GCP PCSE vs AWS SCS-C03: クラウドセキュリティプロ認定資格の比較
PCSEとSCS-C03は、GCPとAWSに特化したセキュリティ認定資格です。それぞれの違い、報酬、そして両方取得すべきタイミングを解説します。
クラウドセキュリティエンジニアがGCPのProfessional Cloud Security Engineer (PCSE)とAWSのSecurity Specialty (SCS-C03)のどちらを選ぶか迷っている場合、ほとんどの場合、正解は「現在使用しているクラウドの認定資格を取得する」です。これらの認定資格は互換性がありません。IAMモデル、セキュリティサービスポートフォリオ、運用上のデフォルト設定がそれぞれ異なります。
しかし、シニアクラウドセキュリティアーキテクトはますます両方のクラウドに対応する必要があるため、ここに有用な比較があります。PCSE + SCS-C03の組み合わせは、2026年の市場において最も強力なデュアルクラウドセキュリティのシグナルの1つです。詳しく見ていきましょう。
試験概要
| GCP PCSE | AWS SCS-C03 | |
|---|---|---|
| 費用 | $200 | $300 |
| 時間 | 2時間、約50問 | 170分、65問 |
| 有効期間 | 2年 | 3年 |
| レベル | プロフェッショナル | スペシャリティ |
| 必須経験 | 業界経験3年以上、GCP経験1年以上 | セキュリティ経験3~5年、AWS経験2年以上 |
| 実践的なスキル | 高い | 高い |
| 難易度 | 高い | 高い |
おおよそ同じくらいの認知的負荷です。SCS-C03は問題数も時間も多いですが、GCPの試験問題はより凝縮されています。PCSEでは1問あたりの読解量が重いです。両方受験した人は、どちらも同じくらいだと評価する傾向にあります。
PCSEの焦点
PCSEは以下の5つのドメインを中心に構成されています。
- クラウドソリューション環境内でのアクセス設定。 Cloud IAM (GCP版はAWS IAMとは大きく異なります)、サービスアカウント、ワークロードID、組織ポリシー、Identity-Aware Proxy (IAP)、IDプロバイダとしてのCloud IdentityとGoogle Workspaceの比較、サードパーティIdPフェデレーション。
- ネットワークセキュリティの設定。 VPCファイアウォールルール、階層型ファイアウォールポリシー、VPC Service Controls (AWSには明確な同等機能がないGCP固有の境界機能 — これは最も頻繁にテストされるトピックの1つです)、Cloud Armor (WAF + DDoS)、サービスレベル分離のためのPrivate Service Connect。
- データ保護の確保。 顧客管理型暗号鍵 (CMEK) と顧客提供型 (CSEK) およびGoogle管理型、Cloud KMS、Cloud HSM、Cloud DLP、機密コンピューティング (Confidential VMs、Confidential GKE Nodes — AMD SEV / Intel TDXを基盤とするメモリ暗号化)、トークン化パターン。
- クラウドソリューション内での運用管理。 Security Command Center (Standard、Premium、Enterpriseティア — そしてその違いは重要です)、Event Threat Detection、Security Health Analytics、Container Threat Detection、監査ロギングアーキテクチャ。
- コンプライアンスの確保。 組織ポリシーの制約、Assured Workloads、FedRAMP / HIPAA / PCI-DSSのスコープ設定、Access Transparency、Access Approval、GCP固有の粒度での共有責任モデル。
SCS-C03の焦点
AWSはより幅広いセキュリティサービスポートフォリオを持っているため、SCS-C03はより広いサービス領域をカバーします。
- 脅威検出とインシデント対応。 GuardDuty (Event Threat Detectionと同等だがより成熟)、Detective、Inspector、Macie (S3向けAWS DLP相当)、Security Hub、セキュリティ自動化のためのEventBridge、Systems Manager Incident Manager。
- ロギングとモニタリング。 CloudTrail (監査ロギングサービス — AWSのセキュリティに関する質問は最終的にすべてCloudTrailに関わります)、CloudWatch Logs、VPCフローログ、組織全体のトレイル、ログ整合性検証、S3アクセスログ。
- インフラストラクチャセキュリティ。 セキュリティグループ、NACL (GCPにはないレイヤー)、VPCエンドポイント、AWS Network Firewall、AWS WAF、Shield Standard / Advanced、AWS Config / Config Rules / Conformance Packsのトリオ。
- IDとアクセスの管理。 AWS IAM (GCP IAMとは大きく異なります — AWSには明示的な拒否のセマンティクス、リソースベースのポリシーがあり、「プリンシパル」の概念は異なるマッピングをします)、IAM Identity Center (旧SSO)、Resource Access Manager、IAM Access Analyzer、権限境界、SCPs。
- データ保護。 KMS、CloudHSM、Secrets Manager、Parameter Store、S3暗号化バリアント、Macie、ACM、Certificate Manager。
- 管理とセキュリティガバナンス。 Control Tower、Organizations、AWS Configアグリゲーター、監査/コンプライアンスフレームワーク、Well-Architectedセキュリティ柱。
認定資格の本当の違い
- サービス範囲。 AWSはGCPの約2~3倍のセキュリティ関連サービスを持っています。SCS-C03ではそれらすべてを知っていることが求められ、PCSEはより少ないサービスについて深く掘り下げます。どちらが「より難しい」というわけではなく、難しさの形が異なります。
- IAMモデルの違いは顕著です。 AWS IAMには明示的な拒否、リソースベースのポリシー、より複雑なポリシー評価フローがあります。GCP IAMはポリシーレベルでは許可のみです (拒否は2022年に追加された個別の構成であり、実際にはまだあまり使用されていません)。ポリシーはリソースにアタッチされ、継承はリソース階層を通じて流れます。このドメインに関して、片方の学習がもう一方の準備にはなりません。
- VPC Service ControlsはGCP固有の大きな概念です。 これはBigQuery、Cloud Storage、DataflowなどのGCPサービスを囲む境界であり、有効なIAMを持つユーザーによるデータ漏洩も防止します。AWSには明確な同等機能はなく、最も近い類義語はS3バケットポリシー、VPCエンドポイントポリシー、サービスコントロールポリシーをすべて組み合わせたものです。PCSEはVPC SCに重点を置いており、準備でこれをスキップすると不合格になります。
- SCS-C03は検出および対応ツールに重点を置いています。 GuardDuty、Detective、Security Hub、EventBridgeによる自動化、Macieは重要なトピックです。PCSEにはSecurity Command Centerがほぼ同等機能としてありますが、脅威検出ワークフローについては深く掘り下げず、アーキテクチャによる予防に重点を置いています。
- 機密コンピューティングはGCPでより重視されています。 GoogleはAWSが同等の範囲でNitro Enclavesを発表する何年も前にConfidential VMsをリリースしており、PCSEは機密コンピューティングのシナリオについて複数の質問でカバーすることでそれを反映しています。SCS-C03はNitro Enclavesをカバーしていますが、より軽く扱っています。
給与と複合シグナル
| PCSE単独 | SCS-C03単独 | PCSE + SCS-C03 | |
|---|---|---|---|
| 米国シニアクラウドセキュリティエンジニア基本給 | $150k-$195k | $145k-$190k | $165k-$220k |
| FAANG / FAANG関連企業総報酬 | $260k-$380k | $260k-$400k | $300k-$450k |
| 求人掲載頻度 | GCPセキュリティ求人の約10%で言及 | AWSセキュリティ求人の約25%で言及 | シニアクラウドセキュリティアーキテクト職で複合資格が特に要求される |
数字はlevels.fyi 2025-2026、BLS OEWS 2024年5月 (情報セキュリティアナリスト 15-1212、中央値約12.4万ドル、90パーセンタイル約18.5万ドル;クラウドセキュリティはより広範なインフォセキュリティの帯域を上回る)、Built In、Hiredの範囲に基づいています。一般的な注意点として — 自己申告であり、米国沿岸地域に偏っています。
両方の認定資格の組み合わせは、複数のクラウドにまたがるシニアクラウドセキュリティアーキテクトにとって真に有用であり、マルチクラウド企業の一部のスタッフレベルの求人では明示的に記載されています。いずれか単一の認定資格に対するこの組み合わせの金銭的価値は大きく — 基本給で約2万〜3万ドルのプレミアムと、特にマルチクラウドセキュリティが義務付けられている金融サービス、ヘルスケア、政府契約などの分野で、より広範な機会が得られます。
1つだけ取得するのであれば、現在のクラウドに合った認定資格を取得してください。組み合わせは順序立てて行うものであり、同時に無理をするものではありません。
両方取得すべきタイミング
両方取得することが理にかなっている3つのシナリオです。
- マルチクラウド企業で働いている場合。 銀行、保険会社、大規模な医療機関、防衛関連企業 — これらはますます「ポリシーによるマルチクラウド」の企業であり、セキュリティチームは最低でもAWS + AzureまたはAWS + GCPにまたがる必要があります。
- シニアクラウドセキュリティアーキテクトの役割を目指している場合。 基本給20万ドル以上。この認定資格の組み合わせは、CISSP / CCSPや実証されたインシデント対応経験と並んで、これらの役割の資格セットの一部です。
- コンサルティングを行っている場合。 ビッグ4のクラウドセキュリティプラクティスやブティック型クラウドセキュリティ企業は、AWSに重点を置くクライアントにもGCPに重点を置くクライアントにも対応し、初週から生産性を発揮できるコンサルタントを求めています。
複合資格が意味をなさない場合:キャリアの初期段階である、主に1つのクラウドで作業している、または雇用主が認定費用を償還してくれない場合。2つ目の認定資格取得の機会費用 (夜間の学習に約2ヶ月) は現実的です。
準備に関する注意点
PCSEの場合:VPC Service Controls (複数の質問で繰り返し出題されます)、CMEK / KMSアーキテクチャ、IAM拒否ポリシーと条件付きバインディング、およびSecurity Command Centerのティアの違いに焦点を当ててください。GCPのバックグラウンドがある人であれば、夜間の学習で6〜8週間程度です。
SCS-C03の場合:脅威検出サービスポートフォリオ (GuardDuty、Detective、Macie、Inspector — それぞれの機能、適用される状況)、組織規模でのCloudTrail、KMSポリシーの相互作用、および許可/拒否/SCPsが競合するIAMポリシー評価ロジックに焦点を当ててください。AWSのバックグラウンドがある人であれば、8〜10週間程度です。
両方取得する場合は、6ヶ月間隔を空けてください。立て続けに受験すると、2つ目の試験で疲労困憊になり、IAMモデルの違いにつまずく可能性があります。
まとめ
PCSEとSCS-C03はどちらも重要な内容をカバーする良い試験です。どちらも他方の代わりにはなりません。自分のクラウドに合った方を選び、しっかりと取得し、キャリアがマルチクラウドの方向に向かっている場合にのみ2つ目を追加してください。この組み合わせはシニアアーキテクトにとって真のシグナルですが、それ以外の人にとっては1つで十分です。
PCSEの学習中ですか? CertLabProでPCSEの練習問題を見る。SCS-C03を目指していますか? SCS-C03の問題集はこちら。すでにPCSEを合格し、PCAがGCPのプロフィールを完成させるかどうか気になっていますか? PCAの準備はこちら。