コンテンツ分野 3: インフラストラクチャのセキュリティ

スキル 3.1.1: 予想される脅威と攻撃に基づいてエッジセキュリティ戦略を定義し、選択する。

スキル 3.1.2: 適切なネットワークエッジ保護を実装する [CloudFront ヘッダー、AWS WAF、AWS IoT ポリシー、OWASP Top 10 の脅威からの保護、Amazon S3 クロスオリジンリソース共有 (CORS)、Shield Advanced など]。

スキル 3.1.3: 要件に基づいて AWS エッジコントロールとルールを設計し、実装する (地理、位置情報、レート制限、クライアントフィンガープリントなど)。

スキル 3.1.4: AWS エッジサービスとサードパーティーサービスとの統合を設定する [Open Cybersecurity Schema Framework (OCSF) 形式のデータの取り込み、サードパーティーの WAF ルールの使用など]。

スキル 3.2.1: コンピューティングワークロードを保護し、セキュリティコントロールを組み込むために、強化された Amazon EC2 AMI とコンテナイメージを設計し、実装する (Systems Manager、EC2 Image Builder など)。

スキル 3.2.2: コンピューティングワークロードを認可するために、インスタンスプロファイル、サービスロール、実行ロールを適切に適用する。

スキル 3.2.3: コンピューティングリソースに既知の脆弱性がないかスキャンする (Amazon Inspector を使用したコンテナイメージと Lambda 関数のスキャン、GuardDuty を使用したコンピューティングランタイムのモニタリングなど)。

スキル 3.2.4: 更新プロセスを自動化し、継続的な検証を統合することで、コンピューティングリソース全体にパッチをデプロイしてセキュアな準拠環境を維持する (Systems Manager Patch Manager、Amazon Inspector など)。

スキル 3.2.5: コンピューティングリソースへのセキュアな管理アクセスを設定する (Systems Manager Session Manager、EC2 Instance Connect など)。

スキル 3.2.6: パイプライン内の脆弱性を検出して修正するためのセキュリティツールを設定する (Amazon Q Developer、Amazon CodeGuru Security など)。

スキル 3.2.7: 生成 AI アプリケーションの保護とガードレールを実装する (GenAI OWASP Top 10 for LLM Applications 保護の適用など)。

スキル 3.3.1: 必要に応じてネットワークトラフィックを許可または禁止するための適切なネットワークコントロールを設計し、トラブルシューティングする (セキュリティグループ、ネットワーク ACL、AWS Network Firewall など)。

スキル 3.3.2: ハイブリッドネットワークとマルチクラウドネットワークの間のセキュアな接続を設計する [AWS Site-to-Site VPN、AWS Direct Connect、MAC セキュリティ (MACsec) など]。

スキル 3.3.3: ハイブリッド環境と AWS の間の通信に関するセキュリティワークロード要件を判断し、設定する (AWS Verified Access の使用など)。

スキル 3.3.4: セキュリティ要件に基づいてネットワークセグメンテーションを設計する (north-south と east-west のトラフィック保護、分離されたサブネットなど)。

スキル 3.3.5: 不必要なネットワークアクセスを特定する (AWS Verified Access、Network Access Analyzer、Amazon Inspector のネットワーク到達可能性の検出結果など)。