AWS認定の中でも高難易度と 噂のNW試験で差をつける！！ Fin-JAWS 第25回 #finjaws #jawsug 2022/3/24 Fin-JAWS運営 早川 愛 0

ご注意  本資料の内容は、あくまで個人の意見/見解であり、 所属する会社の見解ではないのでご注意ください。  最新の情報はAWS公式ドキュメントをご確認ください。

自己紹介 AWSの導入や技術支援に従事  表彰：金融系のAWS導入や設計支援における技術力、 Fin-JAWSコミュニティ運営や執筆を通じた情報発信が評価され 2020年/2021年 APN Ambassadorに認定 （国内に30名）  名前：早川 愛（はやかわ あい）  所属：某SIer  好きなAWSサービス：GuardDuty  職種：インフラエンジニア

自己紹介 試験に役立つ問題集を執筆しています 3 2022年2月発売！

AWS認定 AWSに関する知識・スキルを測るための試験 4 出典：利用可能なAWS認定（https://aws.amazon.com/jp/certification/）

AWS認定を取得すると？ こんな良いことがありました！  勉強したことが実務で活かせる  知識の体系的な整理ができる  バッジを並べてスキルを証明できる  バッジを並べて先輩を威圧できる（!?）  顧客への提案に説得力が増す  試験の半額バウチャー入手できる  所属企業のプレゼンスが向上する  認定者グッズを入手できる＠re:Invent 5 日経xTECH 「IT資格実態調査／取得したい資格ランキング」

AWSには200以上のサービスが存在 "You have asked for this, it is basically your fault!" 6 出典：Dr. Werner Vogels Keynote (re:Invent 2021)

専門知識認定とは 特定分野のスキル習熟度を証明する資格 7 出典：利用可能なAWS認定（https://aws.amazon.com/jp/certification/）

ネットワーク専門知識認定を目指す理由 クラウドになってもネットワークの知識は必須！  ネットワークアーキテクチャの設計はシステムの肝心要の部分  ネットワークの設計次第でシステムの可用性や性能が大きく左右される  後から変更するのは大仕事になる  多くのシステムで他システムとのネットワーク接続の検討が必要  複数システムとセキュアに接続したいが、運用負荷は下げたい  オンプレミスにある既存資産を有効活用するためハイブリッド構成にしたい  AWSでもオンプレミスで培ったネットワーク知識は活用できる  オンプレミスでのネットワーク実務経験を活かして活躍の場を広げる キッカケにできる 8

高度なネットワーキング試験概要 ネットワークアーキテクチャの専門知識を認定する 複雑なネットワーク設計・実装に５年間の実務経験がある受験者を想定  出題範囲  問題形式  170分  択一選択問題、複数選択問題  65問、最低合格スコアは750点 9 ハイブリッド IT ネットワークアーキテクチャの大規な設計および実装 24% AWS ネットワークの設計と実装 28% AWS タスクのオートメーション 8% アプリケーションサービスとのネットワーク統合の構成 14% セキュリティとコンプライアンスの設計と実装 12% ネットワークの管理、最適化、トラブルシューティング 14% 出典：ANS-C00 試験ガイド（https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Networking-Specialty_Exam-Guide.pdf）

公式サンプル問題 出題される問題の雰囲気を掴む 出題範囲ある企業において、オンプレミスネットワークに対して IP アドレス範囲 11.11.0.0/16 が割り 当てられています。このネットワーク範囲内の IP アドレスだけをサーバー間通信に使用できます。クラ ウドに対しては、IP アドレス範囲 11.11.253.0/24 が割り当てられています。 ネットワークエンジニアが、AWS 上で VPC を設計する必要があります。この VPC 内のサーバーは、 VPN 接続を使用してインターネット上およびオンプレミス環境のホストと通信できる必要があります。 これらの要件を満たすには、どうすればよいですか (2 つ選択してください) A) IP アドレス範囲 11.11.253.0/24 を割り当てるよう、VPC を構成する。 B) RFC 1918 で規定されているプライベート IP アドレス範囲 (例: 10.10.10.0/24) を割り当てるよう、VPCを構成す る。すべての送信トラフィックに対して 10.10.10.0/24 と 11.11.253.0/24 の間での変換を実行するよう、NAT ゲートウェイを構成する。 C) 仮想プライベートゲートウェイとオンプレミスルーターの間の VPN 接続を構成する。すべてのトラフィックに対して、 仮想プライベートゲートウェイをデフォルトゲートウェイとして設定する。トラフィックをインターネットに転送す るよう、オンプレミスルーターを構成する。 D) 仮想プライベートゲートウェイとオンプレミスルーターの間の VPN 接続を構成する。11.11.0.0/24 宛のトラフィッ クに対して、仮想プライベートゲートウェイをデフォルトゲートウェイとして設定する。VPC サブネットルートを追 加し、インターネットトラフィックに対して、デフォルトゲートウェイをインターネットゲートウェイに振り向ける。 E) RFC 1918 で規定されているプライベート IP アドレス範囲 (例: 10.10.10.0/24) を割り当てるよう、VPCを構成す る。すべての送信パケットの送信元 IP アドレスを 11.11.0.0/16 に変換するよう、仮想プライベートゲートウェイを 構成する。 出典：サンプル問題（https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Networking-Specialty_Sample-Questions.pdf） 10

公式サンプル問題（回答） 出題される問題の雰囲気を掴む 出題範囲ある企業において、オンプレミスネットワークに対して IP アドレス範囲 11.11.0.0/16 が割り 当てられています。このネットワーク範囲内の IP アドレスだけをサーバー間通信に使用できます。クラ ウドに対しては、IP アドレス範囲 11.11.253.0/24 が割り当てられています。 ネットワークエンジニアが、AWS 上で VPC を設計する必要があります。この VPC 内のサーバーは、 VPN 接続を使用してインターネット上およびオンプレミス環境のホストと通信できる必要があります。 これらの要件を満たすには、どうすればよいですか (2 つ選択してください) A) IP アドレス範囲 11.11.253.0/24 を割り当てるよう、VPC を構成する。 B) RFC 1918 で規定されているプライベート IP アドレス範囲 (例: 10.10.10.0/24) を割り当てるよう、VPCを構成す る。すべての送信トラフィックに対して 10.10.10.0/24 と 11.11.253.0/24 の間での変換を実行するよう、NAT ゲートウェイを構成する。 C) 仮想プライベートゲートウェイとオンプレミスルーターの間の VPN 接続を構成する。すべてのトラフィックに対して、 仮想プライベートゲートウェイをデフォルトゲートウェイとして設定する。トラフィックをインターネットに転送す るよう、オンプレミスルーターを構成する。 D) 仮想プライベートゲートウェイとオンプレミスルーターの間の VPN 接続を構成する。11.11.0.0/24 宛のトラフィッ クに対して、仮想プライベートゲートウェイをデフォルトゲートウェイとして設定する。VPC サブネットルートを追 加し、インターネットトラフィックに対して、デフォルトゲートウェイをインターネットゲートウェイに振り向ける。 E) RFC 1918 で規定されているプライベート IP アドレス範囲 (例: 10.10.10.0/24) を割り当てるよう、VPCを構成す る。すべての送信パケットの送信元 IP アドレスを 11.11.0.0/16 に変換するよう、仮想プライベートゲートウェイを 構成する。 11 IPアドレス帯の重複がないか確認 ルーティングを追加する 出典：サンプル問題（https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Networking-Specialty_Sample-Questions.pdf）

試験対策に役立つ教材： オンラインコンテンツが豊富  おなじみの AWS Blackbelt Online Seminar https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-service-cut/  AWS Skill Builder “Exam Readiness” シリーズ  無料の試験対策トレーニング  英語なので、Chromeの文字起こし機能など駆使して活用  “Exam Readiness: AWS Certified Advanced Networking - Specialty (Digital)” で検索  有償の学習教材（英語）  Stephane Maarek @Udemy が有名。練習問題もある。  Cloud academy  Jon-Bonso @Tutorials Dojo 12

ネットワーク試験の難しさ 気軽に試すことが難しいサービスがある  オンプレミスとのハイブリッド接続は気軽に試せない  DirectConnect は高額  VPNは専用のオンプレミス機器が必要になる  ルーティングの優先度など暗記しないといけない設定項目も・・・  AWS以外のネットワーク基礎知識も問われる  気軽に試せないことと合わせて、 実務でネットワーク設計・実装した経験がないと独学にも時間がかかる 13

ネットワーク試験の難しさ 模擬試験が無い！  なぜかネットワーク試験だけ公式の模擬試験が無い・・・  こちらの試験対策本には、65問の練習問題と詳細解説が掲載 14

【参考】模擬試験： 無料・解説付きになりました  ネットワーク試験以外は模擬試験が用意されている（20問）  以前まで、出題範囲ごと＋総合スコアが表示されるのみだったため、 個別の問題の正誤は受験しても分からなかった  問題ごとの正答と解説がつき、自分の弱点が具体的に分かるように  AWS Skill Builder で ”AWS Certification Official Practice Question Sets (Japanese)” を検索 15 選択肢 （ネタバレ防止） 解説（ネタバレ防止） 問題文（ネタバレ防止）

重点対策ポイント ハイブリッド接続アーキテクチャ かなり細かい仕様も問われるので、接続要件やよくあるトラブルを しっかり確認しておくこと  DirectConnect パブリックVIF、プライベートVIF、冗長構成、通信要件、BGP、…  VPN DirectConnectとの併用、CGW機器要件、通信要件、… Tokyo Region VPC Direct Connect ロケーション(TY2) Osaka Region VPC ルーター 企業のデータセンター CGW Direct Connect ロケーション(OS1) ルーター CGW 16

重点対策ポイント ロードバランサーの使い分け タイプ（CLB/ALB/NLB）による機能の違い、使い分けを理解しておくこと 17 出典：AWSサービス別資料（https://d1.awsstatic.com/webinars/jp/pdf/services/20191029_AWS-Blackbelt_ELB.pdf）

重点対策ポイント セキュリティ対策サービスは概要を理解しておく どのサービスが、どのようなリスクへ対処できるのか、概要を掴む その他、GuardDuty、SecurityHub、CloudTrail、Configなど。 18 AWS Shield AWS WAF Amazon Inspector レイヤー3 および4 に対するDDoS 攻撃からAWS リソースを保護する。 デフォルトで Standard レベルの保護が有効になっている。 AWS Shield Advanced では、詳細な分析や専門家へのアクセスが提供される。 SQL インジェクション、クロスサイトスクリプティング（XSS）、 セッションハイジャックなどの攻撃手法に対して、 HTTP/HTTPS トラフィックを双方向で監視することでアプリケーションを保護する。 EC2に導入したエージェントから設定情報を収集し、 セキュリティルールに基づいて脆弱性がないか評価する。 誤ってインターネット通信が許可されていないかといったチェックが可能。

新バージョン(ANS-C01)の情報 2022年7月～現行バージョンは使用停止予定  情報がある現行バージョンのうちに受験してしまった方が良いかも？  ベータ試験の試験ガイド・サンプル問題も公開されている（英語）  Transit Gateway やアカウント間のリソース共有 (RAM) など マルチアカウント環境を前提とした設計に関する知識を問う 問題が増えると予想される 19 ネットワーク設計 30% ネットワークの実装 26% ネットワークの管理とオペレーション 20% ネットワークのセキュリティ、コンプライアンス、統制 24%

試験にとりあえず申し込むのがオススメ 期限が決まれば嫌でも勉強する  今日の勉強会でモチベーションが上がっているうちに！  日程が決まると、強制的にそこまでに勉強せざるを得ない状況になる  周囲で持っている人が少ない試験なら、より希少価値が高まる （ネットワーク専門知識は狙い目） 誰かに認定を取得させたい場合・・・  雰囲気作りが大事。自分が先に頑張って取得するのも効果的。  誰かが合格してきたら、みんなで褒め合う  認定を持たないメンバーが少数派になれば自然と認定取得が進む 20

Thank you  短期学習、読み飛ばしが可能な構成！  豊富な練習問題を解きながら学べる！  実務者の知識のアップデートにも！ 21