AWS Certified Cloud Practitioner (CLF-C02) #5 Domain 2-2 コンプライアンス — ガバナンス、AWS Artifact、GDPR / HIPAA
#4 で責任共有モデルと IAM の基礎を押さえました。今回はドメイン 2 の後半 — コンプライアンス認証、ガバナンス・監査ツール、セキュリティ運用ツール、データ暗号化 — です。
この領域は語彙が多くて難しく感じますが、試験の出題パターンは定型的です。各ツールが どの種類の問いに答えるのか をペアで覚えておけば十分です。
AWS のコンプライアンス認証 #
AWS は世界中のさまざまなコンプライアンス標準の認証を受けています。認証の存在そのものが AWS がその標準のコントロール項目を満たしている という証拠になります。
よく出題される認証 #
| 認証 | 意味 | どんなワークロードに |
|---|---|---|
| SOC 1 / 2 / 3 | 会計・運用コントロールの監査 (米国 AICPA) | 一般企業の監査資料 |
| ISO 27001 / 27017 / 27018 | 情報セキュリティマネジメントシステム (国際標準) | 一般的なセキュリティ認証 |
| PCI DSS | クレジットカード決済情報の取り扱い | 決済システム |
| HIPAA | 米国の医療情報保護 | 医療データ |
| GDPR | EU の個人情報保護規則 | EU ユーザーのデータ |
| FedRAMP | 米国政府クラウド標準 | 米国政府のワークロード |
| FISMA | 米国連邦情報セキュリティマネジメント法 | 米国の連邦機関 |
| ITAR | 米国の国防・宇宙関連データ | 防衛・宇宙ワークロード (GovCloud) |
コンプライアンスでよく混同する 2 点 #
1) 「AWS が認証を受けた = 自分のワークロードも自動的にコンプライアンスを満たす」という落とし穴
これは責任共有モデルと同じ文脈です。AWS は インフラレベルで 認証を受けていますが、その上に乗せた 顧客ワークロード は別途その認証の要件を満たす必要があります。
例: HIPAA — AWS は HIPAA Eligible Service のリストを提供しますが、そのサービスの上で医療データを扱うアプリを動かすなら、顧客側も BAA (Business Associate Addendum) を締結し、適切なセキュリティコントロールを適用 する必要があります。
2) GDPR とデータ主権
GDPR は EU 市民の個人情報 を扱うすべての組織に適用されます。韓国の会社が EU ユーザーを受け入れるなら GDPR の対象です。AWS は GDPR 遵守に必要なツール (DPA、リージョン選択、暗号化) を提供しますが、データを EU リージョン (例: eu-west-1) に置く判断は顧客の責任 です。
AWS Artifact #
AWS の コンプライアンスレポートと協約書をダウンロード できるセルフサービスです。無料です。
| 機能 | 説明 |
|---|---|
| Reports | SOC・ISO・PCI などの認証レポートをダウンロード |
| Agreements | BAA (HIPAA 用)・DPA (GDPR 用) などの協約書を締結 |
試験の出題パターン #
「AWS の SOC 2 認証レポートをどこで入手するか?」 → AWS Artifact。
「HIPAA 遵守のために AWS と BAA を締結するには?」 → AWS Artifact で BAA を締結。
Artifact の限界 #
Artifact は AWS 自身の認証ドキュメント のみを提供します。顧客自身のワークロードのコンプライアンスチェック は別のツール (Audit Manager など) で行います。
ガバナンスと監査ツール #
AWS CloudTrail — API 呼び出しの監査ログ #
誰が、いつ、どの API を呼び出したか を記録します。
| 属性 | 値 |
|---|---|
| デフォルト有効化 | デフォルトで直近 90 日間のイベント履歴はコンソールで閲覧可能 |
| 永続保管 | S3 バケットに保存するトレイルを別途設定 |
| グローバル ↔ リージョン | グローバルサービス (IAM・STS) はグローバル、リージョンサービスは各リージョン |
| 連携 | CloudWatch Logs に送信してアラーム設定可能 |
CloudTrail の試験シナリオ:
- 「先週 S3 バケットの ACL を誰が変更したかを追跡」 → CloudTrail
- 「セキュリティインシデント後に誰がどのリソースを作成したかを監査」 → CloudTrail
AWS Config — リソース構成変更の追跡 #
リソースの設定が時間とともにどう変わってきたか を記録します。
| 属性 | 値 |
|---|---|
| 追跡単位 | 各 AWS リソースの構成 (設定) とその変更履歴 |
| ルール評価 | 「S3 バケットでパブリックアクセスのブロックがオンになっているべき」のようなルールで自動評価 |
| 非準拠リソースの特定 | Config Rules に違反するリソースを自動的にフラグ表示 |
CloudTrail と Config の混同を防ぐ:
- CloudTrail — 誰が 何を 呼び出したか (アクションのログ)
- Config — リソースの 現在の状態と変更履歴
試験では「S3 バケットが常にパブリックアクセスブロックがオンになっているかを自動確認」 → AWS Config。
「誰がセキュリティグループを変更したかを探す」 → CloudTrail。
AWS Organizations と SCP #
複数のアカウントをまとめて管理するサービスです。
| 機能 | 説明 |
|---|---|
| Consolidated Billing | 複数アカウントの請求を統合 |
| OU (Organizational Unit) | アカウントをツリー構造でまとめる |
| SCP (Service Control Policy) | OU やアカウントに権限の上限を設定 |
SCP の動作: ある OU に「EC2 を作成できない」という SCP を適用すると、その OU の中のすべてのアカウントは IAM で EC2 権限を持っていても実際には作成できません。SCP は 上限 (ガードレール) として動きます。
試験では:
- 「複数アカウントの請求を 1 か所で見るには?」 → AWS Organizations (Consolidated Billing)
- 「開発者アカウントから特定のリージョンを使えないようにするには?」 → SCP
AWS Control Tower #
Organizations の上に乗った ガバナンス自動化 サービスです。マルチアカウント環境のセットアップを自動化し、ベストプラクティスを強制します。
試験での出題は稀ですが、「ランディングゾーン (Landing Zone) を素早くセットアップするには?」のような選択肢に登場します。
セキュリティ運用ツール #
Amazon GuardDuty — 脅威検知 #
CloudTrail・VPC Flow Log・DNS Log を分析して 悪意のあるアクティビティを自動検知 するサービスです。
- 不審な API 呼び出し (例: 通常と異なる場所からの root ログイン)
- 既知の悪意のある IP との通信
- 仮想通貨マイニングのようなパターン
別途エージェントのインストールは不要です。オンにするだけで動きます。
Amazon Inspector — 脆弱性スキャン #
EC2 インスタンス・コンテナイメージ・Lambda 関数の 既知のセキュリティ脆弱性 (CVE) をスキャン します。
- 「この EC2 の OS にパッチ未適用の脆弱性はあるか?」
- 「このコンテナイメージに既知の CVE はあるか?」
Amazon Macie — 機密データの識別 #
S3 に保存されたデータから機密情報 (PII・クレジットカード番号・医療情報など) を識別 します。
- 機械学習ベースで機密データを自動分類
- 偶発的な露出を検知 (例: パブリックバケットに PII があるか)
AWS Security Hub — 統合セキュリティダッシュボード #
GuardDuty・Inspector・Macie など複数のセキュリティサービスの結果を 1 つのダッシュボードに統合 します。
AWS Shield — DDoS 防御 #
| 種類 | 説明 |
|---|---|
| Shield Standard | デフォルト提供、無料。一般的な L3/L4 DDoS 防御 |
| Shield Advanced | 有料 ($3,000/月)。より高度な防御 + DDoS 対応チーム |
AWS WAF — ウェブアプリケーションファイアウォール #
HTTP / HTTPS リクエストをルールに従ってフィルタリングします。SQL Injection・XSS のような L7 攻撃を防御。
セキュリティツールの混同を防ぐ #
試験の選択肢にこれらのツールが同時に登場した場合は、次の基準で切り分けます:
| 「何を知りたいのか?」 | ツール |
|---|---|
| 不審なアクティビティの検知 | GuardDuty |
| OS・アプリの脆弱性スキャン | Inspector |
| S3 の機密データの自動分類 | Macie |
| 複数のセキュリティ結果の統合 | Security Hub |
| DDoS 防御 | Shield |
| ウェブ攻撃の防御 (SQL Injection など) | WAF |
| API 呼び出しの監査ログ | CloudTrail |
| リソース構成の変更履歴 | Config |
データ暗号化 #
2 種類の暗号化の立ち位置 #
| 種類 | 意味 | 例 |
|---|---|---|
| Encryption at rest | 保存中の暗号化 | S3 オブジェクト暗号化、EBS ボリューム暗号化 |
| Encryption in transit | 転送中の暗号化 | HTTPS / TLS、VPN |
ほとんどの AWS サービスは両方をサポートします。
AWS KMS (Key Management Service) #
暗号化キーを管理 する中央サービスです。
| 属性 | 値 |
|---|---|
| キーの種類 | AWS managed key / Customer managed key / AWS owned key |
| 連携 | S3・EBS・RDS・DynamoDB など 70 を超えるサービスが KMS と連携 |
| ローテーション | Customer managed key は自動ローテーション (年 1 回) を設定可能 |
| 監査 | キーの使用は CloudTrail に記録 |
KMS の試験シナリオ:
- 「S3 オブジェクトを暗号化するには?」 → SSE-KMS (S3 Server-Side Encryption with KMS)
- 「EBS ボリュームを暗号化するには?」 → KMS キーを使用
- 「暗号化キーのローテーションを自動化するには?」 → KMS の自動ローテーション を有効化
AWS CloudHSM #
専用のハードウェアセキュリティモジュール (HSM) を提供するサービスです。KMS との比較:
| 項目 | KMS | CloudHSM |
|---|---|---|
| 管理 | AWS マネージド | 顧客が単独で利用する専用 HSM |
| 認証 | FIPS 140-2 Level 3 | FIPS 140-2 Level 3 |
| ユースケース | 一般的なすべての暗号化 | 強い規制 (PCI DSS Level 1・金融など) |
| コスト | キー 1 つあたり $1/月 + 使用呼び出し | 1 時間あたり $1.6 |
ほとんどの場合は KMS で十分 です。CloudHSM は「専用 HSM が規制要件」という特殊ケースのみ。
AWS Secrets Manager vs Parameter Store #
シークレット資格情報を扱う 2 つのサービスです。
| 項目 | Secrets Manager | Systems Manager Parameter Store |
|---|---|---|
| 自動ローテーション | サポート (RDS・Redshift など) | 非サポート |
| 価格 | $0.40/secret/月 + API 呼び出し | 標準パラメータは無料 |
| ユースケース | DB パスワードの自動ローテーション | 一般的な設定値とシークレット |
セキュリティシナリオの正解マッピング #
試験によく登場するシナリオと正解のマッピングです。
| シナリオ | 正解 |
|---|---|
| 不審なアクティビティを自動検知したい | GuardDuty |
| S3 の機密データを自動分類したい | Macie |
| EC2 インスタンスの OS 脆弱性をスキャンしたい | Inspector |
| 誰がどの API を呼び出したかを追跡したい | CloudTrail |
| S3 バケットが常にパブリックブロックかを自動確認 | Config |
| 複数アカウントの請求を統合 | Organizations (Consolidated Billing) |
| 特定の OU で特定のリージョンの使用を禁止 | SCP |
| SOC 2 認証レポートをダウンロード | Artifact |
| HIPAA BAA を締結 | Artifact |
| DDoS 防御 (基本) | Shield Standard |
| ウェブ攻撃 (SQL Injection・XSS) の防御 | WAF |
| 暗号化キーの管理 | KMS |
| 専用 HSM が必要 (強い規制) | CloudHSM |
| DB パスワードの自動ローテーション | Secrets Manager |
よく出会う落とし穴 #
1) 「AWS が認証を受けたので自分のワークロードも自動的にコンプライアンス」 #
落とし穴です。インフラレベル の認証にすぎず、顧客ワークロードは別途満たす必要があります。
2) CloudTrail と Config の混同 #
- CloudTrail = 誰が呼び出したか
- Config = リソースがどんな状態か
3) Shield Standard を別途申請 #
Shield Standard は デフォルト提供・無料 です。別途申請はしません。
4) GuardDuty と Inspector の混同 #
- GuardDuty = アクティビティ検知 (不審な API・トラフィック)
- Inspector = 脆弱性スキャン (OS・アプリの CVE)
5) Macie を一般的なデータ分類ツールと誤解 #
Macie は S3 限定 の機密データ分類ツールです。RDS や DynamoDB のような他のデータストアには適用されません。
6) KMS と CloudHSM の選択をコストで決める #
KMS で足りないケースは 規制要件 です。コストは二次的です。
7) AWS Artifact をワークロードのチェックツールと考える #
Artifact は AWS の認証ドキュメント の提供です。顧客ワークロードのチェック は Audit Manager などの別ツールで行います。
まとめ #
この記事で押さえたこと:
- コンプライアンス認証 — SOC / ISO / PCI DSS / HIPAA / GDPR / FedRAMP / FISMA / ITAR
- 認証の意味 — AWS インフラのコントロール項目を満たす。顧客ワークロードは別途
- AWS Artifact — 認証レポートと協約書 (BAA・DPA) のダウンロード
- ガバナンス・監査ツール — CloudTrail (API 呼び出し) / Config (リソース構成) / Organizations (アカウントの束ね) / SCP (ガードレール)
- セキュリティ運用ツール — GuardDuty (脅威) / Inspector (脆弱性) / Macie (機密データ) / Security Hub (統合) / Shield (DDoS) / WAF (ウェブ)
- データ暗号化 — At rest と In transit。KMS が標準、強い規制のみ CloudHSM
- Secrets Manager は自動ローテーション、Parameter Store は一般的な設定
- 落とし穴 — 認証の適用範囲 / CloudTrail と Config の混同 / Shield Standard の別途申請 / GuardDuty と Inspector の混同 / Macie の S3 限定 / Artifact の限界
次へ — Domain 3 のコアサービス #
ドメイン 2 が終わりました。次は試験で最も表面積が広い Domain 3 — Cloud Technology and Services (34%) です。
#6 Domain 3-1 コアサービス — コンピューティングとストレージ では、コンピューティング (EC2・Lambda・ECS・Fargate・Elastic Beanstalk・Lightsail) とストレージ (S3 storage classes・EBS・EFS・FSx・Storage Gateway・Glacier) をまとめます。覚える量は多いですが、ワークロード → サービスのマッピング に圧縮されます。