AWS Security Specialty (SCS-C03)：難易度と学習方法

SCS-C03は、ほとんどの人が予想するよりも難しい試験です。プロフェッショナルレベルほどではありませんが、ソリューションアーキテクトアソシエイトよりも難しく、その失敗の仕方も異なります。受験者は質問がトリッキーだから失敗するのではなく、準備していた以上にトピックが深く掘り下げられるため失敗します。KMSキーポリシー、IAM条件ロジック、GuardDutyの検出結果、複数アカウントの脅威検出など、これらは表面的なものではありません。試験は、単に説明するだけでなく、実際に運用できることを求めています。

もしSAA-C03を受験して「AWSセキュリティは知っている」と思ったなら、この専門試験はすぐにあなたの認識を改めさせるでしょう。

履歴の概要：SCS-C02からSCS-C03への移行

以前のバージョンであるSCS-C02は、2023年10月に廃止されました。現在のSCS-C03は2023年7月にリリースされ、AWS Security Hub、GuardDutyの拡張された検出セット（EKS監査、RDSログインイベント、Lambdaランタイム）、AWS Network Firewall、および公式のSSOソリューションとしてのIAM Identity Center（旧AWS SSO）が明示的に範囲に追加されました。SCS-C02向けに書かれた古い学習ガイドは大部分が依然として適用可能ですが、新しい検出サービスについてはカバーしていません。もしコースやガイドにIAM Identity Centerが言及されていない場合、それは古くなっています。

形式

65問、170分、$300、合格スコアは750/1000（スケール採点）。6つのドメインがあり、それぞれの比重は以下の通りです。

• 脅威検出とインシデント対応 (検出 16% + インシデント対応 14% = 30%)
• セキュリティログとモニタリング (これは新しいガイドでは「検出」にまとめられています)
• インフラストラクチャセキュリティ (18%)
• IDおよびアクセス管理 (20%)
• データ保護 (18%)
• 管理とセキュリティガバナンス / 基盤 (14%)

IAMは最大の単一ドメインです。おろそかにしてはいけません。

実際の難易度

AWSは合格率を公表していません。Redditでのコミュニティ調査やAWSパートナーネットワークの内部データによると、初回受験での合格率は55～60%程度で、SAA-C03（60～65%）よりも難しいが、SAP-C02（50～55%）よりは簡単です。試験自体は公平で、引っかけ問題はありませんが、幅広い知識ではなく、深い知識を学習した人が合格するという点で、トピックの深さが受験者を困らせます。

もし速読できるなら、170分の試験時間は十分です。ほとんどの人は30分以上残して終了します。時間制限が制約になるのではなく、知識の深さが重要です。

実際に出題される重点トピック

KMS、エンドツーエンド。 対称鍵と非対称鍵、カスタマーマネージドキーとAWSマネージドキー、キーポリシーとIAMポリシー（その相互作用が重要）、グラント、キーのローテーション（対称鍵は自動、非対称鍵は手動）、マルチリージョンキー、クロスアカウントキー共有、kms:ViaService および kms:CallerAccount 条件。キーポリシーはJSON形式であり、試験で出題されます。実行せずにアクセス結果を予測できるようになるまで、読み取り練習をしてください。

最も一般的なKMSの落とし穴：デフォルトでは、カスタマーマネージドキーを使用するために、IAMプリンシパルはIAMポリシーとキーポリシーの両方で許可が必要です。デフォルトのキーポリシーにはルートユーザーが含まれており、これによりアカウントIAMが委任を制御します。もしキーポリシーからルートユーザーを削除すると、自身がロックアウトされる可能性があります。試験ではこれが問われます。

IAMの条件ロジックとポリシー評価。 明示的な拒否は明示的な許可に勝り、明示的な許可はデフォルトの拒否に勝ります。AWS OrganizationsのSCPはアカウント境界で適用され、権限を付与するのではなく、制約のみを課します。権限境界も似ていますが、ユーザー/ロールレベルで適用されます。S3、KMS、Secrets Manager、SQS、SNSのリソースポリシー — いつアクセスを許可するのか、IAM許可を必要とするのか、あるいはその両方なのか？これは重点的に出題されます。

フェデレーション：SAML 2.0、OIDC、IAM Identity Center、Cognito Identity PoolsとUser Pools（はい、両方 — 異なることを行います）。試験では、「外部の請負業者が90日間、単一アカウントへの一時的なアクセスを必要とする」といったシナリオにどのフェデレーションタイプが適しているかを問われます。

GuardDuty、Security Hub、Macie、Inspector、Detective。 どれが何を検出するのかを把握してください。GuardDutyはVPC Flow Logs、DNS、CloudTrailからの脅威を検出し、オプションでEKS監査、RDSログイン、Lambda、マルウェア保護もサポートします。Security Hubは集約とコンプライアンスチェック（CIS、AWS基盤、PCI DSS）を実行します。MacieはS3データの機密情報分類に使用されます。InspectorはEC2、ECR、Lambdaの脆弱性スキャンを行います。Detectiveは検出後の調査に使用されます。試験では「アラートを受け取りました。次に確認すべきサービスは何ですか？」といった一連の流れがよく出題されます。

複数アカウントアーキテクチャ。 AWS Organizations、OU、SCP、セキュリティサービスの委任管理者（はい、Security Hubの管理をメンバーアカウントに委任できます — 試験ではこれが問われます）、AWS Control Tower、アカウントをまたいだAWS Configアグリゲーター。クロスアカウントのCloudTrail組織トレイル。このドメインは、単一アカウントでしか作業したことのない人々を戸惑わせます。

保存データと転送データの保護。 S3暗号化の種類 — SSE-S3、SSE-KMS、SSE-C、DSSE-KMS、加えてクライアントサイド暗号化。暗号化を強制するバケットポリシー。AWS Certificate Manager (ACM) — パブリックとプライベート、ALB、CloudFront、API Gatewayとの統合。ACM Private CA。Secrets Managerのローテーション、特にRDS用。

ネットワークセキュリティ。 セキュリティグループとNACL（ステートフルとステートレス）、VPCエンドポイント（ゲートウェイとインターフェース）、VPCエンドポイントポリシー、AWS PrivateLink、AWS Network Firewall、AWS WAF、AWS Shield StandardとAdvanced、組織全体にわたるポリシーのためのAWS Firewall Manager。

よくあるつまずきどころ

正しく見えるが実際は正しくないKMSキーポリシー。 試験では、IAMポリシーは正しく見えるがキーポリシーにプリンシパルが欠けているシナリオ、またはその逆のシナリオが出題されます。KMSの問題では焦らず、両方のポリシーを読み込んでください。

MacieとGuardDutyの混同。 MacieはS3における機密データの分類用です。GuardDutyは脅威検出用です。両者は雰囲気は似ていますが、機能は異なります。

フェデレーションの種類。 Cognito User Poolsはエンドユーザーを認証します。Cognito Identity Poolsは認証されたユーザーに一時的なAWS認証情報を提供します。IAM Identity Centerは、従業員のAWSアカウントへのSSO用です。SAML 2.0フェデレーションは、これらと同じ目的のレガシー/エンタープライズバージョンです。これらを混同すると、よく5問分の失点につながります。

クロスアカウントロギング。 組織トレイルを持つ集中型CloudTrail、ログアーカイブアカウントのS3バケット、すべてのメンバーアカウントが使用できるCMKによるKMS暗号化。試験では、セキュリティチームが最小限の権限でこれを正しく設定する方法が問われます。

WAFルールの優先順位。 優先度番号を持つカスタムルール — 優先度が低い方が先に実行されます。マネージドルールグループは上書きする可能性があります。試験では、リクエストがブロックまたは許可されるシナリオが出題され、どのルールが適用されたかを特定する必要があります。

学習期間の目安

• 毎日セキュリティ業務に従事しており、週約5時間学習する場合：6～8週間。
• セキュリティ関連業務を持つクラウドエンジニアで、週約10時間学習する場合：10～14週間。
• セキュリティのバックグラウンドがなく、週約10時間学習する場合：16週間以上、まずはSAA-C03の取得を検討してください。

リソース：Adrian Cantrill氏のSCS-C03コースが最も深く掘り下げられています。Stephane Maarek氏のコースは堅実で短いです。模擬試験にはTutorials Dojoを利用してください。AWS自身のホワイトペーパー — 『セキュリティのベストプラクティス』、『Well-Architected フレームワークのセキュリティの柱』、『AWS KMSのベストプラクティス』 — は短く、学習効果が高いので、これらを読んでください。

キャリアパス

SCS-C03は、セキュリティ職が一般的なクラウド職よりも高給であるため、より直接的に収益につながるAWS認定の一つです。2026年のクラウドセキュリティエンジニアは、米国の主要テクノロジー都市圏で約13万ドル～20万ドルの基本給を得ており、シニア職では18万ドル～26万ドルに達します。SCS-C03はこれらの役割の標準的な指標であり、CISSPと並んで、またはその代わりに記載されることが多いです。

この認定は以下のものと相性が良いです。

• CISSP: 規制業界のシニアセキュリティ職向け。
• AZ-500: マルチクラウドで作業する場合。
• CKS: Kubernetesセキュリティに移行する場合。
• HashiCorp Vault Associate: シークレット管理の深掘り用。

一般的なDevOps認定とは特に相性が良いわけではありません — DOP-C02はより広範であり、重複はせいぜい20%程度です。実際の仕事に基づいてどちらかを選んでください。

まとめ

SCS-C03は、ほとんどの人が考えるAWS専門試験の中で、ANS-C01（ネットワーク）をわずかに上回る難易度です。予想よりも多くの時間を割り当ててください — ほとんどの受験者はKMSの深さとIAMの条件ロジックを過小評価しています。この試験は、GuardDutyの検出結果を調整したり、KMSキーポリシーを作成したり、深夜11時にフェデレーションの問題をデバッグしたりした経験を持つ運用担当者に報いるでしょう。もしあなたがそのような経験者なら、準備は簡単です。そうでないなら、まず経験を積むことをお勧めします。

もし学習中なら、CertLabProでSCS-C03の問題バンクを閲覧するか、時間制限付きシミュレーションを実行してください。そして、KMSのドキュメントを二度読んでください。