ある企業が、組織内のすべてのAWSアカウントでAmazon GuardDutyを有効にしました。セキュリティエンジニアは、開発アカウントのEC2インスタンスに対して `CryptoCurrency:EC2/BitcoinTool.B!DNS` の検出結果を確認しました。インスタンスは、Application Load Balancerの背後にあるAuto Scalingグループの一部です。セキュリティエンジニアは、混乱を最小限に抑えながら調査するために、最初に何をすべきですか？

AWS Certified Security Specialty (SCS-C03) は、上級レベルのセキュリティに特化した資格であり、最も高く評価されているクラウドセキュリティ認定の1つです。この認定は、ID管理、データ保護、インフラストラクチャセキュリティ、脅威検出、インシデントレスポンス、ガバナンスを含む、安全なAWSワークロードを設計および運用する能力を検証します。この試験は、数年のAWSおよびセキュリティ経験を持つクラウドセキュリティエンジニア、クラウドセキュリティアーキテクト、DevSecOpsエンジニアを対象としています。IAM、KMS、ネットワーク、検出サービスを組み合わせ、現実的な制約の下で最適なセキュリティ回答を求める、長くシナリオ重視の質問が予想されます。SCS-C03は2023年7月にリリースされ、SCS-C01を刷新し、より広範な検出、GenAI関連のガバナンス、および最新のデータ保護をカバーしています。この試験は概念的なものであり、ハンズオンラボはありません。

試験範囲

Detection16%
ログ記録アーキテクチャ（CloudTrail組織トレイル、VPCフローログ、DNSクエリログ、S3アクセスログ）、Security Hub集約による集中ログ記録、CloudTrailに対するAthenaクエリ。よくある落とし穴：CloudTrail LakeとAthena-on-CloudTrailのトレードオフの区別。
Incident Response14%
封じ込めパターン（侵害されたEC2/ECSワークロードの隔離、認証情報のローテーション、S3バケットの隔離）、フォレンジック証拠の保全、SSMによるランブック。見落とされがちな点：IAM認証情報侵害の正確なシーケンス。
Infrastructure Security18%
VPCセキュリティ（セキュリティグループ、NACL、エンドポイント、PrivateLink）、AWS WAFおよびShield、Network Firewall、エッジ保護。多層防御のレイヤリングに重点が置かれています。
Identity and Access Management (IAM)20%
最大のドメインで20%を占めます。権限境界、SCPs、条件キー（特にaws:PrincipalOrgID、aws:SourceVpce、aws:CalledVia）、STS、Identity Center、およびリソースベースのポリシー。試験で最も密度が高い単一の領域です。
Data Protection18%
KMS（キーポリシー、グラント、マルチリージョンキー、BYOK）、転送中の暗号化（ACM、証明書管理）、Macie、およびS3保護パターン。KMSキーポリシーの微妙な評価は、頻繁なつまずきポイントです。
Security Foundations & Governance14%
Organizations、Control Tower、Config適合パック、およびAudit Managerによるマルチアカウントガバナンス。ウェイトは小さいですが、戦略的なセキュリティ思考が試されます。

この試験で扱う AWS サービス

試験で出会うサービスと、それぞれが重要な理由。

コアサービス

AWS Identity and Access Management (IAM)AWS ドキュメント ↗
ID、ロール、ポリシーのプリミティブであり、マネージドポリシーとインラインポリシー、信頼ポリシー、ABAC タグ、セッションポリシー、アクセス許可の境界によって、すべての認証決定が強制されます。
試験に出題される理由：ドメイン 4 (ID およびアクセスコントロール) は IAM の仕組みそのものであり、最小権限ポリシーの作成、クロスアカウントロール、ポリシー評価の順序は試験で最も頻繁に出題されるトピックです。
AWS IAM Identity CenterAWS ドキュメント ↗
集中型ワークフォース SSO とマルチアカウントの許可セットの配布を提供し、外部 IdP (Entra ID、Okta) から AWS Organizations アカウントへフェデレーションします。
試験に出題される理由：ドメイン 4 のフェデレーション、大規模な ABAC、および長期間有効な IAM ユーザーを短期間有効なロールセッションに置き換える問題では、AWS ネイティブな解答として Identity Center が挙げられます。
Amazon GuardDutyAWS ドキュメント ↗
VPC フローログ、DNS ログ、CloudTrail、S3、EKS 監査、Lambda ランタイム全体で継続的な脅威検出を行い、侵害された認証情報、クリプトマイニング、既知の不正 IP の検出結果を発行します。
試験に出題される理由：ドメイン 1 (脅威検出とインシデントレスポンス) は GuardDuty を主要な継続的検出シグナルとして挙げ、EventBridge 駆動の自動化を規範的な応答パターンとしています。
Amazon InspectorAWS ドキュメント ↗
EC2、ECR コンテナイメージ、Lambda 関数の継続的な脆弱性評価を行い、発見されたソフトウェアインベントリに対して CVE とネットワーク到達性の検出結果をスコアリングします。
試験に出題される理由：ドメイン 3 (インフラストラクチャセキュリティ) ではワークロードの脆弱性態勢について Inspector が問われ、GuardDuty (ランタイム脅威) および Macie (データ分類) との区別が重要です。
AWS Security HubAWS ドキュメント ↗
組み込みの標準チェック (CIS、PCI DSS、AWS FSBP、NIST 800-53) と、GuardDuty、Inspector、Macie、パートナーツールからの統合を備えたクロスサービス検出結果アグリゲーターです。
試験に出題される理由：ドメイン 2 (セキュリティロギングとモニタリング) およびドメイン 6 (ガバナンス) は、優先順位付けされた検出結果とコンプライアンススコアリングのための組織レベルの単一管理画面として Security Hub を挙げます。
Amazon MacieAWS ドキュメント ↗
S3 向けの ML 駆動型機密データ検出サービスであり、PII、認証情報、金融データ、医療データの自動検出に加え、継続的なバケットインベントリと態勢評価を提供します。
試験に出題される理由：ドメイン 5 (データ保護) では、S3 内の機密データを暗号化、保持、またはアクセス制御を適用する前に発見し分類するための指定サービスとして Macie が問われます。
AWS WAFAWS ドキュメント ↗
CloudFront、ALB、API Gateway、AppSync、App Runner 向けのレイヤー 7 Web ACL であり、マネージドルールグループ (OWASP、ボット制御、アカウント乗っ取り) およびレートベースとカスタムルールを提供します。
試験に出題される理由：ドメイン 3 (インフラストラクチャセキュリティ) の、公開ウェブエンドポイントをインジェクション、スクレイピング、認証情報流用から保護する問題では、WAF が AWS ネイティブなエッジ防御として挙げられます。
AWS ShieldAWS ドキュメント ↗
マネージド DDoS 保護サービスであり、Standard はエッジで無料で利用可能で、Advanced は CloudFront、Route 53、ALB、Global Accelerator 向けに 24 時間年中無休の SRT レスポンス、コスト保護、レイヤー 3/4/7 攻撃分析を追加します。
試験に出題される理由：ドメイン 3 では Shield Standard (常時稼働、無料、L3/L4) と Shield Advanced (有料、SRT、コスト保護) が区別され、DDoS 耐性に関する頻出のシナリオ問題として出題されます。

特化型サービス

AWS Key Management Service (KMS)AWS ドキュメント ↗
マネージド暗号化キーサービスであり、AWS マネージドキー、カスタマーマネージドキー、外部/インポートされたキーを、許可、キーポリシー、100 以上のサービス全体での CloudTrail ログに記録された使用状況と共に提供します。
試験に出題される理由：ドメイン 5 (データ保護) では、エンベロープ暗号化、クロスアカウントキー共有、キーローテーション、およびキーポリシーと IAM ポリシーの違いが、すべての試験形式で問われます。
AWS Certificate Manager (ACM)AWS ドキュメント ↗
CloudFront、ALB、API Gateway、App Runner 向けの公開 TLS 証明書をプロビジョニングし、自動更新するサービスであり、ACM Private CA はマネージド CRL/OCSP を使用して内部証明書を発行します。
試験に出題される理由：ドメイン 5 の転送中のデータ暗号化に関する問題、およびドメイン 3 の内部 mTLS 向けのプライベート CA 階層に関する問題では、AWS ネイティブな解答として ACM と ACM Private CA が挙げられます。
AWS Secrets ManagerAWS ドキュメント ↗
RDS、Redshift、DocumentDB、およびカスタムの Lambda 駆動型ローテーション向けの自動ローテーションを備えた暗号化されたシークレットストレージであり、きめ細かな IAM アクセスと CloudTrail 監査を提供します。
試験に出題される理由：ドメイン 4 およびドメイン 5 では短期間有効なデータベース認証情報に Secrets Manager が挙げられ、Parameter Store (無料、ローテーションなし) との対比が頻繁に出題される選択肢の組み合わせとなります。
Amazon VPCAWS ドキュメント ↗
サブネット、ルートテーブル、セキュリティグループ (ステートフル)、NACL (ステートレス)、VPC フローログ、VPC エンドポイント、およびパケットキャプチャ用のトラフィックミラーリングを提供するネットワーク分離のプリミティブです。
試験に出題される理由：ドメイン 3 (インフラストラクチャセキュリティ) は主に VPC の仕組みであり、SG と NACL 間の多層防御、インターフェースエンドポイントを介したプライベート接続、フォレンジック用のフローログが問われます。
AWS Network FirewallAWS ドキュメント ↗
VPC 向けのマネージドステートフルファイアウォールであり、Suricata 互換ルールによるディープパケットインスペクション、ドメインフィルタリング、IPS、および組織全体の集中型エグレスフィルタリングを提供します。
試験に出題される理由：ドメイン 3 の、SG/NACL が提供する範囲を超えるステートフルな L3-L7 インスペクション (エグレス専用フィルタリングや集中型インスペクション VPC など) のシナリオでは、Network Firewall が解答として挙げられます。
AWS Firewall ManagerAWS ドキュメント ↗
AWS Organizations 内の複数のアカウント全体で、WAF ルール、Shield Advanced、Network Firewall、Route 53 Resolver DNS Firewall、セキュリティグループに対する組織全体のポリシー適用を行います。
試験に出題される理由：ドメイン 6 (ガバナンス) の、多数のアカウントにわたるセキュリティベースラインの適用に関する問題では、マルチアカウントのコントロールプレーンとして Firewall Manager + Organizations が挙げられます。
Amazon DetectiveAWS ドキュメント ↗
VPC フローログ、CloudTrail、GuardDuty、EKS 監査データを振る舞いモデルに取り込み、不審なアクティビティの根本原因分析を行うための調査グラフです。
試験に出題される理由：ドメイン 1 (脅威検出とインシデントレスポンス) では、GuardDuty の検出結果に対する指定されたフォローアップとして Detective が問われ、コンテキスト、影響範囲、影響を受けるリソースへのピボットに活用されます。
AWS Systems Manager Parameter StoreAWS ドキュメント ↗
String、StringList、SecureString (KMS に裏付けられた) 型をサポートする階層型設定およびシークレットストアであり、無料枠でほとんどのケースをカバーし、より高いクォータでオプションの高度なパラメータを利用できます。
試験に出題される理由：ドメイン 5 の、設定や低ボリュームのシークレットの保存に関する問題では、Parameter Store (無料、ローテーションなし) と Secrets Manager (有料、ローテーションあり) が比較され、そのトレードオフが確実に問われます。

セキュリティとガバナンス

AWS CloudTrailAWS ドキュメント ↗
組織全体の証跡、管理/データ/Insights イベント、ログファイル整合性検証、および SQL クエリ可能な保持のための Lake を備えた不変の API コール監査ログです。
試験に出題される理由：ドメイン 2 (セキュリティロギングとモニタリング) は CloudTrail を基盤となる監査シグナルとして挙げ、整合性検証と集中型組織証跡は一般的なコンプライアンスシナリオの問題です。
AWS ConfigAWS ドキュメント ↗
設定履歴と継続的なコンプライアンス評価を提供し、マネージドルールとカスタムルール、SSM を介した自動修復、CIS/PCI/HIPAA ベースライン向けの適合パックを備えています。
試験に出題される理由：ドメイン 6 (ガバナンス) では、Config が設定ドリフトと継続的なコンプライアンスエンジンとして問われ、CloudTrail の API コール監査証跡を補完します。
AWS Audit ManagerAWS ドキュメント ↗
フレームワーク (PCI DSS、HIPAA、SOC 2、GDPR、FedRAMP) にマッピングされた自動証拠収集サービスであり、評価範囲設定とエクスポート可能な監査人対応レポートを備えています。
試験に出題される理由：ドメイン 6 の、監査証拠の生成とコントロールのコンプライアンスフレームワークへのマッピングに関する問題では、AWS ネイティブな証拠収集サービスとして Audit Manager が挙げられます。
AWS OrganizationsAWS ドキュメント ↗
OU、サービスコントロールポリシー (SCP)、リソースコントロールポリシー、一元的な請求、およびセキュリティサービス向けの委任された管理者アカウントによるマルチアカウント管理サービスです。
試験に出題される理由：ドメイン 6 (ガバナンス) およびドメイン 4 (IAM) では、IAM の上位にあるアクセス許可境界の最後の砦として SCP が問われ、組織全体の GuardDuty、Security Hub、Config 集約の前提条件となります。

キャリアへの影響

代表的な職務

クラウドセキュリティエンジニア
クラウドセキュリティアーキテクト
DevSecOpsエンジニア
AWSセキュリティスペシャリスト
シニア情報セキュリティエンジニア
クラウドコンプライアンスエンジニア
プリンシパルセキュリティアーキテクト

給与範囲（米国、概算）

$140k–$200k–$290k USD 年収

この範囲は、AWSの熟練度が必須とされる米国拠点のミドルからシニアのクラウドセキュリティ職を対象としています。トップティアの金融サービス、FAANG、セキュリティに特化したユニコーン企業では、総報酬が35万ドルを超えることがよくあります。沿岸部以外の市場における「セキュリティエンジニア」の初級職は、下限を下回ります。セキュリティ専門分野の認定資格は、一般的なクラウド認定資格と比較して確実にプレミアムを享受します。

出典: levels.fyi 2025–2026 cloud security roles, U.S. BLS OEWS May 2024 (15-1212 information security analysts)。数値は概算であり、実際の報酬は職務、地域、経験によって異なります。

市場の需要

企業がマルチアカウントのAWS環境、ゼロトラストパターン、サプライチェーンリスクを中心にセキュリティプログラムを成熟させ続けたため、2024年から2026年にかけてクラウドセキュリティの採用は引き続き堅調でした。SCS-C03は、クラウドセキュリティエンジニアおよびアーキテクトの職務で推奨される資格として広く挙げられており、CISSPおよびCCSPと並んで、より普遍的に尊重されている単一のセキュリティ資格の1つです。金融サービス、ヘルスケア、セキュリティに特化したSaaS企業のリクルーターは、これをAWS固有のセキュリティの深さを示す信頼できるシグナルとして扱います。SAA-C03またはSAP-C02、Advanced Networking Specialty (ANS-C01)、およびクロスベンダー認定資格と自然に組み合わされます。この認定資格だけでは、CISOやVP-securityの職務に候補者を適格とすることはありません。これらの職務では、より広範なプログラムリーダーシップとリスク管理の経験が期待されます。

前提条件と推奨される学習パス

正式な前提条件はありません。AWSは、少なくとも3〜5年の一般的なITセキュリティ経験と、少なくとも2年のハンズオンAWSセキュリティ経験を推奨しています。

ほとんどの候補者は、SAA-C03（アーキテクチャ基盤）の後、理想的にはSAP-C02またはDOP-C02で追加の知識を深めてからSCS-C03に挑みます。強力な一般的なセキュリティバックグラウンド（CISSP、CompTIA Security+）を持つものの、AWSの経験が限られている候補者は、IAM（特に権限境界とSCPs）、KMSキーポリシー、およびAWS検出サービスの分類にかなりの追加時間を費やすべきです。Control Tower、Config適合パック、および集中ログ記録を備えた動作するマルチアカウントAWS Organizationsラボは、最もROIの高い準備アーティファクトです。

難易度と学習時間

SCS-C03はSpecialtyに格付けされており、AWS試験の中でも難しい部類に入ります。すでにクラウドセキュリティで働いている候補者の場合、10〜14週間で80〜140時間の学習時間を計画してください。一般的なセキュリティまたは一般的なAWSのバックグラウンドを持つ候補者の場合、160〜220時間以上の学習時間が必要です。試験は170分で65問の採点対象問題です。選択式と複数回答式で、ラボはありません。

最大のつまずきポイントは、IAMポリシー評価の深さです。IDポリシー、リソースポリシー、権限境界、SCPs、セッションポリシーがどのように組み合わされるか、そして条件キーがクロスアカウントアクセスとどのように相互作用するかを正確に理解することです。KMSキーポリシーの評価は僅差で2位です。候補者はまた、検出サービスの差別化（GuardDuty vs. Security Hub vs. Detective vs. Inspector）や、エンドポイントとPrivateLinkを含む微妙なVPCトラフィックフローの問題で、定期的に点を落とします。

試験のバージョン履歴

SCS-C032023-07
現行バージョン。検出サービス、マルチアカウントガバナンス、KMSマルチリージョンキー、Network Firewallの最新化されたカバレッジ。EventBridge / SSM Automationの成熟度を反映した更新されたインシデントレスポンスパターン。
SCS-C022020-07
短期間の中間改訂版。2023年に廃止。
SCS-C012018-04
オリジナルのSecurity Specialty。長らく廃止されており、Security Hub登場以前の検出ツールを使用。

よくある質問

SCS-C03試験の難易度はどのくらいですか？

SCS-C03 (AWS Certified Security Specialty) は、狭いドメインの高度なトピックをカバーする深く専門的な試験 — 実践経験が前提条件となることが予想されます Specialtyレベルの試験です。ほとんどの受験者は、専門分野の試験に2〜4か月かけて100〜200時間の学習を必要とします。これらは、専門分野での実践経験が前提条件となります。練習試験で合格基準を安定して上回るスコアを獲得している受験者のほとんどは、初回で合格しています。

SCS-C03の学習にはどのくらいの期間を要しますか？

ほとんどの受験者は、専門分野の試験に2〜4か月かけて100〜200時間の学習を必要とします。これらは、専門分野での実践経験が前提条件となります。合格までの時間は、これまでの経験によって大きく異なります。基礎となるテクノロジーでの実践的な本番経験を持つエンジニアは通常、より少ない時間で済みますが、プラットフォームに初めて触れる受験者は、この範囲の上限を目安に計画を立てる必要があります。

SCS-C03認定は価値がありますか？

SCS-C03は、AWSエコシステムで認められた資格であり、雇用主、リクルーター、クライアントに検証済みの知識を示します。あなたにとって時間と費用をかける価値があるかどうかは、あなたの役割と目標によります。通常、AWSを日常的に扱っている、またはそのような役割に就きたいと考えているクラウドエンジニア、アーキテクト、コンサルタントにとって最も報われる傾向があります。

SCS-C03の合格点は何点ですか？

SCS-C03の合格点は750 / 1000です。試験には65問の問題が含まれており、所要時間は2 時間 50 分です。

SCS-C03試験の費用はいくらですか？

SCS-C03試験の受験料は$300 USDです。受験料はAWSによって設定されており、地域によって異なる場合があります。予約する前に、常にAWSの公式認定ページで現在の価格を確認してください。

SCS-C03認定の有効期間はどのくらいですか？

AWS認定は3年間有効です。失効前に、同じ試験の現在のバージョンに合格するか、同じパスの上位レベルの試験に合格することで再認定されます。

SCS-C03をオンラインで受験できますか？

はい。試験はオンライン（プロバイダーのセキュアブラウザを介して監督され、ほとんどの地域で24時間年中無休で利用可能）または営業時間内のピアソンVUE試験センターで対面で受験できます。どちらの形式も同じ問題、時間制限、合格点を使用します。

CertLabProのSCS-C03練習試験には何問ありますか？

CertLabProでは、SCS-C03の練習問題バンクで15の学習モードを提供しています。試験シミュレーションモードは、実際の試験を反映しており、2 時間 50 分で65問、合格基準は750 / 1000と同じです。ブラウズモードでは、すべてのQ&Aを静的に読むことができます。

SCS-C03 の人材を募集する企業

すべての企業を見る

Effectual
Premier パートナー
AWS

SCS-C03

AWS Certified Security Specialty

275問の練習問題

最終確認：April 2026

試験ドメイン

Detection16%

Incident Response14%

Infrastructure Security18%

Identity and Access Management (IAM)20%

Data Protection18%

Security Foundations & Governance14%

ℹ️

試験情報

登録、料金、受験方法、ポリシー

→

📝

試験モード

65問のランダム出題
170分のカウントダウン
最後にスコア表示 (合格: 750/1000)
実際の試験をシミュレート

📘

プレイブック

シナリオ → ソリューションのパターン
試験ドメイン別にグループ化
ウェブとモバイルで完全かつ無料
純粋なリファレンス — 問題なし、採点なし

📚

練習モード

全275問
時間制限なし
各回答後に即時フィードバック
自分のペースで学習

📑

閲覧モード

全275問を1ページで
答えと解説が表示
試験前のクイックレビュー
スクロールで閲覧

🌿

Zenモード

1問ずつ
スワイプまたは矢印キー
シャッフルオプションあり
リラックスしたフラッシュカード学習

⚡

タイムアタック

60秒からスタート
正解で+10秒
不正解で-5秒
ハイスコアを目指せ

❤️

サバイバル

時間制限なし
1問間違えたら終了
連続正解を継続
正確性への挑戦

⚩

ブリッツモード

1問あたり15秒
素早い回答でスピードボーナス
ストリーク倍率 (2x, 3x...)
アーケードスタイルの速度テスト

🏃

スプリントモード

ストップウォッチ式タイマー
10/25/50問連続正解を目指す
不正解でストリークリセット
自己ベストタイムを更新

🎓

フラッシュカードモード

問題のみ表示、選択肢なし
タップで答えを表示
評価：知っていた / 一部 / 知らなかった
弱い問題がより早く再出題

📚

詰め込みモード

未出題の問題を優先
次に間違えた問題
各回答後に即時フィードバック
総カバー率を追跡

🔥

ストリークチャレンジ

時間のプレッシャーなし
最長ストリークを追跡
不正解でゼロにリセット
自己最高記録を更新

💪

ウィーケストリンク

間違えた問題のみ
各問題を3回正解で習得
習得進捗を追跡
弱点を克服

📅

SRS復習

毎日の間隔反復復習
最適な間隔で問題をスケジュール
評価：もう一度 / 難しい / 良い / 簡単
毎日の復習ストリークを積み上げよう

🛠️

ハンズオンラボ

プレーンな Terraform / OpenTofu
各ブロックの解説付き
ターミナルにコピー＆ペースト可能
試験ドメインに関連付け

📝

学習ノート

学習のための個人ノートとリソースリンク

📅

活動カレンダー

認定でフィルター

概要

試験範囲

Detection16%
ログ記録アーキテクチャ（CloudTrail組織トレイル、VPCフローログ、DNSクエリログ、S3アクセスログ）、Security Hub集約による集中ログ記録、CloudTrailに対するAthenaクエリ。よくある落とし穴：CloudTrail LakeとAthena-on-CloudTrailのトレードオフの区別。
Incident Response14%
封じ込めパターン（侵害されたEC2/ECSワークロードの隔離、認証情報のローテーション、S3バケットの隔離）、フォレンジック証拠の保全、SSMによるランブック。見落とされがちな点：IAM認証情報侵害の正確なシーケンス。
Infrastructure Security18%
VPCセキュリティ（セキュリティグループ、NACL、エンドポイント、PrivateLink）、AWS WAFおよびShield、Network Firewall、エッジ保護。多層防御のレイヤリングに重点が置かれています。
Identity and Access Management (IAM)20%
最大のドメインで20%を占めます。権限境界、SCPs、条件キー（特にaws:PrincipalOrgID、aws:SourceVpce、aws:CalledVia）、STS、Identity Center、およびリソースベースのポリシー。試験で最も密度が高い単一の領域です。
Data Protection18%
KMS（キーポリシー、グラント、マルチリージョンキー、BYOK）、転送中の暗号化（ACM、証明書管理）、Macie、およびS3保護パターン。KMSキーポリシーの微妙な評価は、頻繁なつまずきポイントです。
Security Foundations & Governance14%
Organizations、Control Tower、Config適合パック、およびAudit Managerによるマルチアカウントガバナンス。ウェイトは小さいですが、戦略的なセキュリティ思考が試されます。

この試験で扱う AWS サービス

試験で出会うサービスと、それぞれが重要な理由。

コアサービス

AWS Identity and Access Management (IAM)AWS ドキュメント ↗
ID、ロール、ポリシーのプリミティブであり、マネージドポリシーとインラインポリシー、信頼ポリシー、ABAC タグ、セッションポリシー、アクセス許可の境界によって、すべての認証決定が強制されます。
試験に出題される理由：ドメイン 4 (ID およびアクセスコントロール) は IAM の仕組みそのものであり、最小権限ポリシーの作成、クロスアカウントロール、ポリシー評価の順序は試験で最も頻繁に出題されるトピックです。
AWS IAM Identity CenterAWS ドキュメント ↗
集中型ワークフォース SSO とマルチアカウントの許可セットの配布を提供し、外部 IdP (Entra ID、Okta) から AWS Organizations アカウントへフェデレーションします。
試験に出題される理由：ドメイン 4 のフェデレーション、大規模な ABAC、および長期間有効な IAM ユーザーを短期間有効なロールセッションに置き換える問題では、AWS ネイティブな解答として Identity Center が挙げられます。
Amazon GuardDutyAWS ドキュメント ↗
VPC フローログ、DNS ログ、CloudTrail、S3、EKS 監査、Lambda ランタイム全体で継続的な脅威検出を行い、侵害された認証情報、クリプトマイニング、既知の不正 IP の検出結果を発行します。
試験に出題される理由：ドメイン 1 (脅威検出とインシデントレスポンス) は GuardDuty を主要な継続的検出シグナルとして挙げ、EventBridge 駆動の自動化を規範的な応答パターンとしています。
Amazon InspectorAWS ドキュメント ↗
EC2、ECR コンテナイメージ、Lambda 関数の継続的な脆弱性評価を行い、発見されたソフトウェアインベントリに対して CVE とネットワーク到達性の検出結果をスコアリングします。
試験に出題される理由：ドメイン 3 (インフラストラクチャセキュリティ) ではワークロードの脆弱性態勢について Inspector が問われ、GuardDuty (ランタイム脅威) および Macie (データ分類) との区別が重要です。
AWS Security HubAWS ドキュメント ↗
組み込みの標準チェック (CIS、PCI DSS、AWS FSBP、NIST 800-53) と、GuardDuty、Inspector、Macie、パートナーツールからの統合を備えたクロスサービス検出結果アグリゲーターです。
試験に出題される理由：ドメイン 2 (セキュリティロギングとモニタリング) およびドメイン 6 (ガバナンス) は、優先順位付けされた検出結果とコンプライアンススコアリングのための組織レベルの単一管理画面として Security Hub を挙げます。
Amazon MacieAWS ドキュメント ↗
S3 向けの ML 駆動型機密データ検出サービスであり、PII、認証情報、金融データ、医療データの自動検出に加え、継続的なバケットインベントリと態勢評価を提供します。
試験に出題される理由：ドメイン 5 (データ保護) では、S3 内の機密データを暗号化、保持、またはアクセス制御を適用する前に発見し分類するための指定サービスとして Macie が問われます。
AWS WAFAWS ドキュメント ↗
CloudFront、ALB、API Gateway、AppSync、App Runner 向けのレイヤー 7 Web ACL であり、マネージドルールグループ (OWASP、ボット制御、アカウント乗っ取り) およびレートベースとカスタムルールを提供します。
試験に出題される理由：ドメイン 3 (インフラストラクチャセキュリティ) の、公開ウェブエンドポイントをインジェクション、スクレイピング、認証情報流用から保護する問題では、WAF が AWS ネイティブなエッジ防御として挙げられます。
AWS ShieldAWS ドキュメント ↗
マネージド DDoS 保護サービスであり、Standard はエッジで無料で利用可能で、Advanced は CloudFront、Route 53、ALB、Global Accelerator 向けに 24 時間年中無休の SRT レスポンス、コスト保護、レイヤー 3/4/7 攻撃分析を追加します。
試験に出題される理由：ドメイン 3 では Shield Standard (常時稼働、無料、L3/L4) と Shield Advanced (有料、SRT、コスト保護) が区別され、DDoS 耐性に関する頻出のシナリオ問題として出題されます。

特化型サービス

AWS Key Management Service (KMS)AWS ドキュメント ↗
マネージド暗号化キーサービスであり、AWS マネージドキー、カスタマーマネージドキー、外部/インポートされたキーを、許可、キーポリシー、100 以上のサービス全体での CloudTrail ログに記録された使用状況と共に提供します。
試験に出題される理由：ドメイン 5 (データ保護) では、エンベロープ暗号化、クロスアカウントキー共有、キーローテーション、およびキーポリシーと IAM ポリシーの違いが、すべての試験形式で問われます。
AWS Certificate Manager (ACM)AWS ドキュメント ↗
CloudFront、ALB、API Gateway、App Runner 向けの公開 TLS 証明書をプロビジョニングし、自動更新するサービスであり、ACM Private CA はマネージド CRL/OCSP を使用して内部証明書を発行します。
試験に出題される理由：ドメイン 5 の転送中のデータ暗号化に関する問題、およびドメイン 3 の内部 mTLS 向けのプライベート CA 階層に関する問題では、AWS ネイティブな解答として ACM と ACM Private CA が挙げられます。
AWS Secrets ManagerAWS ドキュメント ↗
RDS、Redshift、DocumentDB、およびカスタムの Lambda 駆動型ローテーション向けの自動ローテーションを備えた暗号化されたシークレットストレージであり、きめ細かな IAM アクセスと CloudTrail 監査を提供します。
試験に出題される理由：ドメイン 4 およびドメイン 5 では短期間有効なデータベース認証情報に Secrets Manager が挙げられ、Parameter Store (無料、ローテーションなし) との対比が頻繁に出題される選択肢の組み合わせとなります。
Amazon VPCAWS ドキュメント ↗
サブネット、ルートテーブル、セキュリティグループ (ステートフル)、NACL (ステートレス)、VPC フローログ、VPC エンドポイント、およびパケットキャプチャ用のトラフィックミラーリングを提供するネットワーク分離のプリミティブです。
試験に出題される理由：ドメイン 3 (インフラストラクチャセキュリティ) は主に VPC の仕組みであり、SG と NACL 間の多層防御、インターフェースエンドポイントを介したプライベート接続、フォレンジック用のフローログが問われます。
AWS Network FirewallAWS ドキュメント ↗
VPC 向けのマネージドステートフルファイアウォールであり、Suricata 互換ルールによるディープパケットインスペクション、ドメインフィルタリング、IPS、および組織全体の集中型エグレスフィルタリングを提供します。
試験に出題される理由：ドメイン 3 の、SG/NACL が提供する範囲を超えるステートフルな L3-L7 インスペクション (エグレス専用フィルタリングや集中型インスペクション VPC など) のシナリオでは、Network Firewall が解答として挙げられます。
AWS Firewall ManagerAWS ドキュメント ↗
AWS Organizations 内の複数のアカウント全体で、WAF ルール、Shield Advanced、Network Firewall、Route 53 Resolver DNS Firewall、セキュリティグループに対する組織全体のポリシー適用を行います。
試験に出題される理由：ドメイン 6 (ガバナンス) の、多数のアカウントにわたるセキュリティベースラインの適用に関する問題では、マルチアカウントのコントロールプレーンとして Firewall Manager + Organizations が挙げられます。
Amazon DetectiveAWS ドキュメント ↗
VPC フローログ、CloudTrail、GuardDuty、EKS 監査データを振る舞いモデルに取り込み、不審なアクティビティの根本原因分析を行うための調査グラフです。
試験に出題される理由：ドメイン 1 (脅威検出とインシデントレスポンス) では、GuardDuty の検出結果に対する指定されたフォローアップとして Detective が問われ、コンテキスト、影響範囲、影響を受けるリソースへのピボットに活用されます。
AWS Systems Manager Parameter StoreAWS ドキュメント ↗
String、StringList、SecureString (KMS に裏付けられた) 型をサポートする階層型設定およびシークレットストアであり、無料枠でほとんどのケースをカバーし、より高いクォータでオプションの高度なパラメータを利用できます。
試験に出題される理由：ドメイン 5 の、設定や低ボリュームのシークレットの保存に関する問題では、Parameter Store (無料、ローテーションなし) と Secrets Manager (有料、ローテーションあり) が比較され、そのトレードオフが確実に問われます。

セキュリティとガバナンス

AWS CloudTrailAWS ドキュメント ↗
組織全体の証跡、管理/データ/Insights イベント、ログファイル整合性検証、および SQL クエリ可能な保持のための Lake を備えた不変の API コール監査ログです。
試験に出題される理由：ドメイン 2 (セキュリティロギングとモニタリング) は CloudTrail を基盤となる監査シグナルとして挙げ、整合性検証と集中型組織証跡は一般的なコンプライアンスシナリオの問題です。
AWS ConfigAWS ドキュメント ↗
設定履歴と継続的なコンプライアンス評価を提供し、マネージドルールとカスタムルール、SSM を介した自動修復、CIS/PCI/HIPAA ベースライン向けの適合パックを備えています。
試験に出題される理由：ドメイン 6 (ガバナンス) では、Config が設定ドリフトと継続的なコンプライアンスエンジンとして問われ、CloudTrail の API コール監査証跡を補完します。
AWS Audit ManagerAWS ドキュメント ↗
フレームワーク (PCI DSS、HIPAA、SOC 2、GDPR、FedRAMP) にマッピングされた自動証拠収集サービスであり、評価範囲設定とエクスポート可能な監査人対応レポートを備えています。
試験に出題される理由：ドメイン 6 の、監査証拠の生成とコントロールのコンプライアンスフレームワークへのマッピングに関する問題では、AWS ネイティブな証拠収集サービスとして Audit Manager が挙げられます。
AWS OrganizationsAWS ドキュメント ↗
OU、サービスコントロールポリシー (SCP)、リソースコントロールポリシー、一元的な請求、およびセキュリティサービス向けの委任された管理者アカウントによるマルチアカウント管理サービスです。
試験に出題される理由：ドメイン 6 (ガバナンス) およびドメイン 4 (IAM) では、IAM の上位にあるアクセス許可境界の最後の砦として SCP が問われ、組織全体の GuardDuty、Security Hub、Config 集約の前提条件となります。

キャリアへの影響

代表的な職務

クラウドセキュリティエンジニア
クラウドセキュリティアーキテクト
DevSecOpsエンジニア
AWSセキュリティスペシャリスト
シニア情報セキュリティエンジニア
クラウドコンプライアンスエンジニア
プリンシパルセキュリティアーキテクト

給与範囲（米国、概算）

$140k–$200k–$290k USD 年収

市場の需要

前提条件と推奨される学習パス

難易度と学習時間

試験のバージョン履歴

SCS-C032023-07
現行バージョン。検出サービス、マルチアカウントガバナンス、KMSマルチリージョンキー、Network Firewallの最新化されたカバレッジ。EventBridge / SSM Automationの成熟度を反映した更新されたインシデントレスポンスパターン。
SCS-C022020-07
短期間の中間改訂版。2023年に廃止。
SCS-C012018-04
オリジナルのSecurity Specialty。長らく廃止されており、Security Hub登場以前の検出ツールを使用。

よくある質問

SCS-C03試験の難易度はどのくらいですか？

SCS-C03の学習にはどのくらいの期間を要しますか？

SCS-C03認定は価値がありますか？

SCS-C03の合格点は何点ですか？

SCS-C03の合格点は750 / 1000です。試験には65問の問題が含まれており、所要時間は2 時間 50 分です。

SCS-C03試験の費用はいくらですか？

SCS-C03認定の有効期間はどのくらいですか？

AWS認定は3年間有効です。失効前に、同じ試験の現在のバージョンに合格するか、同じパスの上位レベルの試験に合格することで再認定されます。

SCS-C03をオンラインで受験できますか？

CertLabProのSCS-C03練習試験には何問ありますか？

SCS-C03 の人材を募集する企業

すべての企業を見る

Effectual
Premier パートナー
AWS

SCS-C03

試験ドメイン

試験情報

試験モード

プレイブック

練習モード

閲覧モード

Zenモード

タイムアタック

サバイバル

ブリッツモード

スプリントモード

フラッシュカードモード

詰め込みモード

ストリークチャレンジ

ウィーケストリンク

SRS復習

ハンズオンラボ

学習ノート

活動カレンダー

概要

試験範囲

この試験で扱う AWS サービス

コアサービス

特化型サービス

セキュリティとガバナンス

キャリアへの影響

代表的な職務

給与範囲（米国、概算）

市場の需要

前提条件と推奨される学習パス

難易度と学習時間

試験のバージョン履歴

よくある質問

関連学習ガイド

SCS-C03 の人材を募集する企業

関連する認定資格

SCS-C03

試験ドメイン

試験情報

試験モード

プレイブック

練習モード

閲覧モード

Zenモード

タイムアタック

サバイバル

ブリッツモード

スプリントモード

フラッシュカードモード

詰め込みモード

ストリークチャレンジ

ウィーケストリンク

SRS復習

ハンズオンラボ

学習ノート

活動カレンダー

概要

試験範囲

この試験で扱う AWS サービス

コアサービス

特化型サービス

セキュリティとガバナンス

キャリアへの影響

代表的な職務

給与範囲（米国、概算）

市場の需要

前提条件と推奨される学習パス

難易度と学習時間

試験のバージョン履歴

よくある質問

関連学習ガイド

SCS-C03 の人材を募集する企業

関連する認定資格