【全出題範囲網羅+詳細解説】AWS SCS-C02日本語実践問題260問 (Security Specialty)

更新履歴

• 2025/4:  演習4 フルセット(65問)にアップデートしました。

コース紹介

SCS-C02の全ての出題範囲を網羅した実践問題集です。
AWS SCS（AWS Certified Security - Specialty）に合格したい方はもちろんのこと、AWSでセキュリティエンジニア ロールを担う方の効率的な学習をサポートするコースです。スペシャリティ試験は解くための前提となる知識が多いため、その前提知識についての解説は詳しく記載するようにしました。

本問題集のサンプル

以下本問題集に収録されている問題サンプルです。ご自身が求めているレベルかを確認してください

問題

ある企業では、AWS 上で複数のワークロードを実行しています。従業員は、AWS マネジメントコンソールにアクセスするために、オンプレミスの ADFS と SSO を使用して認証する必要があります。開発者は、既存のレガシー Web アプリケーションを Amazon EC2 インスタンスに移行しました。従業員はインターネット上のどこからでもこのアプリケーションにアクセスする必要がありますが、現在、アプリケーションには認証システムが組み込まれていません。 セキュリティエンジニアは、アプリケーションを変更せずに、このシステムへの従業員専用のアクセスをどのように実装すればよいでしょうか 。

選択肢

A.  アプリケーションを Application Load Balancer (ALB) の背後に配置し、ALB の認証として Amazon Cognito を使用する。SAML ベースの Amazon Cognito ユーザープールを定義し、ADFS に接続する。

B.  管理アカウントに AWS IAM Identity Center (AWS Single Sign-On) を実装し、それを ID プロバイダーとして ADFS にリンクする。EC2 インスタンスを管理対象リソースとして定義し、リソースに IAM ポリシーを適用する。

C.  Amazon Cognito ID プールを定義し、Active Directory サーバーにコネクタをインストールする。アプリケーションインスタンスで Amazon Cognito SDK を使用し、Active Directory のユーザー名とパスワードで従業員を認証する。

D.  Amazon EC2 上のリバースプロキシの認証子として AWS Lambda カスタム認証子を作成する。Amazon EC2 のセキュリティグループが Lambda 関数からのアクセスのみを許可するようにする。

考えてからスクロールしてください。

・

・

・

・

・

・

・

・

正解：A

解説：

Application Load Balancer（ALB）の 認証機能（Amazon Cognito） を使用することで、EC2 アプリケーションを変更せずに、SAML ベースの ADFS 認証を適用 できます。

• ALB の「OIDC / SAML 認証」機能を使用することで、アプリケーションを変更せずに認証機能を追加可能。

• Amazon Cognito を SAML IdP（ADFS）と統合することで、ADFS のユーザーを認証できる。

• ALB の背後にアプリケーションを配置することで、認証済みユーザーのみがアクセスできる環境を構築可能。

この方法により、従業員専用のアクセスを実装しながら、アプリケーションコードを変更せずに済むため、最適なソリューションとなります。

問われている要件

この問題では、以下の要件を満たす認証ソリューションを選択する必要があります。

1. EC2 上で動作するレガシー Web アプリケーションを変更せずに、認証機能を追加する。

2. ADFS を使用した SAML ベースの認証を適用する。

3. インターネット上のどこからでも従業員がアクセスできるようにする。

前提知識

1. Application Load Balancer（ALB）の認証機能

ALB には、ユーザー認証の機能を持たせることができる 機能があります。
これにより、アプリケーション自体を変更せずに、認証付きのアクセス制御が可能 になります。

ALB の認証機能の特徴：

• Amazon Cognito または OIDC / SAML を使用した認証をサポート。

• アプリケーションに認証機能がない場合でも、ALB の段階でユーザー認証が可能。

• 認証が成功した場合のみ、EC2 にリクエストを転送できる。

2. Amazon Cognito と ADFS（SAML）の連携

Amazon Cognito は、外部の SAML IdP（Active Directory Federation Services）と統合できる 機能を持っています。
これにより、ADFS の認証情報を使って AWS 内のアプリケーションにアクセスすることが可能 になります。

3. AWS における認証の適切な選択

• AWS IAM Identity Center（AWS SSO）は AWS の管理コンソールや CLI へのアクセス管理には適しているが、EC2 でのアプリ認証には不向き。

• Cognito ID プールは AWS リソースへの一時的な認証情報提供のための機能であり、Web アプリケーションの認証システムには向いていない。

• Lambda をリバースプロキシとして使用する方法は、運用負担が大きく、スケーラビリティに欠ける。

• ALB + Cognito（SAML）は、アプリケーションのコードを変更せずに、最も簡単に SAML 認証を適用できる方法。

解くための考え方

1. 既存のレガシーアプリケーションに認証機能を追加する必要がある。

2. ADFS を SAML IdP として利用する必要がある。

3. AWS のネイティブ機能で、運用負担の少ない方法を選ぶ。

この要件をすべて満たすのが 「ALB の認証機能を使用し、Cognito + SAML で ADFS を統合する方法」 です。

参考資料（AWS公式ドキュメント）※問題集本体にはリンクが付属します。

1. Application Load Balancer でのユーザー認証
   ALB で Amazon Cognito を使用してユーザー認証を行う方法について説明しています。

2. Amazon Cognito と SAML IdP の統合
   Amazon Cognito ユーザープールを SAML IdP（ADFS）と統合する方法について説明しています。

不正解選択肢の評価

B：AWS IAM Identity Center（旧 AWS SSO）は、AWS へのアクセス管理には適していますが、EC2 上の Web アプリケーションの認証には適していません。IAM Identity Center は AWS マネジメントコンソールや AWS CLI へのアクセス制御には有効 ですが、独自の EC2 アプリケーションの認証ゲートウェイとしては機能しません。

C：Amazon Cognito ID プールは、AWS リソースへの一時的な認証情報を提供するための機能 です。Cognito の ID プールは IAM と連携し、リソースへのアクセス制御を行うためのものであり、Web アプリケーションの認証システムとしては不適切 です。また、Cognito の SDK をアプリケーション側に組み込む必要があるため、「アプリケーションを変更せずに」認証を実装する要件を満たしません。

D：リバースプロキシとして AWS Lambda を認証ゲートウェイにすることは可能ですが、EC2 のセキュリティグループで Lambda 関数のみを許可する方法では、セッション管理やスケーリングの面で大きな問題が発生 します。Lambda を認証ゲートウェイにするには、ユーザーごとのトークン管理やセッション制御が必要であり、運用負担が大きい。Lambda の実行時間制限（最大15分）があるため、長時間のセッション維持には向いていない。ALB + Cognito の方が AWS によるネイティブなサポートがあり、スケーラビリティが高い。このため、Lambda をリバースプロキシとして認証ゲートウェイにする方法は、適切ではありません。

SCS-C02の特徴

AWS認定SCS-C02（Security - Specialty）は、高度なセキュリティ設計と運用知識が求められる難関試験です。実践的なシナリオベースの出題であり、単にAWSサービスの機能を理解しておくだけでは点数を取ることは難しいです。IAM、ネットワークセキュリティ、データ保護、モニタリングなどの幅広いセキュリティ分野に精通していることが前提となります。特にセキュリティリスクの評価やインシデント対応に関する深い理解が必要です。

本問題集の特徴

• SCS-C02の出題形式に沿った本番ライクな問題

• 全問題に詳細な解説とAWS公式ドキュメントへのリンクを記載

• 不正解選択肢の理由についての解説

• 長文の問題文から問われている要点を解説

• 問題を解くための詳しい前提知識の説明