AWS Certified Cloud Practitioner (CLF-C02) #5 Domain 2-2 コンプライアンス — ガバナンス、AWS Artifact、GDPR / HIPAA

読了 10分

#4 で責任共有モデルと IAM の基礎を押さえました。今回はドメイン 2 の後半 — コンプライアンス認証、ガバナンス・監査ツール、セキュリティ運用ツール、データ暗号化 — です。

この領域は語彙が多くて難しく感じますが、試験の出題パターンは定型的です。各ツールが どの種類の問いに答えるのか をペアで覚えておけば十分です。

AWS のコンプライアンス認証 #

AWS は世界中のさまざまなコンプライアンス標準の認証を受けています。認証の存在そのものが AWS がその標準のコントロール項目を満たしている という証拠になります。

よく出題される認証 #

認証意味どんなワークロードに
SOC 1 / 2 / 3会計・運用コントロールの監査 (米国 AICPA)一般企業の監査資料
ISO 27001 / 27017 / 27018情報セキュリティマネジメントシステム (国際標準)一般的なセキュリティ認証
PCI DSSクレジットカード決済情報の取り扱い決済システム
HIPAA米国の医療情報保護医療データ
GDPREU の個人情報保護規則EU ユーザーのデータ
FedRAMP米国政府クラウド標準米国政府のワークロード
FISMA米国連邦情報セキュリティマネジメント法米国の連邦機関
ITAR米国の国防・宇宙関連データ防衛・宇宙ワークロード (GovCloud)

コンプライアンスでよく混同する 2 点 #

1) 「AWS が認証を受けた = 自分のワークロードも自動的にコンプライアンスを満たす」という落とし穴

これは責任共有モデルと同じ文脈です。AWS は インフラレベルで 認証を受けていますが、その上に乗せた 顧客ワークロード は別途その認証の要件を満たす必要があります。

例: HIPAA — AWS は HIPAA Eligible Service のリストを提供しますが、そのサービスの上で医療データを扱うアプリを動かすなら、顧客側も BAA (Business Associate Addendum) を締結し、適切なセキュリティコントロールを適用 する必要があります。

2) GDPR とデータ主権

GDPR は EU 市民の個人情報 を扱うすべての組織に適用されます。韓国の会社が EU ユーザーを受け入れるなら GDPR の対象です。AWS は GDPR 遵守に必要なツール (DPA、リージョン選択、暗号化) を提供しますが、データを EU リージョン (例: eu-west-1) に置く判断は顧客の責任 です。

AWS Artifact #

AWS の コンプライアンスレポートと協約書をダウンロード できるセルフサービスです。無料です。

機能説明
ReportsSOC・ISO・PCI などの認証レポートをダウンロード
AgreementsBAA (HIPAA 用)・DPA (GDPR 用) などの協約書を締結

試験の出題パターン #

「AWS の SOC 2 認証レポートをどこで入手するか?」 → AWS Artifact

「HIPAA 遵守のために AWS と BAA を締結するには?」 → AWS Artifact で BAA を締結。

Artifact の限界 #

Artifact は AWS 自身の認証ドキュメント のみを提供します。顧客自身のワークロードのコンプライアンスチェック は別のツール (Audit Manager など) で行います。

ガバナンスと監査ツール #

AWS CloudTrail — API 呼び出しの監査ログ #

誰が、いつ、どの API を呼び出したか を記録します。

属性
デフォルト有効化デフォルトで直近 90 日間のイベント履歴はコンソールで閲覧可能
永続保管S3 バケットに保存するトレイルを別途設定
グローバル ↔ リージョングローバルサービス (IAM・STS) はグローバル、リージョンサービスは各リージョン
連携CloudWatch Logs に送信してアラーム設定可能

CloudTrail の試験シナリオ:

  • 「先週 S3 バケットの ACL を誰が変更したかを追跡」 → CloudTrail
  • 「セキュリティインシデント後に誰がどのリソースを作成したかを監査」 → CloudTrail

AWS Config — リソース構成変更の追跡 #

リソースの設定が時間とともにどう変わってきたか を記録します。

属性
追跡単位各 AWS リソースの構成 (設定) とその変更履歴
ルール評価「S3 バケットでパブリックアクセスのブロックがオンになっているべき」のようなルールで自動評価
非準拠リソースの特定Config Rules に違反するリソースを自動的にフラグ表示

CloudTrail と Config の混同を防ぐ:

  • CloudTrail誰が 何を 呼び出したか (アクションのログ)
  • Config — リソースの 現在の状態と変更履歴

試験では「S3 バケットが常にパブリックアクセスブロックがオンになっているかを自動確認」 → AWS Config

「誰がセキュリティグループを変更したかを探す」 → CloudTrail

AWS Organizations と SCP #

複数のアカウントをまとめて管理するサービスです。

機能説明
Consolidated Billing複数アカウントの請求を統合
OU (Organizational Unit)アカウントをツリー構造でまとめる
SCP (Service Control Policy)OU やアカウントに権限の上限を設定

SCP の動作: ある OU に「EC2 を作成できない」という SCP を適用すると、その OU の中のすべてのアカウントは IAM で EC2 権限を持っていても実際には作成できません。SCP は 上限 (ガードレール) として動きます。

試験では:

  • 「複数アカウントの請求を 1 か所で見るには?」 → AWS Organizations (Consolidated Billing)
  • 「開発者アカウントから特定のリージョンを使えないようにするには?」 → SCP

AWS Control Tower #

Organizations の上に乗った ガバナンス自動化 サービスです。マルチアカウント環境のセットアップを自動化し、ベストプラクティスを強制します。

試験での出題は稀ですが、「ランディングゾーン (Landing Zone) を素早くセットアップするには?」のような選択肢に登場します。

セキュリティ運用ツール #

Amazon GuardDuty — 脅威検知 #

CloudTrail・VPC Flow Log・DNS Log を分析して 悪意のあるアクティビティを自動検知 するサービスです。

  • 不審な API 呼び出し (例: 通常と異なる場所からの root ログイン)
  • 既知の悪意のある IP との通信
  • 仮想通貨マイニングのようなパターン

別途エージェントのインストールは不要です。オンにするだけで動きます。

Amazon Inspector — 脆弱性スキャン #

EC2 インスタンス・コンテナイメージ・Lambda 関数の 既知のセキュリティ脆弱性 (CVE) をスキャン します。

  • 「この EC2 の OS にパッチ未適用の脆弱性はあるか?」
  • 「このコンテナイメージに既知の CVE はあるか?」

Amazon Macie — 機密データの識別 #

S3 に保存されたデータから機密情報 (PII・クレジットカード番号・医療情報など) を識別 します。

  • 機械学習ベースで機密データを自動分類
  • 偶発的な露出を検知 (例: パブリックバケットに PII があるか)

AWS Security Hub — 統合セキュリティダッシュボード #

GuardDuty・Inspector・Macie など複数のセキュリティサービスの結果を 1 つのダッシュボードに統合 します。

AWS Shield — DDoS 防御 #

種類説明
Shield Standardデフォルト提供、無料。一般的な L3/L4 DDoS 防御
Shield Advanced有料 ($3,000/月)。より高度な防御 + DDoS 対応チーム

AWS WAF — ウェブアプリケーションファイアウォール #

HTTP / HTTPS リクエストをルールに従ってフィルタリングします。SQL Injection・XSS のような L7 攻撃を防御。

セキュリティツールの混同を防ぐ #

試験の選択肢にこれらのツールが同時に登場した場合は、次の基準で切り分けます:

「何を知りたいのか?」ツール
不審なアクティビティの検知GuardDuty
OS・アプリの脆弱性スキャンInspector
S3 の機密データの自動分類Macie
複数のセキュリティ結果の統合Security Hub
DDoS 防御Shield
ウェブ攻撃の防御 (SQL Injection など)WAF
API 呼び出しの監査ログCloudTrail
リソース構成の変更履歴Config

データ暗号化 #

2 種類の暗号化の立ち位置 #

種類意味
Encryption at rest保存中の暗号化S3 オブジェクト暗号化、EBS ボリューム暗号化
Encryption in transit転送中の暗号化HTTPS / TLS、VPN

ほとんどの AWS サービスは両方をサポートします。

AWS KMS (Key Management Service) #

暗号化キーを管理 する中央サービスです。

属性
キーの種類AWS managed key / Customer managed key / AWS owned key
連携S3・EBS・RDS・DynamoDB など 70 を超えるサービスが KMS と連携
ローテーションCustomer managed key は自動ローテーション (年 1 回) を設定可能
監査キーの使用は CloudTrail に記録

KMS の試験シナリオ:

  • 「S3 オブジェクトを暗号化するには?」 → SSE-KMS (S3 Server-Side Encryption with KMS)
  • 「EBS ボリュームを暗号化するには?」 → KMS キーを使用
  • 「暗号化キーのローテーションを自動化するには?」 → KMS の自動ローテーション を有効化

AWS CloudHSM #

専用のハードウェアセキュリティモジュール (HSM) を提供するサービスです。KMS との比較:

項目KMSCloudHSM
管理AWS マネージド顧客が単独で利用する専用 HSM
認証FIPS 140-2 Level 3FIPS 140-2 Level 3
ユースケース一般的なすべての暗号化強い規制 (PCI DSS Level 1・金融など)
コストキー 1 つあたり $1/月 + 使用呼び出し1 時間あたり $1.6

ほとんどの場合は KMS で十分 です。CloudHSM は「専用 HSM が規制要件」という特殊ケースのみ。

AWS Secrets Manager vs Parameter Store #

シークレット資格情報を扱う 2 つのサービスです。

項目Secrets ManagerSystems Manager Parameter Store
自動ローテーションサポート (RDS・Redshift など)非サポート
価格$0.40/secret/月 + API 呼び出し標準パラメータは無料
ユースケースDB パスワードの自動ローテーション一般的な設定値とシークレット

セキュリティシナリオの正解マッピング #

試験によく登場するシナリオと正解のマッピングです。

シナリオ正解
不審なアクティビティを自動検知したいGuardDuty
S3 の機密データを自動分類したいMacie
EC2 インスタンスの OS 脆弱性をスキャンしたいInspector
誰がどの API を呼び出したかを追跡したいCloudTrail
S3 バケットが常にパブリックブロックかを自動確認Config
複数アカウントの請求を統合Organizations (Consolidated Billing)
特定の OU で特定のリージョンの使用を禁止SCP
SOC 2 認証レポートをダウンロードArtifact
HIPAA BAA を締結Artifact
DDoS 防御 (基本)Shield Standard
ウェブ攻撃 (SQL Injection・XSS) の防御WAF
暗号化キーの管理KMS
専用 HSM が必要 (強い規制)CloudHSM
DB パスワードの自動ローテーションSecrets Manager

よく出会う落とし穴 #

1) 「AWS が認証を受けたので自分のワークロードも自動的にコンプライアンス」 #

落とし穴です。インフラレベル の認証にすぎず、顧客ワークロードは別途満たす必要があります。

2) CloudTrail と Config の混同 #

  • CloudTrail = 誰が呼び出したか
  • Config = リソースがどんな状態か

3) Shield Standard を別途申請 #

Shield Standard は デフォルト提供・無料 です。別途申請はしません。

4) GuardDuty と Inspector の混同 #

  • GuardDuty = アクティビティ検知 (不審な API・トラフィック)
  • Inspector = 脆弱性スキャン (OS・アプリの CVE)

5) Macie を一般的なデータ分類ツールと誤解 #

Macie は S3 限定 の機密データ分類ツールです。RDS や DynamoDB のような他のデータストアには適用されません。

6) KMS と CloudHSM の選択をコストで決める #

KMS で足りないケースは 規制要件 です。コストは二次的です。

7) AWS Artifact をワークロードのチェックツールと考える #

Artifact は AWS の認証ドキュメント の提供です。顧客ワークロードのチェック は Audit Manager などの別ツールで行います。

まとめ #

この記事で押さえたこと:

  • コンプライアンス認証 — SOC / ISO / PCI DSS / HIPAA / GDPR / FedRAMP / FISMA / ITAR
  • 認証の意味 — AWS インフラのコントロール項目を満たす。顧客ワークロードは別途
  • AWS Artifact — 認証レポートと協約書 (BAA・DPA) のダウンロード
  • ガバナンス・監査ツール — CloudTrail (API 呼び出し) / Config (リソース構成) / Organizations (アカウントの束ね) / SCP (ガードレール)
  • セキュリティ運用ツール — GuardDuty (脅威) / Inspector (脆弱性) / Macie (機密データ) / Security Hub (統合) / Shield (DDoS) / WAF (ウェブ)
  • データ暗号化 — At rest と In transit。KMS が標準、強い規制のみ CloudHSM
  • Secrets Manager は自動ローテーション、Parameter Store は一般的な設定
  • 落とし穴 — 認証の適用範囲 / CloudTrail と Config の混同 / Shield Standard の別途申請 / GuardDuty と Inspector の混同 / Macie の S3 限定 / Artifact の限界

次へ — Domain 3 のコアサービス #

ドメイン 2 が終わりました。次は試験で最も表面積が広い Domain 3 — Cloud Technology and Services (34%) です。

#6 Domain 3-1 コアサービス — コンピューティングとストレージ では、コンピューティング (EC2・Lambda・ECS・Fargate・Elastic Beanstalk・Lightsail) とストレージ (S3 storage classes・EBS・EFS・FSx・Storage Gateway・Glacier) をまとめます。覚える量は多いですが、ワークロード → サービスのマッピング に圧縮されます。

X