# コンテンツ分野 5: データ保護
<a name="security-specialty-03-domain5"></a>

**Topics**
+ [タスク 5.1: 転送中のデータのコントロールを設計し、実装する。](#security-specialty-03-domain5-task1)
+ [タスク 5.2: 保管中のデータのコントロールを設計し、実装する。](#security-specialty-03-domain5-task2)
+ [タスク 5.3: 機密データ、認証情報、シークレット、暗号化キーマテリアルを保護するためのコントロールを設計し、実装する。](#security-specialty-03-domain5-task3)

## タスク 5.1: 転送中のデータのコントロールを設計し、実装する。
<a name="security-specialty-03-domain5-task1"></a>

対象スキル:
+ スキル 5.1.1: リソースへの接続時に暗号化を義務付けるメカニズムを設計し、設定する [Elastic Load Balancing (ELB) セキュリティポリシーの設定、TLS 設定の強制適用など]。
+ スキル 5.1.2: リソースへのセキュアなプライベートアクセスのためのメカニズムを設計し、設定する (AWS PrivateLink、VPC エンドポイント、AWS Client VPN、AWS Verified Access など)。
+ スキル 5.1.3: 転送中のリソース間暗号化を設計し、設定する (Amazon EMR、Amazon EKS、SageMaker AI、Nitro 暗号化のためのノード間暗号化設定など)。

## タスク 5.2: 保管中のデータのコントロールを設計し、実装する。
<a name="security-specialty-03-domain5-task2"></a>

対象スキル:
+ スキル 5.2.1: 特定の要件に基づいて、保管中のデータ暗号化を設計、実装、設定する (AWS CloudHSM や AWS KMS などの適切な暗号化キーサービスの選択、クライアント側の暗号化やサーバー側の暗号化などの適切な暗号化タイプの選択など)。
+ スキル 5.2.2: データの整合性を確保するためのメカニズムを設計し、設定する (S3 Object Lock、S3 Glacier Vault Lock、バージョニング、デジタルコード署名、ファイル検証など)。
+ スキル 5.2.3: データの自動ライフサイクル管理および保持ソリューションを設計する (S3 ライフサイクルポリシー、S3 Object Lock、Amazon EFS ライフサイクルポリシー、Amazon FSx for Lustre バックアップポリシーなど)。
+ スキル 5.2.4: セキュアなデータレプリケーションおよびバックアップソリューションを設計し、設定する (Amazon Data Lifecycle Manager、AWS Backup、ランサムウェア対策、AWS DataSync など)。

## タスク 5.3: 機密データ、認証情報、シークレット、暗号化キーマテリアルを保護するためのコントロールを設計し、実装する。
<a name="security-specialty-03-domain5-task3"></a>

対象スキル:
+ スキル 5.3.1: 認証情報とシークレットの管理とローテーションを設計する (AWS Secrets Manager など)。
+ スキル 5.3.2: インポートされたキーマテリアルを管理し、使用する (インポートされたキーマテリアルの管理とローテーション、外部キーストアの管理と設定など)。
+ スキル 5.3.3: インポートされたキーマテリアルと AWS によって生成されたキーマテリアルの違いを説明する。
+ スキル 5.3.4: 機密データをマスクする (CloudWatch Logs データ保護ポリシー、Amazon SNS メッセージデータ保護など)。
+ スキル 5.3.5: 単一の AWS リージョンまたは複数のリージョンにわたる暗号化キーと証明書を作成し、管理する (AWS KMS カスタマーマネージド AWS KMS キー、AWS Private Certificate Authority など)。