AWS Security Specialty 勉強方法 完全ロードマップ

AWS Security Specialty 勉強方法 完全ロードマップ 未分類

AWS Security Specialty 勉強方法 完全ロードマップ

〜大手SIerインフラエンジニアがSCS-C02に受かったリアルな勉強術〜

AWS Certified Security – Specialty(以下 AWS Security Specialty)は、AWS認定の中でも「ガチのセキュリティエンジニア」向けの試験です。

ソリューションアーキテクトやCloudOps、Data、Machine Learningといった資格に比べても、
「とにかくサービス横断でセキュリティを問われる」
という意味で、かなり骨太な内容になっています。

この記事では、以下のような不安を抱えている方に向けて、できるだけ具体的に勉強方法を整理していきます。

  • SAA や CloudOps までは取ったけれど、Security Specialty は一気に難しくなりそうで不安

  • 何から勉強すればいいか分からず、ホワイトペーパーを開いた瞬間に心が折れた

  • GuardDuty / Security Hub / Macie / Network Firewall など横文字だらけで混乱している

  • 業務ではオンプレ案件も多く、平日は1〜1.5時間くらいしか勉強時間が取れない

この記事では、公式の試験ガイドや AWS 公式ドキュメントをベースに試験範囲を整理しつつ、

  • 試験の基本情報と出題ドメインのイメージ

  • ドメイン別に「何をどこまでやればいいか」の勉強方針

  • 日本語の参考書・Udemy 講座・AWS Skill Builder の使い分け

  • 平日1〜1.5時間+週末3〜4時間で回す2か月の学習スケジュール

  • 大手SIerインフラエンジニアとして実際に合格したときの勉強記録(ペルソナ)

まで、まとめて整理していきます。

読み終わる頃には、

「自分の今のレベルなら、この順番・この教材で進めれば合格できそうだな」

というイメージがかなり具体的に持てるはずです。

  1. AWS Security Specialty 試験の基本情報をざっくり把握する
    1. 1-1. 試験コード・位置づけ・対象者
    2. 1-2. 試験形式・時間・合格ライン
    3. 1-3. 出題ドメインと配点
    4. 1-4. SCS-C03 へのアップデートについて(2025年以降)
  2. 著者プロフィールと合格時の状況
    1. 2-1. 勉強に使えた時間感
  3. 合格までの勉強時間の目安(前提別)
    1. 3-1. まだアソシエイトレベルもこれからの人
    2. 3-2. SAA / DVA / CloudOps などを既に取得済みだが、セキュリティ業務は少ない人
    3. 3-3. SOC / CSIRT / セキュリティコンサルなどで AWS をバリバリ使っている人
  4. 勉強の全体戦略:4フェーズで考える
  5. フェーズ1:前提知識の棚卸しと公式ガイドの把握
    1. 5-1. まず必ず読むべきもの:試験ガイドと公式ドメイン解説
    2. 5-2. Well-Architected セキュリティの柱をざっくり読む
  6. フェーズ2:ドメイン別インプット戦略
    1. 6-1. 共通で意識しておきたい「メインキャスト」サービス
    2. 6-2. Domain 1:Threat Detection and Incident Response(14%)
    3. 6-3. Domain 2:Security Logging and Monitoring(18%)
    4. 6-4. Domain 3:Infrastructure Security(20%)
    5. 6-5. Domain 4:Identity and Access Management(16%)
    6. 6-6. Domain 5:Data Protection(18%)
    7. 6-7. Domain 6:Management and Security Governance(14%)
  7. 日本語の参考書・Udemy講座・Skill Builder のおすすめ組み合わせ
    1. 7-1. 日本語の定番書籍
    2. 7-2. 日本語の問題集・Udemy
    3. 7-3. AWS Skill Builder(公式トレーニング)の活用
  8. フェーズ3:問題演習で「Security Specialty の問われ方」に慣れる
    1. 8-1. なぜ問題演習が重要か
    2. 8-2. 問題演習の具体的な進め方
  9. フェーズ4:弱点ドメインの潰し込みと直前1〜2週間の過ごし方
    1. 9-1. スコアレポートと自己分析で弱点ドメインを特定
    2. 9-2. 直前1〜2週間の過ごし方
  10. 大手SIerインフラエンジニアとしての合格体験記(ペルソナベース)
    1. 10-1. 受験を決めたきっかけ
    2. 10-2. 勉強開始〜1か月目:とにかくドメイン構造を掴む
    3. 10-3. 1〜2か月目:問題演習で「問われ方」を体に叩き込む
    4. 10-4. 直前2週間:弱点ノートだけをひたすら回す
    5. 10-5. 本番当日〜合格後に感じたこと
  11. 2か月で合格を狙うためのサンプル学習スケジュール
    1. 1〜2週目:全体像の把握
    2. 3〜5週目:ドメイン別インプット + 軽い演習
    3. 6〜7週目:問題演習フェーズ
    4. 8週目:弱点ドメインの潰し込み + 本番シミュレーション
  12. まとめ:Security Specialty 勉強方法のチェックリスト

AWS Security Specialty 試験の基本情報をざっくり把握する

1-1. 試験コード・位置づけ・対象者

現行の試験コードは SCS-C02 です(2025年12月時点)。AWS公式では、セキュリティロールに従事する人を対象にしており、AWS上でのデータ保護や、ワークロードのセキュリティ設計・運用に関する深い知識が求められます。

AWS公式の試験ガイドでは、ターゲットとなる候補者像として、ざっくり次のような前提を挙げています。

  • 少なくとも 2年以上の AWS セキュリティ関連業務の経験

  • AWS 上のワークロードに対する、データ分類・暗号化・ネットワークセキュリティ・ログ・監査などへの理解

  • セキュリティインシデント対応、脆弱性管理、監査対応などの実務イメージ

もちろん、これが「満たせないと受けてはいけない」という意味ではありませんが、
SAA や CloudOps / Data / ML Associate と比べても、明らかにセキュリティ寄りの業務経験前提で設計されている試験だと考えておくと、心構えが変わります。

1-2. 試験形式・時間・合格ライン

AWS公式の試験ガイドをもとに、SCS-C02 の仕様を整理すると次の通りです。

  • 試験コード:SCS-C02

  • 問題数:65問(単一選択/複数選択)

  • 試験時間:170分

  • スコア範囲:100〜1000点

  • 合格ライン:750点以上(スケールスコア)

  • 受験料金:300 USD(他のAWS試験合格で付与される 50% 割引バウチャーが使える)

  • 試験方法:テストセンター or オンライン監督試験

  • 提供言語:日本語を含む複数言語

また、SCS-C02 には「スコアに含まれない未採点問題(unscored questions)」が含まれており、
受験者側からはどれが未採点問題か分からない仕様です。

つまり「明らかに見たことがない超マイナー構成の問題」が出ても、あまり動揺しないのが大事です。
合否はあくまで試験全体のスコアで判定されるため、分からない問題に時間をかけすぎず、取れる問題で確実に点を拾う意識が重要になります。

1-3. 出題ドメインと配点

SCS-C02 の試験ドメインは以下の6つで構成されており、それぞれの配点割合は公式ガイドに明記されています。

  1. Domain 1: Threat Detection and Incident Response – 14%

  2. Domain 2: Security Logging and Monitoring – 18%

  3. Domain 3: Infrastructure Security – 20%

  4. Domain 4: Identity and Access Management – 16%

  5. Domain 5: Data Protection – 18%

  6. Domain 6: Management and Security Governance – 14%

ざっくりイメージを言葉にすると、

  • 1 & 2:「検知して、ログを見て、インシデントに対応する力」

  • 3:ネットワークやエッジサービス、ハイブリッド構成含めたインフラのセキュリティ設計

  • 4:IAM / Organizations / SSO / SCP などを使ったアクセス制御・権限設計

  • 5:KMS や CloudHSM、MACie、暗号化、バックアップなどのデータ保護全般

  • 6:マルチアカウント管理・コンプライアンス・Config / Security Hub / Audit Manager を使ったガバナンス

という構造になっています。

Security Specialty の勉強を始めるときは、
「IAM と KMS と VPC セキュリティだけやればOK」ではなく、この6ドメイン全体の地図を頭の中に描くこと
からスタートすると、学習がかなり進めやすくなります。

1-4. SCS-C03 へのアップデートについて(2025年以降)

AWS公式サイトでは、Security Specialty の試験アップデート(SCS-C03)がアナウンスされており、SCS-C02 の最終試験日が 2025年12月1日 と案内されています。

SCS-C03 では、ドメイン構成が「検知」と「インシデント対応」が分割されるなどの変更が予定されていますが、

  • インフラセキュリティ

  • IAM とガバナンス

  • データ保護

といった「核となる知識領域」は大きく変わりません。

今から勉強を始める場合も、SCS-C02 の試験ガイドとホワイトペーパーで学んだ内容は、そのまま SCS-C03 でも生きる と考えてOKです。

著者プロフィールと合格時の状況

ここからは、勉強方法を具体的にイメージしやすいように、この記事のペルソナとしての「著者像」を共有します。

  • 職種:大手SIer勤務のインフラ/クラウドエンジニア(2021年新卒入社)

  • 経験:オンプレ/VMware/Linux/NW 構築案件が長く、途中から AWS 案件が増えてきた

  • 取得済み資格:

    • AWS クラウドプラクティショナー

    • AWS ソリューションアーキテクト アソシエイト

    • AWS ソリューションアーキテクト プロフェッショナル

    • AWS AI プラクティショナー

    • AWS Developer アソシエイト

    • AWS CloudOps Engineer アソシエイト

    • AWS Data Engineer アソシエイト

    • AWS Machine Learning Engineer アソシエイト

つまり、
インフラとクラウドの基礎はある程度固まっているが、「セキュリティだけを専門にやってきたわけではない」
という、比較的多くのインフラ/クラウドエンジニアに近い立ち位置です。

2-1. 勉強に使えた時間感

  • 平日:1〜1.5時間(仕事終わり or 通勤時間に Skill Builder / Udemy / 問題集)

  • 週末:3〜4時間(2コマに分けて、ホワイトペーパー+演習問題)

トータルでは、

  • インプット(書籍+Skill Builder+ホワイトペーパー):約40〜50時間

  • 問題演習(公式 Practice Question Set + Udemy +独自ノート復習):約30〜40時間

といったイメージで、おおよそ80〜90時間前後 の学習で合格レベルに到達しました。

合格までの勉強時間の目安(前提別)

Security Specialty は前提知識によって必要な勉強時間が大きく変わります。あくまで目安ですが、次のように考えると計画が立てやすくなります。

3-1. まだアソシエイトレベルもこれからの人

  • 目安:120〜150時間以上

  • 期間イメージ:1日1〜1.5時間で3〜4か月

Security Specialty は、Associate レベルの内容を前提として出題されるため、
まずは SAA や CloudOps / Data / ML などで 基礎となるインフラ・ネットワーク・IAM の理解を固める 方が現実的です。

3-2. SAA / DVA / CloudOps などを既に取得済みだが、セキュリティ業務は少ない人

  • 目安:80〜100時間

  • 期間イメージ:平日1〜1.5時間+週末で 2〜2.5か月

この記事で想定しているメインターゲットはこの層です。
IAM / VPC / S3 / CloudWatch などの基礎がある程度ある前提で、セキュリティ観点の肉付けをしていくイメージになります。

3-3. SOC / CSIRT / セキュリティコンサルなどで AWS をバリバリ使っている人

  • 目安:50〜70時間

  • 期間イメージ:集中的にやれば 3〜5週間

Security Hub / GuardDuty / Config / WAF / Network Firewall などを業務で使っている方は、
試験勉強というより「抜け漏れチェック」としてホワイトペーパーと問題集を回す感覚になるはずです。

勉強の全体戦略:4フェーズで考える

Security Specialty の勉強を始めると、

  • 「ホワイトペーパーどこまで読むの?」

  • 「GuardDuty や Security Hub の細かい設定まで覚えるべき?」

という迷いが出やすく、いきなり混乱しがちです。

そこでおすすめなのが、学習を以下の 4フェーズ に分けるやり方です。

  1. フェーズ1:前提知識の棚卸しと公式ガイドの把握

  2. フェーズ2:ドメイン別インプット(書籍+Skill Builder+ホワイトペーパー)

  3. フェーズ3:問題演習で「問われ方」に慣れる

  4. フェーズ4:弱点ドメインの潰し込みと本番シミュレーション

それぞれ、「何を」「どの順番で」「どの教材を使って」進めるかを具体的に見ていきます。

フェーズ1:前提知識の棚卸しと公式ガイドの把握

5-1. まず必ず読むべきもの:試験ガイドと公式ドメイン解説

最初の1〜2日でやってしまいたいのが、AWS公式の以下2つです。

ここには、

  • ドメインごとのタスク・知識・スキル

  • 各ドメインに紐づく in-scope な AWS サービス一覧

が丁寧に書かれています。

ここで「試験範囲に含まれるサービス一覧」を 1回軽く眺めておくと、
「あ、このサービスは試験では出てこないんだな」という切り分けができて、後々の勉強効率がかなり上がります。

5-2. Well-Architected セキュリティの柱をざっくり読む

Security Specialty は、AWS Well-Architected のセキュリティの柱と非常に親和性が高い試験です。

特に以下の2つは、流し読みでもいいので1回目を通しておくことをおすすめします。

ここでは、

  • 強固なアイデンティティ基盤

  • トレーサビリティの確保(CloudTrail / Config / Security Hub)

  • レイヤード防御(Defense in Depth)

  • データ保護(暗号化・分類・バックアップ)

といった 「AWS が考えるセキュリティの設計思想」 が網羅的に説明されています。

Security Specialty の出題も、この思想をベースにして作られているため、
単なるサービス知識ではなく「なぜその構成がベストプラクティスなのか?」を理解する助けになります。

フェーズ2:ドメイン別インプット戦略

ここからは、各ドメインごとに「どのサービスをどの深さまで押さえるべきか」を整理しつつ、
おすすめの公式ドキュメントと日本語教材を対応づけていきます。

6-1. 共通で意識しておきたい「メインキャスト」サービス

どのドメインでも頻出になる、Security Specialty の主役級サービスを先に挙げておきます。

  • ID/認証系:IAM, IAM Roles, STS, AWS Organizations, SCP, IAM Identity Center(旧 AWS SSO), Cognito

  • 検知・監査系:CloudTrail, CloudWatch Logs / Metrics, AWS Config, AWS Security Hub, Amazon GuardDuty, AWS Detective, AWS Inspector

  • ネットワーク防御系:VPC, NACL, Security Group, AWS WAF, AWS Shield, AWS Network Firewall, AWS Firewall Manager, PrivateLink, Transit Gateway

  • データ保護系:KMS, CloudHSM, S3, EBS, EFS, RDS, DynamoDB, Backup, Macie

  • ガバナンス系:Control Tower, Audit Manager, AWS Artifact, IAM Access Analyzer

この辺りのサービスは 「Exam Guide の in-scope services に載っている & ドキュメントに専用セクションがある」 レベルの重要度なので、
最低でも概要と代表的なユースケースは言語化できるようにしておくことが必要です。

6-2. Domain 1:Threat Detection and Incident Response(14%)

押さえるべきテーマ

  • Incident Response のライフサイクル(準備・検知・分析・対応・事後対応)

  • GuardDuty / Security Hub / Detective を使った 検知〜調査までの流れ

  • 侵害が疑われる IAM ユーザー / Role / EC2 / Access Key への対応手順(隔離・ローテーション・無効化)

  • AWS Security Incident Response Guide で紹介されている Playbook 的な考え方

公式リファレンス

これらはすべて読み切る必要はありませんが、「どういうイベントがトリガーになり、どのサービスが次に登場するか」 という流れをイメージできるレベルを目標にします。

6-3. Domain 2:Security Logging and Monitoring(18%)

押さえるべきテーマ

  • CloudTrail(management events / data events / Lake / 組織統合)の設計

  • CloudWatch Logs / Metrics / Alarms でのモニタリング構成

  • AWS Config での構成準拠チェックと自動修復

  • S3 アクセスログ、ALB / NLB のアクセスログ、VPC Flow Logs などのログ種別

  • Security Hub を中心とした セキュリティイベントの集約と標準フォーマット(ASFF)

公式リファレンス

6-4. Domain 3:Infrastructure Security(20%)

このドメインは配点が最大で、VPC / NW / エッジサービス全般のセキュリティ設計を一気に問われるゾーンです。

押さえるべきテーマ

  • VPC / サブネット / NACL / Security Group の役割と使い分け

  • VPC ピアリング / Transit Gateway / Direct Connect / VPN などの接続方式の比較

  • ALB / NLB / CloudFront のセキュリティ設定(WAF / Shield とセットで出題されやすい)

  • AWS Network Firewall / AWS Firewall Manager / Route 53 Resolver DNS Firewall の基本イメージ

  • PrivateLink と VPC Endpoint(Interface / Gateway)の違い

公式リファレンス

6-5. Domain 4:Identity and Access Management(16%)

IAM 周りは Security Specialty の「基礎体力」のような存在で、他のドメインの問題にも頻繁に絡んできます。

押さえるべきテーマ

  • IAM ユーザー / ロール / グループ / ポリシーの構造

  • 権限境界・SCP・Organizations を使ったマルチアカウントガバナンス

  • IAM Identity Center(SSO)の概念と、SAML / OIDC 連携のイメージ

  • IAM Access Analyzer でのポリシー検証

  • 最小権限の原則と、「Allow ベース + Deny で縛る」書き方

公式リファレンス

  • 「Security at the Edge」「Foundational security principles and best practices」など IAM を含むベストプラクティスWhite Paper

  • Security Pillar の「Identity and access management」セクション

6-6. Domain 5:Data Protection(18%)

押さえるべきテーマ

  • KMS(キーの種類、キーポリシー、Grant、マルチリージョンキー)

  • CloudHSM と KMS の使い分け(ハードウェア専用が必要かどうか)

  • 各ストレージ(S3 / EBS / EFS / RDS / DynamoDB)の暗号化オプション

  • SSE-S3 / SSE-KMS / SSE-C / CSE の違いと、キー管理の境界

  • Macie による機微情報検出の考え方

  • Backup / DR(Backup サービス・Cross-Region / Cross-Account の戦略)

公式リファレンス

6-7. Domain 6:Management and Security Governance(14%)

押さえるべきテーマ

  • AWS Organizations によるマルチアカウント戦略(OU / SCP / 管理アカウント)

  • Control Tower を使ったランディングゾーン構築

  • AWS Config / Audit Manager / Security Hub を組み合わせたコンプライアンス管理

  • AWS Artifact からのコンプライアンスレポート取得

  • コンプライアンスフレームワーク(PCI-DSS / HIPAA / ISO 27001 など)を AWS 上でどう満たすかのイメージ

公式リファレンス

日本語の参考書・Udemy講座・Skill Builder のおすすめ組み合わせ

7-1. 日本語の定番書籍

要点整理から攻略する『AWS認定 セキュリティ-専門知識』改訂2版

SCS-C02 に対応した定番テキストで、セキュリティドメイン単位で要点を整理しながら学べる構成になっています。

  • ID・アクセス管理、インフラセキュリティ、データ保護、ログ・監視、インシデント対応など Security Specialty のドメインに対応

  • 各章末にポイントと練習問題があり、インプット+軽いアウトプットが1冊で回せる

Security Specialty を初めて受ける場合は、この本を メインテキスト 1冊目 にするのがおすすめです。

7-2. 日本語の問題集・Udemy

  • Udemy「AWS認定Specialty – Security(SCS-C03)試験 対策トレーニングコース」

    • SCS-C02 / C03 を意識した日本語講座。動画でざっくり全体像を掴み、その後問題演習へ。

  • Udemy「【SCS-C02対応 2025年版】AWS認定 セキュリティ 専門知識 模擬問題集(3回+α 計200問)」

    • 本番形式の問題+詳細な解説+参考URL付きで、直前期のアウトプットに最適。

  • note や書籍で販売されている SCS-C02 100問問題集(過去問ベース)

    • 実際の出題傾向にかなり近く、「問われ方の癖」を掴むのに役立つ。

7-3. AWS Skill Builder(公式トレーニング)の活用

AWS公式の e-learning である Skill Builder では、Security Specialty 向けにコンテンツが提供されています。

2025年12月時点ではSCS-C02からSCS-C03にコンテンツがアップデートされている最中だと思われ、選択できるコースが限られているようです。

フェーズ3:問題演習で「Security Specialty の問われ方」に慣れる

8-1. なぜ問題演習が重要か

Security Specialty の問題は、一問一問の文章がかなり長く、シナリオベースで出題される傾向があります。

例えば、こんな問題イメージです:

  • ある SaaS 事業者が複数リージョンで Web アプリを提供しており、

  • マルチアカウント構成で IAM / Organizations / SCP を使っていて、

  • 新たに特定の OU のみ厳格な監査要件が求められるようになったとき、

  • 「どのサービスをどう組み合わせるのが最もベストプラクティスか」を選ばせる

このような問題に対応するには、単にサービスの説明を暗記するだけでは足りず、

  • 「Well-Architected のセキュリティの柱に沿うなら、どういう構成になるべきか」

  • 「GuardDuty / Security Hub / Config / Organizations それぞれの役割は何か」

を組み合わせて考える必要があります。

だからこそ、一定量の問題演習を通じて「問われ方の型」に慣れることが非常に重要になります。

8-2. 問題演習の具体的な進め方

おすすめの流れは次の通りです。

  1. 書籍(要点整理から攻略〜)の各章末問題を一通り解く

  2. AWS Skill Builder の Official Practice Question Set を 1周

  3. Udemy の模試(200〜300問程度)を 2〜3周

  4. note などの過去問100問を1〜2周

重要なのは「1周で終わらせない」ことです。

間違えた問題については、必ず以下をノートに残しておきます。

  • 自分が選んだ選択肢

  • 正解の選択肢

  • 「なぜ自分は間違えたか」の一文コメント

  • 参照すべき公式ドキュメント(Udemy の参考URLなど)

これを繰り返すことで、

「サービス自体は知っていたのに、条件をちゃんと読めていなかった」
「コンプライアンス要件を満たす一番シンプルな構成を選ぶべきだった」

といった「思考の癖」が見えるようになり、本番でも同じミスを避けやすくなります。

フェーズ4:弱点ドメインの潰し込みと直前1〜2週間の過ごし方

9-1. スコアレポートと自己分析で弱点ドメインを特定

模試を数回解き始めると、ドメインごとの正答率が見えてきます。

  • Domain 3(Infrastructure Security)が安定しない

  • Domain 6(ガバナンス)はそもそもインプットが足りていない

  • Domain 2(ログ・監視)は CloudTrail / Config 周りが怪しい

といった弱点が見えてきたら、

  • Well-Architected Security Pillar の該当部分を読み直す

  • 公式ドキュメントの「ベストプラクティス」ページをピンポイントで読む

  • そのサービスに関する問題だけをピックアップして解き直す

といった形で、弱点ドメインだけを集中的に潰す期間を作るのがおすすめです。

9-2. 直前1〜2週間の過ごし方

直前期にやるべきことを箇条書きにすると、次のようになります。

  • 模試を 2〜3回分連続で解き、本番時間(170分)での集中力を試す

  • 間違えた問題だけをまとめた「弱点ノート」を1日1回ざっと見直す

  • Well-Architected Security Pillar の要点・設計原則を読み直す

  • AWS Security Incident Response Guide の図を見ながら、インシデント時の大まかな流れをイメージする

逆に、新しいホワイトペーパーをフルで読み始めるのはおすすめしません。
「広げる」フェーズではなく「絞る」フェーズなので、「今までやってきたことの再整理」に時間を使い切る方が効果的です。

大手SIerインフラエンジニアとしての合格体験記(ペルソナベース)

最後に、冒頭で紹介したペルソナ(大手SIerインフラ/クラウドエンジニア)が、実際に AWS Security Specialty に合格するまでの流れを、少しだけストーリー仕立てで共有します。

10-1. 受験を決めたきっかけ

2021年に新卒で大手SIerに入り、最初の2年はほぼオンプレのインフラ案件を担当していました。
その後、社内で AWS 案件が増えていき、SAA → SAP → CloudOps → Data → ML と順番に資格を取りながら、少しずつクラウド寄りのキャリアにシフトしていきました。

そんな中で、

「最後に Security Specialty を取れれば、インフラ+クラウド+セキュリティの一通りの筋肉が揃うな」

と感じたことが、この試験にチャレンジした一番大きな理由でした。

10-2. 勉強開始〜1か月目:とにかくドメイン構造を掴む

最初の 2週間は、以下のようなメニューで「全体像のインプット」を徹底しました。

  • 仕事終わりに Skill Builder の Exam Readiness を 1チャプターずつ視聴

  • 休日に「要点整理から攻略する AWS認定 セキュリティ-専門知識」を2章ずつ読み進める

  • 通勤中に Well-Architected Security Pillar の PDF を Kindle に入れて眺める

正直、最初の1〜2週間は 広くて浅い知識が頭に積み上がっていく感覚で、あまり手応えはありませんでした。
それでも、毎日「GuardDuty」「Security Hub」「Config」「Organizations」「KMS」「Network Firewall」といった単語に触れ続けることで、
「このサービスは何系の話だったっけ?」という大まかな分類ができるようになってきた のが転機でした。

10-3. 1〜2か月目:問題演習で「問われ方」を体に叩き込む

全体像がぼんやり見え始めたところで、次のステップに切り替えました。

  • 平日は Udemy 模試を毎日 20〜30問ずつ解く

  • 週末は Official Practice Question Set を解いて、解説を読み込む

  • 間違えた問題は Notion にスクリーンショットを貼り付け、

    • 「自分が選んだ選択肢」

    • 「なぜそう選んだか」

    • 「正解に必要だった観点」
      を1〜2行でメモ

このフェーズで気づいたのは、

  • 自分は「コンプライアンス」や「マルチアカウント管理」系の問題に弱い

  • 「最小権限」と「ガバナンス」を両立させる構成でよく迷う

という、思考の癖でした。

そこで、Domain 6(Management and Security Governance)関連のドキュメントと Well-Architected のガバナンス部分を重点的に読み直し、
Organizations / Control Tower / Audit Manager / Security Hub を使った全体設計のパターンを、図にしてノートに書き出していきました。

10-4. 直前2週間:弱点ノートだけをひたすら回す

試験2週間前からは、新しい教材には手を出さず、以下だけに集中しました。

  • Udemy 模試 3回分を本番時間で解く(170分フル)

  • Notion の「間違えた問題リスト」を毎日流し読み

  • Well-Architected Security Pillar の設計原則を再読し、

    • 強固なアイデンティティ基盤

    • トレーサビリティの確保

    • データ・インフラの保護
      といったキーワードを自分の言葉で言い換えられるようにした

この頃には、模試のスコアも 70〜85% 前後で安定 してきており、
「たとえ難しめのセットが来ても、合格ラインは超えられそうだな」という手応えが出てきました。

10-5. 本番当日〜合格後に感じたこと

本番は、事前に解いていた模試と比較しても、文章量とシナリオ複雑度はやや高めという印象でした。
特に、

  • マルチアカウント + マルチリージョン + ハイブリッド接続

  • そこにコンプライアンス要件や IR のプレイブックが絡む問題

では、一度頭の中で構成を整理してからでないと選べない選択肢も多く、時間配分が勝負だと感じました。

結果として、スコアレポートでは Infrastructure Security / Data Protection / IAM が強み、Governance がやや弱め という評価で合格。

合格後に一番大きく感じたメリットは、

「AWS のセキュリティサービスの ‘点’ の知識が、
Well-Architected の ‘線’ として繋がった」

という感覚でした。

  • なぜ GuardDuty と Security Hub と Config を組み合わせる必要があるのか

  • なぜ Organizations と SCP が「最初に」考慮すべきなのか

  • なぜ暗号化は「とりあえず ON にする」ではなく、KMS キーポリシーやキー管理戦略から逆算すべきなのか

これらが、資格勉強を通じてきちんと腹落ちしたことは、実務でも確実に効いてくると感じています。

2か月で合格を狙うためのサンプル学習スケジュール

最後に、この記事で紹介してきた内容をベースに、2か月プランのざっくりスケジュールをまとめます。

1〜2週目:全体像の把握

  • Exam Guide と SCS-C02 ドキュメントページを読む(1日目〜2日目)

  • Well-Architected Security Pillar を流し読み(通勤+休日で合計3〜4時間)

  • Skill Builder の Exam Readiness を1周(平日1時間×5日+休日まとめて)

3〜5週目:ドメイン別インプット + 軽い演習

  • 要点整理から攻略する〜 を1日1章ペースで読み進める

  • 各章末の練習問題を必ず解く

  • 分からなかったサービスは、公式ドキュメントの「概要」「ベストプラクティス」だけ読む

6〜7週目:問題演習フェーズ

  • Udemy 模試を 1日20〜30問ペースで解き、週末に1セット通しで解く

  • Skill Builder の Official Practice Question Set を1〜2周

  • 間違えた問題は Notion / OneNote などにスクラップし、「なぜ間違えたか」を一言添えて残す

8週目:弱点ドメインの潰し込み + 本番シミュレーション

  • ドメイン別に正答率を整理し、低いところから順に復習

  • Well-Architected Security Pillar の要点章を再読

  • 本番時間(170分)を意識して模試を2〜3回通しで解く

まとめ:Security Specialty 勉強方法のチェックリスト

最後に、この記事をそのまま ToDo リストとして使えるように、チェックリスト形式で整理しておきます。

Security Specialty は、確かに簡単な試験ではありません。
しかし、SAA / CloudOps / Data / ML などで土台を作ってきた方にとっては、

「今までバラバラだったセキュリティ知識を、AWS のベストプラクティスとして一本の軸に通す」

絶好の機会でもあります。

この記事の内容を、自分のペースや前提知識に合わせて少しずつカスタマイズしながら、
ぜひ 自分なりの勉強ロードマップ を描いてみてください。

タイトルとURLをコピーしました