# コンテンツ分野 4: ネットワークセキュリティ、コンプライアンス、ガバナンス
<a name="advanced-networking-specialty-01-domain4"></a>

**Topics**
+ [タスク 4.1: セキュリティとコンプライアンスのニーズと要件を満たすために、ネットワーク機能を実装し、保守する。](#advanced-networking-specialty-01-domain4-task1)
+ [タスク 4.2: ネットワークのモニタリングおよびログ記録サービスを使用してセキュリティを検証し、監査する。](#advanced-networking-specialty-01-domain4-task2)
+ [タスク 4.3: ネットワークのデータと通信の機密性を実装し、保守する。](#advanced-networking-specialty-01-domain4-task3)

## タスク 4.1: セキュリティとコンプライアンスのニーズと要件を満たすために、ネットワーク機能を実装し、保守する。
<a name="advanced-networking-specialty-01-domain4-task1"></a>

対象知識:
+ アプリケーションアーキテクチャに基づくさまざまな脅威モデル
+ 一般的なセキュリティ上の脅威
+ さまざまなアプリケーションフローを保護する仕組み
+ セキュリティとコンプライアンスの要件を満たす AWS ネットワークアーキテクチャ

対象スキル:
+ AWS へのインバウンドトラフィックフローの保護 (AWS WAF、AWS Shield、Network Firewall など)
+ AWS からのアウトバウンドトラフィックフローの保護 (Network Firewall、プロキシ、Gateway Load Balancer など)
+ 単一のアカウント内または複数のアカウントでの VPC 間トラフィックの保護 (セキュリティグループ、ネットワーク ACL、VPC エンドポイントポリシーなど)
+ セキュリティとコンプライアンスの要件を満たす AWS ネットワークアーキテクチャの実装 (信頼できないネットワーク、境界 VPC、3 層アーキテクチャなど)
+ 特定のネットワークアーキテクチャに対する脅威モデルの開発と適切な緩和戦略の特定
+ 初期要件へのコンプライアンスのテスト (フェイルオーバーテスト、レジリエンスなど)
+ AWS を使用したセキュリティインシデントのレポートとアラートの自動化

## タスク 4.2: ネットワークのモニタリングおよびログ記録サービスを使用してセキュリティを検証し、監査する。
<a name="advanced-networking-specialty-01-domain4-task2"></a>

対象知識:
+ AWS で利用可能なネットワークのモニタリングおよびログ記録サービス (CloudWatch、AWS CloudTrail、VPC トラフィックミラーリング、VPC フローログ、Transit Gateway Network Manager など)
+ アラートの仕組み (CloudWatch アラームなど)
+ さまざまな AWS サービスでのログ作成 (VPC フローログ、ロードバランサーアクセスログ、CloudFront アクセスログなど)
+ ログ配信の仕組み (Amazon Kinesis、Route 53、CloudWatch など)
+ ネットワークセキュリティ構成を監査する仕組み (セキュリティグループ、AWS Firewall Manager、AWS Trusted Advisor など)

対象スキル:
+ VPC フローログの作成と分析 (フローログのベースフィールドと拡張フィールドを含む)
+ ネットワークトラフィックミラーリングの作成と分析 (VPC トラフィックミラーリングの使用など)
+ CloudWatch を使用して自動化されたアラームの実装
+ CloudWatch を使用してカスタマイズされたメトリクスの実装
+ 単一または複数の AWS ログソース間での情報の関連付けと分析
+ ログ配信ソリューションの実装
+ 単一または複数の AWS ネットワークサービスとアカウント間でのネットワーク監査戦略の実装 (Firewall Manager、セキュリティグループ、ネットワーク ACL など)

## タスク 4.3: ネットワークのデータと通信の機密性を実装し、保守する。
<a name="advanced-networking-specialty-01-domain4-task3"></a>

対象知識:
+ AWS で利用可能なネットワーク暗号化オプション
+ Direct Connect 経由の VPN 接続
+ 転送中のデータの暗号化方法 (IPsec など)
+ AWS 責任共有モデルの下でのネットワーク暗号化
+ DNS 通信のセキュリティメソッド (DNSSEC など)

対象スキル:
+ アプリケーションのコンプライアンス要件を満たすためのネットワーク暗号化方式の実装 (IPsec、TLS など)
+ 転送中のデータを保護するための暗号化ソリューションの実装 (CloudFront、Application Load Balancer と Network Load Balancer、Direct Connect 経由の VPN、AWS マネージドデータベース、Amazon S3、Amazon EC2 上のカスタムソリューション、Transit Gateway など)
+ 認証局を使用した証明書管理ソリューションの実装 [ACM、AWS Certificate Manager Private Certificate Authority (ACM PCA) など]
+ セキュアな DNS 通信の実装