化する。試験でシナリオが「調査する」「根本原因」「どのユーザーが関係していたか」を問えば、答えはDetectiveだ。

Detectiveの暗記すべき重要事項

GuardDutyが有効になっていることが前提だ。SIEMソリューションを置き換えるわけではないが、AWSネイティブのインシデントグラフを提供する。エンドツーエンドの検知−調査−集約ワークフローのためにSecurity Hubとの組み合わせが最適だ。

AWS Shield — L3/L4のDDoS軽減

AWS ShieldはDDoS保護AWSセキュリティサービスだ。二つの階層がある。

Shield Standard — 無料・常時オン

Shield Standardはすべての料金追加なしですべてのAWS顧客に対して自動的に有効化される。最も一般的なネットワーク層とトランスポート層のDDoS攻撃（SYNフラッド、UDP反射）からすべてのAWSリソースを保護し、特にCloudFront・Route 53・Global Acceleratorに対して最適化されている。

Shield Advanced — 有料・エンタープライズグレード

Shield Advancedは月額3,000 USD／組織＋データ転送料金がかかる。以下を追加する：AWS Shield Response Team（SRT）への24時間365日アクセス、アプリケーション層攻撃の強化された検知、コスト保護（AWSがDDoSイベント中のスケーリング関連費用を払い戻す）、追加のWAF費用なしのWAF統合。

Shieldの暗記すべき重要事項

Standard = 無料、L3/L4、自動。Advanced = 月額3,000 USD、L3/L4/L7対応チーム、コスト保護。エッジ（CloudFront、Route 53、ALB、EC2 Elastic IP、Global Accelerator）で機能する。

AWS WAF — Layer 7 Webアプリケーションファイアウォール

AWS WAFはL7で動作するWebアプリケーションファイアウォールAWSセキュリティサービスだ。HTTP/HTTPSリクエストを検査し、定義したルール（SQLインジェクション、XSS、地理的IP制限、レート制限）またはAWS MarketplaceからサブスクライブしたAWSマネージドルールに基づいてブロックする。

WAFがアタッチするサービス

WAFは四つのAWSサービスにのみアタッチする：Amazon CloudFront、Application Load Balancer、Amazon API Gateway、AWS AppSync。WAFはEC2に直接・NLB・ECSタスクにはアタッチしない。

WAFルールの種類

カスタムルールを書くか、AWSマネージドルールグループ（OWASP Top 10、ボット、既知の悪意ある入力）を使うか、AWS Marketplace経由のサードパーティマネージドルールをサブスクライブできる。レートベースのルールで、5分間にN回を超えるリクエストを送信したIPを自動的にブロックできる。

Shield vs WAF — 定番のペア

ShieldはL3/L4ボリュームDDoSを処理する。WAFはL7アプリケーション層のエクスプロイトとボット制御を処理する。両者はよく一緒に使われる：Shieldがフラッドを吸収し、WAFが個々の悪意あるリクエストシグネチャをブロックする。Shield Advancedには追加料金なしで無制限のWAFが含まれる。

AWS Security Hub — 集約とCSPMスコアリング

AWS Security Hubは集約のAWSセキュリティサービスだ。GuardDuty・Inspector・Macie・IAM Access Analyzer・AWS Firewall Manager・AWS Config・サードパーティのAWS Marketplaceツールからの検知結果を一つの正規化された形式（AWS Security Finding Format、ASFF）に取り込む。Security HubはAWSアカウントに対してコンプライアンス標準（AWS Foundational Security Best Practices、CIS AWS Foundations Benchmark、PCI DSS）も実行し、コンプライアンススコアを生成する。

Security Hubが試験で重要な理由

シナリオに「中央ダッシュボード」「シングルペインオブグラス」「GuardDutyとInspectorの検知結果を集約する」「CISコンプライアンススコア」とあれば、答えはSecurity Hubだ。GuardDutyとSecurity Hubを混同する受験者がいる。GuardDutyは脅威検知の結果のみを表示するが、Security Hubはすべてのセキュリティサービスの検知結果とコンプライアンススコアを表示するということを覚えておく。

Security Hubの暗記すべき重要事項

リージョンごとに有効化する。AWS Organizationsとネイティブに統合。検知結果はASFFに正規化される。CIS・PCI DSS・FSSBPの自動コンプライアンス標準を実行する。

AWS KMSとAWS CloudHSM — 暗号化キー管理

AWS KMS（Key Management Service）

AWS KMSはデフォルトのマネージド暗号化キーAWSセキュリティサービスだ。KMSはFIPS 140-2 Level 3のバックアップで対称・非対称キーを発行・管理する。暗号化を提供するすべてのAWSサービス（S3、EBS、RDS、DynamoDB、Lambda環境変数）はKMSと統合する。キーごとに月額料金とAPIコールごとの料金を支払う。

AWS CloudHSM

CloudHSMは、FIPS 140-2 Level 3シングルテナント分離を必要とする顧客（規制対象の業界、決済処理）のための専用シングルテナントハードウェアセキュリティモジュールを提供する。CloudHSMはKMSよりも高価で運用負荷が高い — クラスターを自分で管理する。

KMS vs CloudHSMの試験での選び方

デフォルトの選択肢 = KMS。規制またはコンプライアンスが専用のHSMを要求 = CloudHSM。キーのクロスリージョンレプリケーション = KMS Multi-Region Keys。

AWS Secrets Manager vs Systems Manager Parameter Store

どちらのAWSセキュリティサービスも設定値を保存するが、真のシークレット管理サービスはどちらか一方だ。

AWS Secrets Manager

Secrets Managerはデータベースパスワード・APIキー・OAuthトークンのようなシークレット用に特化している。RDS・Redshift・DocumentDBのLambda関数を使った自動ローテーションをサポートする。シークレットごとに月額料金とAPIコールの料金がかかる。ローテーションが必要な場合に最適だ。

AWS Systems Manager Parameter Store

Parameter Storeは設定パラメータを保持し、シークレットも保持できる。標準パラメータは無料、高度なパラメータはパラメータごとに料金がかかる。Parameter Storeはネイティブにシークレットをローテーションしない。低コストの設定が必要で自動ローテーションが不要な場合に最適だ。

どちらを選ぶか

30日ごとにローテーションが必要なデータベースパスワード → Secrets Manager。フラグまたは環境固有の設定文字列 → Parameter Store。シナリオに「ローテーション」とあれば、答えは常にSecrets Managerだ。

サポートサービス — ACM、Cognito、Firewall Manager、Network Firewall

AWS Certificate Manager（ACM）

ACMはCloudFront・ALB・API Gateway・Elastic BeanstalkでのパブリックTLS証明書を無料で発行・管理する。内部PKIのためのプライベートCA機能もあるが、これは別途課金される。

Amazon Cognito

CognitoはWebとモバイルアプリのユーザーアイデンティティと認証を提供する — ユーザープール（サインアップ/サインイン）とアイデンティティプール（AWSへのフェデレーテッドアクセス）。IAMと同じ層にはない。Cognitoはアプリケーションユーザーのためのものであり、IAMはAWSプリンシパルのためのものだ。

AWS Firewall Manager

Firewall Managerは、AWS OrganizationをまたいでWAFルール・Shield Advanced・Security Groups・Network Firewallポリシーを一元的に管理する。

AWS Network Firewall

Network FirewallはVPCレベルのマネージドステートフルL3-L7ファイアウォールだ。VPC間またはインターネットへのトラフィックのためのマネージドIDS/IPSアプライアンスと考えてよい。

セキュリティサービスとガバナンスサービスのスコープ境界

AWSセキュリティサービス（タスク2.4）は検知・ブロック・分類を行う。ガバナンスサービス（タスク2.2）は文書化・監査・ポリシー制御を行う。

タスク2.4（セキュリティサービス）に属するもの

GuardDuty、Inspector、Macie、Detective、Shield、WAF、Security Hub、KMS、CloudHSM、Secrets Manager、ACM、Cognito、Firewall Manager、Network Firewall。

タスク2.2（ガバナンスとコンプライアンス）に属するもの

AWS Config（構成記録）、AWS Organizations（アカウント構造とSCP）、AWS Control Tower（ランディングゾーン）、AWS Artifact（コンプライアンスレポート）、AWS Audit Manager（監査ワークフロー）、CloudTrail（API監査ログ）、CloudWatch（運用監視）。

試験は意図的にこの境界を越えることがある — CloudTrailやConfigについての質問がセキュリティシナリオに登場する。覚えておく原則：ツールが検知またはブロックするなら、セキュリティサービスだ。ツールが記録または監査するなら、ガバナンスサービスだ。

よくある試験の罠 — 受験者が失点するポイント

罠1 — GuardDutyでEC2のCVEを検知しようとする

これは誤りだ。GuardDutyはログを読んで脅威を検知する。EC2インスタンスのソフトウェア脆弱性をスキャンするわけではない。CVEスキャンにはInspectorが必要だ。

罠2 — MacieでS3以外のデータをスキャンしようとする

これは誤りだ。MacieはAmazon S3のみをスキャンする。MacieはEFS・EC2ファイルシステム・DynamoDB・RDSをスキャンしない。

罠3 — WAFでL3/L4 DDoSを処理しようとする

これは誤りだ。WAFはL7のみだ。ボリューム型のL3/L4 DDoSはShieldの領域だ。

罠4 — Security Hubが検知結果を生成すると思う

これは誤りだ。Security Hubは集約器だ。GuardDuty・Inspector・Macieなどからの検知結果をインポートする — 独自の脅威検知結果は作成しない（コンプライアンスチェックの検知結果は作成するが、試験の慣例ではSecurity Hubを集約レイヤーとして扱う）。

罠5 — ローテーションのためにParameter Storeを使おうとする

Parameter Storeはネイティブにシークレットをローテーションしない。シナリオに自動ローテーションが言及されたら、Secrets Managerを選ぶ。

AWSセキュリティサービスの暗記すべき数字と重要な事実

これが暗記ブロックだ。ここに挙げた正確な数字が試験問題の鍵となる。

GuardDutyの事実

三つのデータソース：CloudTrail、VPCフローログ、DNSログ。エージェント不要。30日間の無料トライアル。リージョン固有。

Inspectorの事実

三つの対象：EC2、ECRイメージ、Lambda。EC2ではSystems Managerエージェントを使用。継続的な自動スキャン。

Macieの事実

一つの対象：Amazon S3。マネージドとカスタムデータ識別子を使用。30日間の無料トライアル。

Shieldの事実

Standard = 無料、自動。Advanced = 組織あたり月額3,000 USD＋データ転送費用。

WAFの事実

CloudFront、ALB、API Gateway、AppSyncにアタッチ。NLBやEC2への直接アタッチは不可。

Security Hubの事実

AWS Security Finding Format（ASFF）に正規化。CIS、PCI DSS、Foundational Security Best Practicesを実行。

KMSとSecrets Managerの事実

KMS = FIPS 140-2 Level 3マルチテナント。CloudHSM = FIPS 140-2 Level 3シングルテナント。Secrets ManagerはLambda経由でローテーション。Parameter Storeはネイティブにローテーションしない。

AWSセキュリティサービスと関連概念の比較表

この比較を声に出して読んで差異化を定着させよう。

脅威 vs 脆弱性 vs データ

GuardDuty = 脅威。Inspector = 脆弱性。Macie = データ。オブジェクトを暗記せよ。

ログ vs マシン vs バケット

GuardDutyはログを監視する。Inspectorはマシンをスキャンする。MacieはバケットをスキャンするA。対象オブジェクトが異なれば、AWSセキュリティサービスも異なる。

エッジL4 vs エッジL7

Shield = L3/L4 DDoS。WAF = L7エクスプロイト。層が異なれば、AWSセキュリティサービスも異なる。

集約器 vs 調査員

Security Hub = 集約器（多くの検知結果、一つの画面）。Detective = 調査員（一つのインシデント、全体のグラフ）。

デフォルトキー vs 専用HSM

KMS = デフォルトのマネージドキー。CloudHSM = 専用シングルテナントハードウェア。コンプライアンスがCloudHSMを要求しない限りKMSを選ぶ。

シークレット vs パラメータ

Secrets Manager = ローテーション。Parameter Store = 低コストの設定。ローテーションが必要なときはSecrets Managerを選ぶ。

練習問題リンク — タスク2.4対応演習

準備ができたら、CLF-C02の問題バンクをtopic_slug=security-services-resourcesでフィルタリングする。集中ドリルでカバーすべき内容：

ドリルセット1 — 三択の選択

GuardDuty・Inspector・Macieの曖昧なシナリオからの選択を10問解く。試験前に90%以上の正解率を目指す。

ドリルセット2 — エッジ保護

Shield Standard vs Shield Advanced vs WAFのアタッチポイントに関する5問。どのAWSセキュリティサービスがどのリソースにアタッチするかに集中する。

ドリルセット3 — 集約と調査

Security Hub vs Detectiveに関する5問。集約器vs調査員の分割を暗記する。

ドリルセット4 — 暗号化とシークレット

KMS vs CloudHSMとSecrets Manager vs Parameter Storeに関する5問。これらはドメイン2で最も一貫したAWSセキュリティサービスのペアリングだ。

FAQ — AWSセキュリティサービスよくある質問

Q1 — GuardDuty・Inspector・Macieはそれぞれ別に有効化する必要があるか、それとも一つをオンにすれば全部オンになるか？

各AWSセキュリティサービスを、カバレッジが必要な各リージョンで個別に有効化する必要がある。AWS Organizationsが助けになる — GuardDuty・Inspector・Macieを委任管理者アカウントからすべてのメンバーアカウントにまたがって有効化できる。ただし、決定はサービスごと・リージョンごとだ。

Q2 — Security Hubがあればまだ GuardDutyが必要か？

必要だ。Security Hubは集約器であり、独自の脅威検知結果を生成しない。GuardDutyがなければ、Security Hubに集約する脅威データがない。標準的なアーキテクチャはGuardDuty + Inspector + Macie + Security Hubだ。

Q3 — 無料のAWSセキュリティサービスはどれか？

Shield Standardは常に無料だ。Trusted Advisorのコアチェックは無料だ。他のほとんどのAWSセキュリティサービス（GuardDuty、Inspector、Macie、Security Hub、WAF、Shield Advanced、KMSカスタムキー、Secrets Manager、CloudHSM）は有料だ。ただし、GuardDuty・Inspector・Macieはそれぞれ最初に有効化したときに30日間の無料トライアルを提供する。

Q4 — MacieはS3のみ対応だが、RDSやEFSの機密データはどうスキャンするか？

MacieはS3のみだ。RDSの場合は、データベースレベルの監査（RDS拡張モニタリング、データベースアクティビティストリーム）とCloudTrailを活用する。EFSの場合、AWSネイティブのPIIスキャナーはない — サードパーティツールを使用するか、データをS3にコピーしてMacieでスキャンする。試験でここまで深掘りされることはないが、覚えておく：Macie = S3のみ。

Q5 — Shield StandardとShield Advancedの試験での違いは何か？

Standard = 無料、自動、L3/L4、一般的な攻撃。Advanced = 組織あたり月額3,000 USD、24時間365日 Shield Response Team、コスト保護、無制限のWAF、L7攻撃サポート。シナリオの合図：「DDoS中のコスト保護」= Shield Advanced。

Q6 — KMSよりもCloudHSMを選ぶのはいつか？

デフォルトは常にKMSだ。コンプライアンス（FIPS 140-2 Level 3シングルテナント、特定の金融または政府系ワークロード）が専用ハードウェアモジュールを明示的に要求する場合のみCloudHSMを選択する。CloudHSMはより高価で運用負荷が高い — クラスターを自分で管理する。

Q7 — AWS ConfigとSecurity Hub — どちらを選ぶか？

Configは時間経過とともにAWSリソースの構成変更を記録する（ガバナンス）。Security Hubはセキュリティの検知結果とコンプライアンススコアを集約する（セキュリティ）。両者は統合する：Security HubはConfigのコンフォーマンスパックの検知結果を取り込む。試験で「構成変更を追跡する」とあれば、Configを選ぶ。「セキュリティの検知結果を一元化する」とあれば、Security Hubを選ぶ。

Q8 — AWS WAFはどのLoad Balancerでも使えるか？

使えない。WAFがアタッチできるのはApplication Load Balancer（ALB）・CloudFront・API Gateway・AppSyncのみだ。Network Load Balancer（NLB）はL4で動作し、WAFはL7のリクエストコンテンツを必要とするため、WAFをサポートしない。

参考資料 — AWSセキュリティサービスの公式ドキュメント

CLF-C02の範囲を超えた深い理解には、以下のAWSセキュリティサービスガイドが権威ある情報源だ：GuardDutyユーザーガイド、InspectorユーザーガイドAMacie、DetectiveユーザーガイドA、Shield開発者ガイドAWAF開発者ガイドA、Security Hubユーザーガイド、KMS開発者ガイドA、Secrets Managerユーザーガイド。ブックマークするがエンドツーエンドで読もうとしないこと — CLF-C02では各AWSセキュリティサービスの「What is ...」と「Use cases」ページだけで十分だ。

AWSセキュリティブログ（aws.amazon.com/blogs/security）は毎週深掘り記事を公開しており、これらのAWSセキュリティサービスが連携する仕組みの理解を加速させる。AWS Well-Architected Security Pillarホワイトペーパーはドメイン2全体の背後にあるベストプラクティスの思考を固める — 必読だ。

まとめ — AWSセキュリティサービスチートシート

試験当日、セキュリティシナリオを見たら、頭の中でこの判断フローを実行せよ：

1. シナリオ内のオブジェクトは何か？ログ、マシン、バケット、リクエスト、キー、シークレット、または検知結果？
2. ログ（CloudTrail、VPCフロー、DNS）→ GuardDuty。
3. マシン（EC2、Lambda、コンテナイメージ）→ Inspector。
4. バケット（PIIを含むS3）→ Macie。
5. リクエスト（HTTP/HTTPS、L7）→ WAF。
6. フラッド（L3/L4ボリューム）→ Shield。
7. 検知結果の集約 → Security Hub。インシデントのグラフ → Detective。
8. 暗号化キー → KMS（デフォルト）またはCloudHSM（規制対象）。
9. ローテーションが必要なシークレット → Secrets Manager。静的な設定 → Parameter Store。

この九つの分岐を習得すれば、タスク2.4のすべてのAWSセキュリティサービス問題に正確に答えられる。AWSセキュリティサービスは推論より認識が重要だ。オブジェクトを学べば、正しいAWSセキュリティサービスが自然と導き出される。