AWS認定 クラウドプラクティショナー(CLF-C02)で配点最大級のドメイン2(30%)。責任共有モデルとIAMに続く3つ目のテーマが、このセキュリティ・ガバナンス・コンプライアンスです。ここは似た名前のサービスが大量に登場し、「Inspector・GuardDuty・Macie・Detectiveの違い」や「CloudTrail・CloudWatch・Configの違い」が試験の最頻出ポイント。名前で丸暗記せず、「何を見張る道具か」で整理すれば一気に解けるようになります。全体像は CLF対策トップ へ。

ガバナンスとコンプライアンス:AWS Artifactで“証明書”を入手
まず用語から。ガバナンスは「組織のルールを決めて守らせる仕組み」、コンプライアンスは「法律や業界基準(ルール)を守れている状態」を指します。AWSは世界中のコンプライアンス認証(ISO・SOC・PCI DSSなど)を取得しており、その監査レポートや証明書をダウンロードできる窓口が AWS Artifact です。
「監査で第三者機関にAWSの認証書を提出したい」——そんなとき、公式レポートをセルフサービスで入手できる無料サービスがArtifactです。コンプラ情報がほしい=Artifact、と覚えれば試験は十分。
なお、どのコンプライアンス要件が関係するかはサービスや業界ごとに異なります(医療・金融など)。AWS全体の準拠状況は「AWS Compliance(コンプライアンスプログラム)」として公開されています。
暗号化:転送中と保存時、両方を守る
クラウドセキュリティの強力な武器が暗号化。データを「読めない形」に変換し、盗まれても中身を守ります。試験では2つの状態の区別が問われます。
- 転送中の暗号化(in transit):ネットワークを流れるデータを守る(例:HTTPS/TLS)。証明書は AWS Certificate Manager(ACM) で管理
- 保存時の暗号化(at rest):ディスクに保存されたデータを守る(例:S3やEBSの暗号化)。暗号鍵は AWS KMS(Key Management Service) で管理
ポイント:「動いているデータ=転送中」「止まっているデータ=保存時」。鍵の管理はKMS、通信の証明書はACM、とセットで押さえましょう。より強固な専用ハードウェアが必要なら AWS CloudHSM もあります。
脅威を“検知”するサービス群:Inspector・GuardDuty・Macie・Detective
ここが本記事の山場。4つの検知サービスは「何を見張るか」がそれぞれ違います。役割で覚えるのがコツです。

| サービス | 何をする? | ひとことで |
|---|---|---|
| Inspector | EC2やコンテナの脆弱性(弱点)を自動スキャンする | 弱点の健康診断 |
| GuardDuty | ログを分析し不審な動き(脅威)を検知する見張り番 | 脅威の監視カメラ |
| Macie | S3の中の個人情報(名前・カード番号など)を発見する | 個人情報の探知機 |
| Detective | 検知後、原因を深掘り調査する(探偵役) | 事件の原因調査 |
| Security Hub | 上の検知結果を1画面に集約する司令塔 | まとめダッシュボード |
| Shield | DDoS攻撃(大量アクセスでダウンさせる攻撃)を防御 | DDoSの盾 |
覚え方:Inspector=内側の弱点さがし、GuardDuty=外からの脅威さがし、Macie=S3の個人情報さがし、Detective=起きた後の原因さがし。Security Hubはそれらを束ねる画面、Shieldだけは検知ではなくDDoS防御と役割が違います。
記録して“監査”するサービス群:CloudTrail・CloudWatch・Config
もう1つの頻出混同ペアがこれ。「誰が何をしたか」「元気に動いているか」「設定はどう変わったか」——見ている対象が違います。

| サービス | 見ているもの | 答える質問 |
|---|---|---|
| CloudTrail | 操作の記録(API・誰がいつ何をしたか) | 「誰がこれを消した?」 |
| CloudWatch | 稼働状況の監視(CPU・メトリクス・アラーム・ログ) | 「今ちゃんと動いてる?」 |
| Config | 設定・構成の変化(いつどう変わったか・ルール準拠) | 「設定が勝手に変わった?」 |
| Audit Manager | 監査レポートの作成を自動化(証拠集めを効率化) | 「監査の証拠をまとめて」 |
覚え方:CloudTrail=「誰が」の操作ログ、CloudWatch=「元気か」の監視(Watch=見張る)、Config=「設定の変化」の追跡。監査の証拠づくりをまとめて自動化したいときは Audit Manager です。ちなみにログの多くはS3やCloudWatch Logsに保存され、後から検索・分析できます。
確認クイズ
Q1. AWSのコンプライアンス監査レポートや認証書を、セルフサービスでダウンロードできるサービスはどれですか?
Q2. S3バケットに保存されたデータの中に、クレジットカード番号などの個人情報が含まれていないかを自動で発見したい。最適なサービスは?
Q3. 「先週、誰がこのリソースを削除したのか」を後から調べたい。操作の記録を残しているサービスは?
Q4. データベースに保存する「保存時(at rest)の暗号化」で、暗号鍵の作成・管理に使う中心的なサービスは?
よくある質問(FAQ)
Q. GuardDutyとInspectorはどう違いますか?
A. GuardDutyは「外からの不審な動き(脅威)」をログから検知する見張り番、Inspectorは「サーバー内部の弱点(脆弱性)」をスキャンする健康診断です。脅威=GuardDuty/弱点=Inspectorと覚えると混同しません。
Q. CloudTrailとCloudWatchの違いは?
A. CloudTrailは「誰が何をしたか」の操作記録(監査証跡)、CloudWatchは「ちゃんと動いているか」の稼働監視(CPUなどのメトリクスやアラーム)です。名前の通りCloudWatchは“見張る”=監視、と結びつけましょう。
Q. 転送中と保存時の暗号化、両方必要ですか?
A. はい、両方が基本です。通信経路を守る「転送中(HTTPS/TLS・ACM)」と、保存データを守る「保存時(S3/EBSの暗号化・KMSの鍵)」は守る場所が違うため、セットで対策します。
まとめ
- コンプライアンス書類=AWS Artifact(監査レポート・認証書の窓口)
- 暗号化は転送中(ACM)+保存時(KMS)の両方で守る
- 検知は役割で区別:Inspector=弱点/GuardDuty=脅威/Macie=S3の個人情報/Detective=原因調査、ShieldはDDoS防御
- 監査は対象で区別:CloudTrail=操作記録/CloudWatch=稼働監視/Config=設定変更
- ➡ 出題範囲の地図:CLF-C02シラバス完全マップ
- ➡ 関連:責任共有モデル(どこまでが利用者の守備範囲か)
- ➡ 関連:IAM(誰が・何を・できるか)
- ➡ CLF対策トップに戻る
※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。



コメント