# コンテンツ分野 6: セキュリティとコンプライアンス
## タスクステートメント 6.1: Identity and Access Management の手法を大規模環境に実装する。
### 対象知識:
+ 人間とマシンのアクセスに対するさまざまな IAM エンティティの適切な使用 (ユーザー、グループ、ロール、ID プロバイダー、アイデンティティベースのポリシー、リソースベースのポリシー、セッションポリシーなど)
+ ID フェデレーション手法 (IAM ID プロバイダーや AWS IAM アイデンティティセンターの使用など)
+ IAM アクセス許可の境界を使用したアクセス許可管理の委任
+ 組織 SCP
### 対象スキル:
+ 最小権限アクセスを強制するポリシーの設計
+ ロールベースおよび属性ベースのアクセス制御パターンの実装
+ マシン ID (AWS Secrets Manager など) の認証情報ローテーションの自動化
+ 人間とマシン ID へのアクセスを制御するアクセス許可の管理 [多要素認証 (MFA)、AWS Security Token Service (AWS STS)、IAM プロファイルの有効化など]
## タスクステートメント 6.2: セキュリティコントロールとデータ保護のオートメーションを適用する。
### 対象知識:
+ ネットワークセキュリティコンポーネント (セキュリティグループ、ネットワーク ACL、ルーティング、AWS Network Firewall、AWS WAF、AWS Shield など)
+ 証明書とパブリックキーインフラストラクチャ (PKI)
+ データ管理 (データ分類、暗号化、キー管理、アクセスコントロールなど)
### 対象スキル:
+ マルチアカウント環境およびマルチリージョン環境でセキュリティコントロールの適用を自動化する (AWS Security Hub、AWS Organizations、AWS Control Tower、AWS Systems Manager など)。
+ セキュリティコントロールを組み合わせて多層防御を適用する [AWS Certificate Manager (ACM)、AWS WAF、AWS Config、AWS Config ルール、Security Hub、Amazon GuardDuty、セキュリティグループ、ネットワーク ACL、Amazon Detective、Network Firewall など]。
+ 機密データの検出を大規模環境で自動化する (Amazon Macie など)。
+ 転送中のデータと保管中のデータを暗号化する [AWS Key Management Service (AWS KMS)、AWS CloudHSM、ACM など]。
## タスクステートメント 6.3: セキュリティモニタリングおよび監査ソリューションを実装する。
### 対象知識:
+ セキュリティ監査サービスと機能 (AWS CloudTrail、AWS Config、VPC フローログ、AWS CloudFormation ドリフト検出など)
+ セキュリティの脆弱性とイベントを特定するための AWS サービス (GuardDuty、Amazon Inspector、IAM Access Analyzer、AWS Config など)
+ 一般的なクラウドセキュリティの脅威 (セキュアでないウェブトラフィック、露出した AWS アクセスキー、パブリックアクセスが有効、または暗号化が無効になっている S3 バケットなど)
### 対象スキル:
+ 堅牢なセキュリティ監査の実装
+ 予期しない、または異常なセキュリティイベントに基づくアラートの設定
+ サービスとアプリケーションのロギングの設定 (CloudTrail、Amazon CloudWatch Logs など)
+ ログ、メトリクス、セキュリティ結果の分析