CloudCamp|クラウド資格のWEB問題集
AWS Certified Security – Specialty
(SCS-C02)完全対策
AWS 環境のセキュリティ設計・実装・運用を問うスペシャリティ試験。IAM・KMS・GuardDuty・Security Hub・Macie など主要セキュリティサービスを横断する 500 問の問題集で、コンプライアンス対応・インシデント対応・暗号化・監査を完全網羅します。
500問収録
ドメイン別演習
模擬試験対応
24時間AIメンター
問題のサンプル(クリックで正解表示)
セキュリティ スペシャリティ
CloudCampでは、こんなシナリオベースの問題と詳しい解説で実力をつけられます。
SCS-C02 サンプル #1
開発者に S3 の特定バケットへの読み取りアクセスのみ許可したい。同時に EC2 や他リソースへのアクセスを禁止する最適な実装は?
A. AdministratorAccess を付与し信頼ベースで運用
B. IAM Policy で s3:GetObject を該当バケットの ARN に限定
C. S3 Bucket Policy のみで制御
D. 開発者ごとに IAM ユーザーを増やす
B. IAM Policy で s3:GetObject を該当バケットの ARN に限定
C. S3 Bucket Policy のみで制御
D. 開発者ごとに IAM ユーザーを増やす
正解:B
IAM Policy で Resource を該当バケット ARN に限定(最小権限)し、Action を s3:GetObject のみに絞るのが最適。これにより他のリソースへの一切のアクセスが拒否されます。
SCS-C02 サンプル #2
S3 バケット内のオブジェクトを、AWS が自動で鍵を管理する方式で暗号化したい。最もシンプルな方法は?
A. SSE-S3(AWS マネージド鍵)
B. SSE-KMS(カスタマー管理 CMK)
C. SSE-C(カスタマー提供鍵)
D. アプリケーション側で暗号化
B. SSE-KMS(カスタマー管理 CMK)
C. SSE-C(カスタマー提供鍵)
D. アプリケーション側で暗号化
正解:A
SSE-S3 は AWS が鍵を完全管理する最もシンプルな S3 暗号化方式。バケット設定で有効化するだけで透過的に暗号化されます。SSE-KMS は監査ログが必要な場合、SSE-C は顧客が鍵を保持する場合の選択肢です。
SCS-C02 サンプル #3
Multi-Account 環境で、全アカウントの S3 バケットがパブリックアクセス禁止されているかを継続的に監査したい。最適な構成は?
A. CloudTrail のイベント分析
B. Config Rule(s3-bucket-public-read-prohibited)を Organizations へ展開
C. Lambda を全アカウントで定期実行
D. GuardDuty で監視
B. Config Rule(s3-bucket-public-read-prohibited)を Organizations へ展開
C. Lambda を全アカウントで定期実行
D. GuardDuty で監視
正解:B
AWS Config の事前定義ルール s3-bucket-public-read-prohibited / s3-bucket-public-write-prohibited を Organizations の Conformance Pack として展開すれば、全アカウントで継続監査+非準拠時のアラートが可能です。
ドメイン別問題演習
SCS-C02の出題範囲に沿って、苦手なドメインから集中的に学習できます。各カードから該当するWEB問題集ページへ移動します。
CloudCampの特徴
公式試験ガイド準拠
6ドメイン・出題比率を公式準拠で配分
詳しい解説
正解の根拠・比較表・不正解理由まで
有料会員
24時間AIメンター
疑問点をいつでもAIに質問・即解決
有料会員
本番形式の模擬試験
タイマー付き模試で実力測定
スマホ対応
通勤・休憩中にスキマ学習
最新版に対応
SCS-C02最新出題傾向を反映
AWS Certified Security – Specialty(SCS-C02)とは
AWS Certified Security – Specialty(SCS-C02)は、Amazon Web Servicesが提供する専門知識レベルの認定資格です。AWS セキュリティ設計・運用・コンプライアンス対応の専門知識を体系的に証明する資格として、業界で広く認知されています。
なぜ今、SCS-C02が注目されているのか
クラウドセキュリティ事故は年々増加し、企業にとってセキュリティ専門エンジニアの確保は最重要課題となっています。SCS-C02 は AWS 認定セキュリティ専門資格として国内外で高く評価され、年収アップ・転職市場での差別化に直結します。
- セキュリティエンジニア:AWS セキュリティの体系的証明
- SRE / DevOps エンジニア:DevSecOps スキル強化
- クラウドアーキテクト:セキュアな設計力の証明
- コンプライアンス担当:監査・統制業務の専門性
SCS-C02 試験概要(2026年最新版)
| 項目 | 内容 |
|---|---|
| 試験コード | SCS-C02 |
| 正式名称 | AWS Certified Security – Specialty |
| レベル | SPECIALTY(専門知識) |
| 受験料 | 300 USD(税抜) |
| 試験時間 | 170分 |
| 問題数 | 65問 |
| 出題形式 | 単一選択、複数選択、ケーススタディ |
| 合格スコア | 750/1000(約75%) |
| 受験言語 | 日本語、英語、中国語、韓国語、ポルトガル語等 |
| 受験方法 | ピアソンVUEテストセンター / オンライン監督試験 |
| 認定有効期間 | 3年間 |
| 前提資格 | なし |
⚠️ 試験料・試験範囲は変更される場合があります。最新情報は必ずAWS公式サイトでご確認ください。
出題範囲:6つのドメインを完全解説
SCS-C02は6つのドメインから出題されます。各ドメインの出題比率と頻出ポイントを把握して、メリハリのある学習を進めましょう。
ドメイン1:脅威検出とインシデント対応
出題比率 14%
頻出キーワード
- GuardDuty(Finding カテゴリ)
- Detective・Security Hub
- AWS Incident Response Playbook
- EventBridge による自動対応
- Systems Manager Incident Manager
- Forensics(インシデント調査)
💡 学習のコツ:GuardDuty の Finding タイプ別の対応手順を覚える。EventBridge + Lambda での自動対応は頻出パターン。
ドメイン2:セキュリティロギングと監視
出題比率 18%
頻出キーワード
- CloudTrail(管理イベント / データイベント / Insights)
- VPC Flow Logs
- S3 Access Logs・Server Access Logs
- CloudWatch Logs Insights
- AWS Config(ルール / Aggregator)
- Centralized Logging(マルチアカウント)
💡 学習のコツ:CloudTrail データイベントとマネジメントイベントの違い、コスト構造は頻出。Config Aggregator でのマルチアカウントログ集約は鉄板パターン。
ドメイン3:インフラストラクチャセキュリティ ── 最重要
出題比率 20%
頻出キーワード
- VPC Security(SG・NACL・Endpoint)
- WAF・Shield・Network Firewall
- Inspector(EC2 / ECR / Lambda)
- Patch Manager・Compliance
- EC2 Instance Connect・Session Manager
- Container Security(ECR Scan)
💡 学習のコツ:Inspector の評価対象(脆弱性・ネットワークアクセス)、ECR イメージスキャンの自動化は頻出。Session Manager で踏み台不要にする設計も。
ドメイン4:ID とアクセス管理
出題比率 16%
頻出キーワード
- IAM Policy(識別子 / 条件キー)
- IAM Identity Center(旧 SSO)
- Permission Boundary・SCP
- Cognito(User Pools / Identity Pools)
- AssumeRole・External ID
- ABAC(Attribute-Based Access Control)
💡 学習のコツ:Permission Boundary と SCP の違い、最小権限の実装パターンは頻出。ABAC のタグベースアクセス制御も近年出題増。
ドメイン5:データ保護
出題比率 18%
頻出キーワード
- KMS(CMK・Customer Managed / AWS Managed)
- Secrets Manager(自動ローテーション)
- S3 暗号化(SSE-S3 / SSE-KMS / SSE-C)
- Macie(PII データ検出)
- Aurora 暗号化・DynamoDB 暗号化
- CloudHSM・暗号鍵管理
💡 学習のコツ:KMS の鍵タイプ、Grants、Key Policy vs IAM Policy の優先順位は頻出。Macie で PII / PHI を検出する自動化は鉄板。
ドメイン6:管理とセキュリティガバナンス
出題比率 14%
頻出キーワード
- Organizations・SCP・OU 設計
- Control Tower・Landing Zone
- AWS Audit Manager・Artifact
- Config Conformance Pack
- Tagging Strategy・Cost Allocation Tags
- コンプライアンス(HIPAA / PCI / SOC)
💡 学習のコツ:SCP は『拒否』のホワイトリスト / ブラックリストで設計。Audit Manager のコンプライアンス自動評価機能は新出題範囲。
学習レベル別・想定勉強時間
| あなたの状況 | 想定勉強時間 | 勉強期間の目安 |
|---|---|---|
| セキュリティ未経験 | 180〜220時間 | 4〜6ヶ月 |
| SAA-C03 取得済み | 120〜150時間 | 3〜4ヶ月 |
| セキュリティ実務 1 年以上 | 80〜100時間 | 2〜2.5ヶ月 |
| CISSP 等保有・AWS 初学 | 100〜120時間 | 2.5〜3ヶ月 |
| AWS 業務経験 3 年以上 | 60〜80時間 | 1.5〜2ヶ月 |
合格までの最短勉強法(4ステップ)
STEP 1
試験ガイドを読み込む
所要時間:1〜2時間
最初にやるべきことはAWS公式の試験ガイド(Exam Guide)の精読です。各ドメインで何が問われるか、対象となるAWSサービスは何か、試験の意図が明確に書かれています。これを読まずに学習を始めると、的外れな範囲に時間を費やすことになります。
STEP 2
基礎知識のインプット
所要時間:20〜40時間
推奨教材
- AWS Skill Builder(無料):「Exam Prep Standard Course: AWS Certified Security – Specialty」が公式提供。試験範囲を体系的に学べます。
- AWS Black Belt:主要サービスごとの技術解説資料。実装イメージを掴むのに最適。
- 書籍:日本語のSCS-C02対策本は近年充実。最新版を選んで通読しましょう。
STEP 3
問題演習で知識を定着 ── 最重要
所要時間:40〜80時間
SCS-C02 は『複数サービスの組み合わせ最適解』を問う設計問題が中心。CloudCamp の SCS-C02 問題集(500問収録)は、IAM / KMS / GuardDuty / Config / WAF など全領域を統合した実務的シナリオを完全網羅します。
- 1周目:全問題を時間をかけて解き、解説を熟読する
- 2周目:間違えた問題のみ再演習、知識の穴を埋める
- 3周目:正答率85%以上を目指して総仕上げ
💡 3周完了して正答率85%安定 = 合格圏内の目安です。本試験の合格スコアに対して余裕を持たせた基準で、これを超えれば合格率は90%以上になります。
STEP 4
模擬試験で時間配分を体感
所要時間:3〜5時間
本試験は170分で65問、1問あたりの目安時間を意識する訓練が必要です。わかる問題は素早く処理し、迷う問題に時間を残しましょう。
- AWS公式の練習問題(Official Practice Question Set)を時間計測して解く
- CloudCampの模擬試験で本番同様の時間配分を体感する
- 試験の前日は新しい問題に手を出さず、間違えた問題の見直しに集中する
関連資格との違いと、おすすめ取得順序
SCS-C02 vs SAA-C03
SAA-C03 は AWS 全般、SCS-C02 はセキュリティ特化のスペシャリティ。SAA-C03 取得後にセキュリティ領域を深掘りしたい人が SCS-C02 へ進むのが王道です。
SCS-C02 vs CISSP
CISSP はベンダー非依存のセキュリティ理論、SCS-C02 は AWS 実装中心。両方取得することで、理論と実装を網羅したセキュリティプロフェッショナルとして強力な差別化が可能です。
SCS-C02 vs ANS-C01
SCS-C02 はセキュリティ全般、ANS-C01 はネットワーク特化。ネットワークセキュリティ領域では重複しますが、SCS-C02 は IAM / KMS / GuardDuty などより広範な領域をカバーします。
おすすめ取得順序
- セキュリティエンジニア志望:SAA-C03 → SCS-C02
- DevSecOps 志望:DVA-C02 → SOA-C03 → SCS-C02
- セキュリティアーキテクト:SAP-C02 → SCS-C02
よくある質問(FAQ)
SCS-C02 はセキュリティ実務経験が必須ですか?
前提資格ではありませんが、最低 1 年程度のセキュリティ業務経験を強く推奨。IAM ポリシー設計、KMS 暗号化、CloudTrail 監査ログ分析など、実務で触れる機会のあるサービスが頻出します。
SAA-C03 を持っていないと厳しいですか?
前提資格ではありませんが、SAA-C03 レベルの AWS 基礎知識は必須。VPC・IAM・S3 等の基本サービス操作を理解した上で挑戦してください。
CISSP を持っていれば有利ですか?
理論面では大きく有利です。CISSP のリスク管理・暗号理論・アクセス制御の知識は SCS-C02 でもそのまま活用可能。ただし、AWS 固有のサービス(KMS / GuardDuty 等)は別途学習が必要です。
試験時間 170 分は足りますか?
1 問あたり 2 分半のペース。長文シナリオ問題が多いため、要件を素早く抽出する読解力が必要です。
実機経験はどれくらい必要ですか?
IAM ポリシー、KMS、Config Rules、GuardDuty、Security Hub の構築経験を強く推奨。ハンズオン経験ゼロの場合は学習時間が 1.5 倍程度かかります。
認定の有効期限はありますか?
3 年間有効。期限前に同等以上の資格に合格すれば自動更新されます。
不合格の場合、すぐに再受験できますか?
14 日間の待機期間。スペシャリティ試験は再受験料も高額(300 USD)のため、しっかり準備してから挑戦を。