AWS認定クラウドプラクティショナーとは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

AWS認定クラウドプラクティショナーとは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

AWS認定クラウドプラクティショナー（AWS Certified Cloud Practitioner）は、世界的なクラウドサービスプロバイダーであるAmazon Web Services社が主催している、AWSに関する基礎知識を評価し、証明するための国際的な認定資格です。この試験は、特定のサービスの操作方法を問うのではなく、クラウドコンピューティングの概念、AWSの主要なサービス、そしてセキュリティ、プライバシー、料金体系といった、AWSの全体像を概念的に理解しているかを客観的に測ることに重点を置いています。

この資格は、ITの専門家だけでなく、営業、プロジェクトマネージャー、コンサルタントなど、ITに関わるすべてのビジネスパーソンを対象としています。資格を取得することで、ご自身のクラウドに関する知識が国際的な基準を満たしていることを証明でき、履歴書に記載して就職活動や転職活動でアピールしたり、企業内でのスキル評価に利用されたりすることがあります。特に、多くの企業がクラウド移行を進めている現代において、この資格は世界中で高い評価を受けています。

資格の位置づけと他のAWS認定資格との関係

AWS認定資格は、スキルレベルに応じてFoundational、Associate、Professional、Specialtyの4つのカテゴリに分かれています。AWS認定クラウドプラクティショナーは、その中でも最も入門レベルの資格であるFoundationalに位置づけられています。

• Foundational（初級）：AWSの基本的な概念を理解しているかを問う入門レベルの資格です。AWS認定クラウドプラクティショナーは、このカテゴリに属します。
• Associate（中級）：Foundationalの知識を土台として、より実践的なスキルを証明する中級レベルの資格です。
• Professional（上級）：高度なクラウドソリューションを設計・運用する専門的なスキルを証明する上級レベルの資格です。
• Specialty（専門）：特定の専門分野（セキュリティ、機械学習、データアナリティクスなど）に特化した高度なスキルを証明する資格です。

このように、AWS認定クラウドプラクティショナーは、AWSの学習を安心してスタートするための、最初のステップとして位置づけられています。まずはこの資格を目指すことで、その後の学習をスムーズに進めることができるでしょう。

試験の傾向と出題形式はどうなっていますか？

試験の傾向を知ることは、効率的な学習を進める上で非常に重要です。AWS認定クラウドプラクティショナー試験は、出題範囲が広く、様々なサービスに関する問題が出題されるのが特徴です。

出題形式の特徴

AWS認定クラウドプラクティショナー試験は、選択式の問題が中心となりますが、単に4択から選ぶだけでなく、以下のような形式の問題も出題されます。

• 複数選択問題：複数の選択肢から、正解をすべて選ぶ形式の問題です。単純な知識の暗記だけでなく、それぞれの選択肢がなぜ正解（または不正解）なのかを正確に理解していないと、正解にたどり着くのが難しい場合があります。
• 穴埋め問題：文章の中に空欄があり、適切な語句を選択肢から選んで埋める形式の問題です。
• 真偽判定問題：提示された文章が正しいか、間違っているかを判定する形式の問題です。

これらの問題形式に慣れておくことが、合格のためには非常に重要です。

試験の主要な出題範囲

AWS認定クラウドプラクティショナーの試験範囲は、以下のようなカテゴリに分かれています。

1. クラウドの概念：クラウドサービスとは何か、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドといったクラウドの種類、そしてIaaS、PaaS、SaaSといったサービスモデルの違い、クラウドコンピューティングのメリットなど、クラウドの基礎概念に関する知識が問われます。
2. セキュリティとコンプライアンス：AWSが提供するセキュリティ機能（IAM、セキュリティグループなど）、プライバシー保護に関する取り組み、そしてGDPRなどのコンプライアンス（法令遵守）に関する概念が出題されます。
3. AWSテクノロジーとサービス：仮想マシン、ストレージ、データベース、ネットワークといった、AWSの主要なサービスの種類とその役割に関する知識が求められます。
   • コンピューティング：Amazon EC2、AWS Lambdaなど
   • ネットワーク：Amazon VPC、Elastic Load Balancingなど
   • ストレージ：Amazon S3、Amazon EBSなど
   • データベース：Amazon RDS、Amazon DynamoDBなど
4. 料金、請求、技術サポート：AWSの料金体系、コスト管理ツール、そしてサービスレベル契約（SLA）の概念など、AWSを運用する上でのビジネス的な側面に関する知識が問われます。

このように、AWS認定クラウドプラクティショナーは、技術的な知識だけでなく、クラウドサービスを利用する上での全体像を理解しているかが問われるのが特徴です。

過去問は役に立ちますか？具体的な対策方法も教えてください

過去問や問題集は学習において非常に有効なツールです。特に、AWS認定クラウドプラクティショナーのような広範囲にわたる資格では、過去問を活用することで効率的に学習を進めることができます。しかし、ただ過去問を解くだけでなく、どのように活用するかが大切です。

過去問の活用法

過去問や問題集を解くことには、主に二つの大きなメリットがあります。

1. 出題形式や傾向を把握できる：過去問を解くことで、どのような形式で問題が出されるのか、どの分野から頻繁に出題されるのかといった傾向を掴むことができます。これにより、効率的に学習する分野を絞り込むことが可能になります。
2. 自分の弱点を見つけられる：過去問を解いてみて、間違えた問題や理解に時間がかかった問題を分析することで、自分自身がどの分野を苦手としているのかを明確にできます。例えば、特定のAWSサービスの特性が曖昧、料金体系がよくわからないなど、具体的な弱点を見つけたら、そこを重点的に復習することで、より確実に実力を伸ばすことができます。

過去問は、ただ答えを丸暗記するのではなく、「なぜこのサービスがこのシナリオに最適なのか」を深く考えることが重要です。間違えた問題については、解説を読み込むだけでなく、実際にAWS環境でサービスを触ってみるなど、能動的に学習を進めていくことをおすすめします。

AWS認定クラウドプラクティショナー試験の具体的な対策

対策のポイント

1. 公式教材や認定トレーニングを活用する：AWSが提供している公式の学習教材や、認定パートナーが開催するトレーニングコースを利用することは、試験範囲を効率的に網羅する上で非常に有効です。
2. 実際にAWSを触ってみる：AWSの無料枠を活用して、簡単な仮想マシンを立ち上げたり、ストレージサービスを使ってみたりすることが、知識を定着させる上で最も重要です。
3. 問題集や模擬問題で実践演習：基礎が固まったら、問題集や模擬試験を使って、本番さながらの演習をします。試験の形式に慣れることができ、自信にもつながります。
4. 専門用語を正確に理解する：AWSには多くの専門用語が登場します。それぞれの用語の意味、そして他の用語との関連性を正確に理解しておくことが、問題を解く上で不可欠です。
5. クラウドの全体像を意識する：クラウドプラクティショナーは、特定の技術の深掘りよりも、クラウドの概念やAWSのサービス全体を俯瞰的に理解しているかが問われます。学習する際は、常に「このサービスはどのような目的で使われるのか」「このサービスとあのサービスはどのように連携するのか」といった全体像を意識することが大切です。

この資格はどのような仕事に役立ちますか？

AWS認定クラウドプラクティショナーの資格は、IT業界だけでなく、様々な職種で役立ちます。この資格は、現代のビジネスで必要となる、クラウドの基礎知識を証明するものです。

• ITサポート・ヘルプデスク：クラウド環境に関する問い合わせに対応する際、この資格の知識があれば、問題の原因を素早く特定し、解決することができます。
• 営業・コンサルタント：顧客にクラウドサービスを提案する際、クラウドの基本的なメリットや、AWSの各サービスがどのような強みを持っているのかを、この資格の知識に基づいて説明できます。
• システム管理者：企業のサーバーをオンプレミスからクラウドに移行する際、クラウドの知識は必須です。この資格は、クラウド環境の運用・管理を行う上で役立ちます。
• プログラマー・開発者：アプリケーションをクラウド環境にデプロイする際、クラウドの知識を持つことで、より効率的で安定したアプリケーションを開発できます。

このように、AWS認定クラウドプラクティショナーは、ITの専門家だけでなく、すべてのビジネスパーソンにとって価値のある資格です。

転職時には有利になりますか？

AWS認定クラウドプラクティショナーの資格は、転職活動において、ご自身のITへの関心と学習意欲をアピールするための有効な武器となり得ます。

有利になる点

1. 世界的な権威性の証明：AWSは世界中で広く使われており、この資格を持っていることは、ご自身のITスキルが国際的な基準を満たしていることの証明になります。
2. 学習意欲のアピール：IT業界は常に新しい技術が登場するため、継続的な学習が不可欠です。この資格取得に向けて努力したことは、企業に対して「この人は自ら学ぶ意欲が高い」という良い印象を与えます。
3. 選考の最初のステップを突破しやすくなる：多くの応募者がいる中で、履歴書に記載された資格は、選考担当者の目に留まりやすくなります。特に未経験者や、クラウドを導入している企業では、この資格を持っていることが、面接に進むためのきっかけとなる可能性が高まります。
4. 未経験者でもアピールしやすい：IT業界未経験者でも、この資格を取得することで、クラウドに関する基礎知識があることを証明できます。これは、他の未経験者との差別化を図る上で、非常に有効な手段となります。

資格だけで全てが決まるわけではありません

AWS認定クラウドプラクティショナーは、基礎知識を証明する資格であり、合格している時点で、かなりの実践経験を持っているとみなされます。しかし、資格はあくまでスキルを証明する「きっかけ」であり、面接では、これまでの実務経験や、どのような課題を解決してきたかといった、具体的な話が求められます。

そのため、これまでの業務でどのような役割を担い、どのような貢献をしてきたのかを、この資格の知識と結びつけて具体的に説明できるように準備しておくことが非常に重要です。

AIに奪われる可能性は？これからも必要とされますか？

現代において、AI技術は驚くべき速さで進化しています。AIがクラウドの設定や運用の一部を自動化する時代が到来しつつある中で、「クラウドの知識はAIに奪われるのでは？」と心配される方もいらっしゃるかもしれません。

しかし、結論から申し上げますと、クラウドの専門家の需要は今後もなくなることはなく、AWS認定クラウドプラクティショナーのような基礎知識は、今後も変わらず必要とされると考えられています。

クラウドプラクティショナーの知識がこれからも必要とされる理由

1. AIはクラウドの「利用者」：AIや機械学習のモデルは、多くの場合、クラウド環境上で動作します。AIが効率的に動作するためには、安定したクラウド環境が不可欠であり、その環境を運用・管理するのは、依然として人間の専門家の仕事です。AIが進化すればするほど、そのAIをより良く活用するための、クラウドの専門家である人間の役割はますます重要になります。
2. ビジネスの「設計者」としての役割：AIは単純な作業を自動化してくれるかもしれませんが、顧客の複雑なビジネス要件を深く理解し、最適なクラウドソリューションを提案したり、予期せぬトラブルが発生した際に原因を特定して解決したりする「思考力」は、人間の専門家の役割です。
3. 新しい技術への対応：クラウド技術は日々進化しており、新しいサービスや機能が常に登場します。そうした新しい技術に対し、柔軟に対応し、最適なソリューションを設計・構築するのは、人間の専門家であるITエンジニアの役割です。
4. AIの限界：AIは、あくまで過去のデータやベストプラクティスに基づいて学習します。そのため、予期せぬトラブルや、新しいタイプのビジネス要件に対して、AIが完璧に対応するのは難しい場合があります。そうした状況で、最終的な判断を下すのは人間の専門家です。

このように、AWS認定クラウドプラクティショナーの知識は、AI時代においても、ITインフラを支える上で不可欠な役割を担い続けるでしょう。AIの進化は、クラウドの仕事を奪うのではなく、むしろ私たちがより高度で創造的な仕事に集中できるような「強力なツール」として、私たちの仕事の仕方をより良いものに変えていくと考えられます。

まとめ

AWS認定クラウドプラクティショナーは、クラウドの分野でキャリアを築きたい方にとって、非常に価値のある国際的な資格です。

• どのような資格？：クラウドの概念、AWSの主要なサービス、そしてセキュリティや料金に関する基礎知識を証明する入門資格です。
• 傾向は？：選択式の問題が中心で、クラウドの全体像を理解しているかが問われます。
• 対策は？：公式教材や認定トレーニングを活用し、実際にAWS環境を触って、実践力を高めることが大切です。
• 転職に有利？：はい、未経験者にとってはITへの関心と学習意欲をアピールする強力な武器となりますが、資格取得と合わせて実践的な経験を積むことも重要です。
• 将来性は？：AI時代においても、クラウドの専門家はITインフラを支える上で不可欠な存在であり、その需要は今後も安定していると考えられます。

もし、クラウドの世界に興味を持っていただけたのでしたら、ぜひこの資格を目標にしてみてください。ご自身の努力が形となり、自信となって、未来のキャリアを切り拓く力になるはずです。

AWS認定クラウドプラクティショナー試験・予想問題（AI作成）

問題 1：

AWSの共有責任モデルにおいて、顧客の主な責任はどれか。
A. データセンターの物理的警備
B. ハイパーバイザーのパッチ適用
C. IAMユーザー権限の設定とデータの暗号化
D. リージョンの電力供給の維持

回答：

C

解説：

共有責任モデルでは、AWSはクラウドの「セキュリティ（物理・基盤）」を担当し、顧客はクラウド上での「セキュリティ（設定・データ）」を担当します。ユーザー・ロールの権限設計、アクセスキー管理、S3やEBSの暗号化有効化、OSやアプリの設定は顧客側の責任です。

問題 2：

需要変動が激しく、止まっても問題ないバッチ処理を最も低コストで実行したい。最適な料金モデルはどれか。
A. オンデマンドインスタンス
B. リザーブドインスタンス（1年・前払い）
C. スポットインスタンス
D. 専有ホスト

回答：

C

解説：

スポットインスタンスは未使用キャパシティを最大90%程度割引で利用でき、中断される可能性がある代わりに非常に低コストです。バッチ処理など中断に耐えられるワークロードに最適で、コスト最適化の代表手段として試験でも頻出です。

問題 3：

滅多にアクセスしないが、取り出すときはミリ秒で読みたいオブジェクト向けのS3ストレージクラスはどれか。
A. S3 Standard
B. S3 Standard-IA
C. S3 Glacier Deep Archive
D. S3 One Zone-IA

回答：

B

解説：

Standard-IAは低頻度アクセス向けで、取り出し遅延はStandard同等のミリ秒、保管単価が安い代わりに取り出し料金がかかります。Deep Archiveは取り出しに数時間かかるため不適、One Zone-IAは単一AZ保管で可用性要件が低い場合に限られます。

問題 4：

長期保管で最安を重視し、数時間後の取得でも問題ないバックアップに適したS3クラスはどれか。
A. S3 Intelligent-Tiering
B. S3 Glacier Flexible Retrieval
C. S3 Glacier Deep Archive
D. S3 Standard-IA

回答：

C

解説：

Deep ArchiveはS3で最も低コストな長期アーカイブ層で、復元は通常12時間程度かかります。コンプライアンス上の保管や過去ログの保全に適し、頻繁に参照しないデータへ最適です。取得遅延を許容できるなら総保管コスト削減に効果的です。

問題 5：

RDSで本番DBの可用性を高め、障害時に自動フェイルオーバーしたい。適切な構成はどれか。
A. 読み取りレプリカ
B. マルチAZ配置
C. スナップショットのみ取得
D. 単一AZで大きなインスタンスタイプ

回答：

B

解説：

RDSマルチAZは同期レプリケーションでスタンバイを用意し、AZ障害などで自動フェイルオーバーします。読み取りレプリカは読み性能向上や災害対策の一部として役立ちますが、非同期で自動フェイルオーバー用途には向きません。本番高可用性はマルチAZが基本です。

問題 6：

世界中のユーザーへ静的・動的コンテンツを低遅延配信したい。最も適したサービスはどれか。
A. ELB
B. CloudFront
C. Route 53
D. Global Accelerator

回答：

B

解説：

CloudFrontはグローバルなエッジロケーションからキャッシュ配信し、静的だけでなく動的コンテンツの最適化にも対応します。オリジンにS3やALBを設定でき、地理的に離れたユーザーにも低遅延を実現します。名前解決(Route 53)やL4/7分散(ELB)とは役割が異なります。

問題 7：

ユーザーを各自に最も低遅延なリージョンに振り分けたい。Route 53の適切なルーティングポリシーはどれか。
A. 重み付け
B. フェイルオーバー
C. レイテンシー
D. 位置情報

回答：

C

解説：

レイテンシーベースルーティングは、クエリ元から見て最もレイテンシーが低いエンドポイントへ解決します。重み付けはトラフィックの分割、フェイルオーバーはプライマリ障害時の切替、位置情報は国や地域に基づく制御であり目的が異なります。

問題 8：

最小権限の原則に基づき、特定S3バケットへの読み取りのみ許可したい。適切な方法はどれか。
A. ルートユーザーで直接操作
B. IAMポリシーで対象アクションとリソースを限定
C. セキュリティグループでS3を許可
D. NACLでS3を許可

回答：

B

解説：

S3へのアクセス制御はIAMポリシーやバケットポリシーで行います。特定アクション（例：s3:GetObject）と特定リソース（arn:aws:s3:::bucket/*）を明示し、最小権限を実現します。セキュリティグループやNACLはネットワーク階層の制御で、S3(共有サービス)の許可設定とは異なります。

問題 9：

AWSアカウントの不正操作リスクを最も減らす第一歩として推奨されるのはどれか。
A. ルートユーザーで日常運用する
B. ルートユーザーにMFAを有効化し、普段はIAM管理者を使用
C. 全ユーザーを同一パスワードで運用
D. CloudFrontを導入

回答：

B

解説：

ルートユーザーは特権が強く、日常利用は避けるべきです。まずMFAを必ず有効化し、日常運用は権限を分離したIAM管理者やロールで行います。パスワードやアクセスキーの共有は厳禁です。基本的対策の徹底がセキュリティの土台になります。

問題 10：

メトリクス監視とアラーム設定に主に用いるサービスはどれか。
A. CloudTrail
B. CloudWatch
C. Config
D. Systems Manager

回答：

B

解説：

CloudWatchはEC2やRDSなどのメトリクス収集、ログ集約、ダッシュボード、アラーム通知を提供します。CloudTrailはAPI呼び出しの証跡、Configはリソース設定の変更監査、Systems Managerは運用自動化やパッチ適用など運用全般の統合管理です。

問題 11：

API呼び出し履歴を記録し、誰がいつ何をしたかの証跡を得たい。使うべきサービスはどれか。
A. CloudWatch
B. CloudTrail
C. Trusted Advisor
D. Athena

回答：

B

解説：

CloudTrailはAWSアカウントでのAPIコール履歴を保存し、監査やセキュリティ調査に利用します。ログはS3に保存され、AthenaやCloudWatch Logs Insightsで分析可能です。運用やコストの可視化とは目的が異なり、証跡管理に特化しています。

問題 12：

月額コストが予算を超えそうになったら通知したい。最も適切なサービスはどれか。
A. Cost Explorer
B. AWS Budgets
C. Billingコンソールの請求書
D. Trusted Advisor

回答：

B

解説：

AWS Budgetsは予算金額や使用量のしきい値を定義し、超過見込みや超過時にメールやSNSでアラート送信します。Cost Explorerは傾向分析に適し、Trusted Advisorはベストプラクティス観点の助言を行います。能動的な予算アラートはBudgetsが担当します。

問題 13：

サービスごとのコスト推移やタグ別の費用を可視化・分析したい。適切なツールはどれか。
A. Cost Explorer
B. AWS Budgets
C. CloudWatch
D. GuardDuty

回答：

A

解説：

Cost Explorerは期間・サービス・使用タイプ・タグなど多軸でコストデータを分析できます。異常な増加の特定や最適化候補の発見に有効です。Budgetsはアラート用途、CloudWatchは運用メトリクス、GuardDutyは脅威検出が目的です。

問題 14：

複数アカウントの請求をまとめて支払いたい。適切な仕組みはどれか。
A. Consolidated Billing（AWS Organizations）
B. Savings Plans
C. 予約インスタンスの共有不可
D. アカウントごとに個別支払い継続

回答：

A

解説：

AWS Organizationsの統合請求（Consolidated Billing）を使うと、複数アカウントの請求を集約でき、ボリューム割引やSavings Plans/RIの割引利益を共有できます。運用・セキュリティ分離を保ちながら、コスト管理を簡素化できるメリットがあります。

問題 15：

組織内の子アカウントで特定サービスの使用自体を禁止したい。何を使うか。
A. IAMポリシー
B. SCP（Service Control Policy）
C. セキュリティグループ
D. Resource Access Manager

回答：

B

解説：

SCPはOrganizationsで親から子アカウントへ適用するガードレールで、許可の上限を定義します。子側のIAMが許可しても、SCPで拒否された操作は行えません。IAMはアカウント内の権限付与、SGはネットワーク制御であり、組織横断の使用禁止はSCPが最適です。

問題 16：

VPCでインスタンス単位のインバウンド許可を設定する構成要素はどれか。
A. NACL
B. セキュリティグループ
C. ルートテーブル
D. インターネットゲートウェイ

回答：

B

解説：

セキュリティグループはステートフルで、インスタンスに関連付けてイン/アウトの許可ルールを定義します。NACLはサブネット境界のステートレスな許可・拒否制御、ルートテーブルは経路制御、IGWはVPCをインターネットへ接続するためのゲートウェイです。

問題 17：

オンプレミスとAWS間で安定した専用線接続が必要。最適なサービスはどれか。
A. Site-to-Site VPN
B. Direct Connect
C. Client VPN
D. Transit Gatewayのみ

回答：

B

解説：

Direct Connectは専用線で安定した帯域・一貫した遅延を提供します。VPNはインターネット経由のIPsec接続で、迅速に構築できますが遅延や帯域が不安定な場合があります。要件に応じてDX＋VPNの冗長構成も一般的です。Transit Gatewayは多接続の集約に有効です。

問題 18：

単一インスタンスに高性能ブロックストレージが必要。どれを選ぶべきか。
A. EFS
B. EBS
C. S3
D. FSx for Lustre

回答：

B

解説：

EBSはEC2にアタッチするブロックストレージで、低レイテンシーと高IOPSを提供します。EFSは複数インスタンスで共有できるフルマネージドなNFS（ファイル）ストレージ、S3はオブジェクトストレージです。ワンホスト向けのOSディスクやDB用途はEBSが適します。

問題 19：

大規模なキーバリューデータをフルマネージドで、スケール自動化と高い可用性を優先する。適切なサービスはどれか。
A. Amazon RDS for MySQL
B. Amazon DynamoDB
C. Amazon Redshift
D. Amazon Aurora

回答：

B

解説：

DynamoDBはスケーラブルなNoSQLキーバリューストアで、サーバ管理不要、パーティショニング自動化、マルチAZの高可用性を提供します。リレーショナルクエリやACIDトランザクション重視ならRDS/Aurora、分析はRedshiftが適します。

問題 20：

サーバのプロビジョニングなしでコードを実行し、実行時間にのみ課金されるのはどれか。
A. EC2
B. Lambda
C. Lightsail
D. Elastic Beanstalk

回答：

B

解説：

AWS Lambdaはイベント駆動のサーバレス実行環境で、呼び出し数と実行時間に基づいて課金されます。EC2は仮想サーバ、BeanstalkはPaaS的なデプロイ自動化、Lightsailは簡易VPS的サービスです。運用負荷を最小化したいときにLambdaが有効です。

問題 21：

マイクロサービス間を疎結合にし、非同期でワークロードを平滑化したい。最適なのはどれか。
A. SNS
B. SQS
C. Kinesis Data Streams
D. Step Functions

回答：

B

解説：

SQSはメッセージキューでプロデューサーとコンシューマーを非同期に接続し、バースト吸収や再試行、可用性を提供します。SNSはPub/Subの通知、Kinesisはストリーミング処理、Step Functionsは状態遷移のオーケストレーションです。疎結合化にはSQSが基本です。

問題 22：

1つのイベントを複数の下流サービスへファンアウト配信したい。選ぶべき組み合わせはどれか。
A. SNSトピックから複数のSQSキューをサブスクライブ
B. SQSから複数SNSへ同報
C. S3から直接複数Lambdaへ同報
D. CloudWatchからRDSへ直接書き込み

回答：

A

解説：

SNSはPub/Subで、1つのトピックに発行されたメッセージを複数のサブスクライバー（SQS/Lambda/HTTPなど）へ配信できます。SQSは1対1キューであり同報は得意ではありません。ファンアウトの標準パターンはSNS→複数SQS（またはLambda）です。

問題 23：

サーバレスAPIを短期間で公開したい。最適な構成はどれか。
A. EC2＋Nginx
B. API Gateway＋Lambda
C. ALB＋ECS
D. Route 53単体

回答：

B

解説：

API Gatewayは認証、レート制限、ステージ管理を備え、Lambdaと組み合わせることで完全サーバレスなAPIを実現します。短期間での公開・スケール・課金最適化が容易です。ALBやEC2/ECSはサーバ管理が必要で、Route 53は名前解決のみです。

問題 24：

可用性を高めつつトラフィック増減に自動で対応したい。適切な組み合わせはどれか。
A. Auto Scaling＋ELB＋複数AZ
B. 単一大型EC2のみ
C. Route 53のみ
D. CloudFrontのみ

回答：

A

解説：

複数AZにインスタンスを展開し、ELBで負荷分散、Auto Scalingで台数を自動調整するのが基本設計です。単一インスタンスは単一障害点、Route 53やCloudFrontは別の役割であり、アプリの水平スケールと可用性向上を直接は担いません。

問題 25：

誤削除や上書きからS3データを守りたい。まず有効化すべき機能はどれか。
A. バージョニング
B. 署名付きURL
C. マルチパートアップロード
D. Transfer Acceleration

回答：

A

解説：

S3バージョニングを有効化すると、削除や上書き前のオブジェクト版を保持でき、誤操作やランサム的事象からの復旧が容易になります。MFA Deleteと組み合わせると削除の多要素承認も可能です。速度系の機能ではデータ保護にはなりません。

問題 26：

暗号鍵を安全に管理し、S3やEBSの暗号化で利用したい。使うべきサービスはどれか。
A. AWS KMS
B. Secrets Manager
C. Parameter Store
D. CloudHSMのみ

回答：

A

解説：

KMSはマネージドな鍵管理基盤で、S3・EBS・RDSなど多くのサービスと統合されています。Secrets ManagerやParameter Storeはアプリのシークレット・設定管理用であり、暗号鍵そのもののライフサイクル管理にはKMSが中心となります。

問題 27：

KMSコストやスロットリングを避けつつ、S3の保護を簡単に有効化したい。適切な暗号化方式はどれか。
A. SSE-S3（AES-256）
B. SSE-KMS（aws/kms）
C. クライアントサイド暗号化のみ
D. 暗号化なし

回答：

A

解説：

SSE-S3はS3管理のサーバサイド暗号化で、KMS課金が発生せず運用が軽量です。キー管理要件や監査要件が厳しい場合はSSE-KMSを選びますが、呼び出し課金や制限が関わります。要件に応じて選択し、まずはSSE-S3でのベースライン保護が有効です。

問題 28：

DDoSからの防御を高めたい。最適な組み合わせはどれか。
A. AWS Shield＋AWS WAF
B. CloudTrail＋Config
C. Budgets＋Cost Explorer
D. SQS＋SNS

回答：

A

解説：

AWS ShieldはDDoS緩和、WAFはL7の不正リクエストをルールでブロックします。特にShield Advancedは大規模攻撃時の追加保護とコスト保護を提供します。監査系（CloudTrail/Config）やコスト管理ではDDoS対策になりません。

問題 29：

アカウント内の脅威を継続監視し、異常なアクティビティを検出したい。使うサービスはどれか。
A. GuardDuty
B. Inspector
C. Macie
D. Detectiveのみ

回答：

A

解説：

GuardDutyはCloudTrail、VPC Flow Logs、DNSログ等を機械学習で分析し、疑わしい挙動を検出します。Inspectorは脆弱性評価、MacieはS3中の機密データ検出、Detectiveは調査支援です。まずの脅威検出はGuardDutyを有効化します。

問題 30：

EC2のソフトウェア脆弱性を自動評価したい。適切なサービスはどれか。
A. GuardDuty
B. Inspector
C. Macie
D. Detective

回答：

B

解説：

InspectorはEC2やECRイメージの脆弱性やCISベンチマーク準拠状況を評価し、修正優先度を示します。GuardDutyは脅威検出、MacieはS3の機密情報検出、Detectiveはインシデント調査支援です。脆弱性評価にはInspectorが適任です。

問題 31：

S3に保存された個人情報の自動検出と可視化を行いたい。使うべきサービスはどれか。
A. Macie
B. GuardDuty
C. Athena
D. Glue

回答：

A

解説：

Amazon MacieはS3内の機密データ（氏名、クレジットカード番号など）の検出に特化し、分類・可視化・通知を行います。GuardDutyは脅威検出、AthenaはSQLクエリでの分析、GlueはETL基盤であり、目的が異なります。

問題 32：

RDSやEBSなどのバックアップポリシーを一元管理したい。最適なサービスはどれか。
A. AWS Backup
B. CloudFormation
C. Systems Manager
D. Data Pipeline

回答：

A

解説：

AWS Backupは複数サービスのバックアップスケジュール、ライフサイクル、ボールト管理を統合します。組織単位やタグでポリシー適用も可能です。CloudFormationはIaC、Systems Managerは運用自動化、Data Pipelineは旧来のデータ処理基盤です。

問題 33：

動的コンテンツをグローバルに低遅延・固定IPで最適化したい。適切なのはどれか。
A. CloudFront
B. Global Accelerator
C. Route 53
D. Direct Connect

回答：

B

解説：

Global AcceleratorはAnycastのグローバル固定IPで、AWSグローバルネットワークを経由して最適なエッジ経路でバックエンドへ到達させます。動的TCP/UDPトラフィックに強く、CloudFront（主にHTTPキャッシュ）とは用途が異なります。

問題 34：

DR戦略で、最低限のコアサービスだけを常時小規模で動かし、災害時に規模拡大する方式はどれか。
A. バックアップ＆リストア
B. パイロットライト
C. ウォームスタンバイ（アクティブ/パッシブ）
D. マルチサイトアクティブ/アクティブ

回答：

B

解説：

パイロットライトは最小限の基盤を常時稼働し、災害時に必要リソースを迅速にスケールアップします。バックアップ＆リストアは最も安価だが復旧が遅く、ウォームスタンバイはより多くを常時待機、マルチサイトはコスト高だが最速復旧です。

問題 35：

RTOとRPOの正しい説明はどれか。
A. RTOは許容データ損失時間、RPOは復旧所要時間
B. RTOは復旧目標時間、RPOは許容データ損失点
C. RTOは同時接続数、RPOは性能指標
D. 両方ともコスト指標

回答：

B

解説：

RTO（Recovery Time Objective）はサービスを復旧するまでの目標時間、RPO（Recovery Point Objective）はどこまでデータを戻せるかの目標時点（許容損失量）です。DR計画では業務要件に合わせ、この2軸を満たすアーキテクチャを選定します。

問題 36：

無料利用枠の正しい理解として適切なのはどれか。
A. すべてのサービスが永久無料
B. 一定条件・期間で無料枠があり、超過分は通常課金
C. 無料期間後は自動停止
D. データ転送料金は常に無料

回答：

B

解説：

Free Tierは新規ユーザー向けに12か月などの期間限定や常時無料枠を提供しますが、上限超過や対象外の使用は通常課金されます。期間終了後もリソースが動いていれば課金は続くため、利用状況の監視とリソース整理が重要です。

問題 37：

インフラをコードとして管理し、テンプレートから再現性高く構築したい。使うべきサービスはどれか。
A. CloudFormation
B. CodeCommit
C. OpsWorksだけ
D. Control Tower

回答：

A

解説：

CloudFormationはテンプレート（YAML/JSON）でAWSリソースを定義・デプロイし、変更管理や依存解決を自動化します。OpsWorksはChef/Puppetベース、Control Towerは着陸ゾーン構築、CodeCommitはGitリポジトリであり、IaCそのものはCloudFormationが担います。

問題 38：

アプリを素早くデプロイし、基盤管理を最小化したいが、EC2上で動かしたい。適切なサービスはどれか。
A. Elastic Beanstalk
B. Lambda
C. Lightsailのみ
D. ECSの手動構築

回答：

A

解説：

Elastic Beanstalkはアプリのプラットフォームを選ぶだけで、EC2、ASG、ELBなどの基盤を自動作成・運用します。コードに集中できるPaaS的サービスです。Lambdaはサーバレス実行、Lightsailは簡易VPS、ECS手動は運用負荷が高くなります。

問題 39：

世界各地からS3へのアップロードを高速化したい。何を有効化するか。
A. マルチパートアップロード
B. S3 Transfer Acceleration
C. S3バージョニング
D. S3 Glacier

回答：

B

解説：

Transfer AccelerationはCloudFrontのエッジ経由で最適経路を使い、遠距離からのS3アップロードを高速化します。マルチパートは大容量時の信頼性・並列化に有効ですが地理的遅延は解決しません。バージョニングやGlacierは目的が異なります。

問題 40：

巨大ファイルのアップロード途中で失敗しても再開しやすくしたい。最適な機能はどれか。
A. S3 Transfer Acceleration
B. マルチパートアップロード
C. バージョニング
D. ライフサイクルルール

回答：

B

解説：

マルチパートアップロードはファイルを分割して並列送信し、失敗部分のみ再送できるため信頼性と速度が向上します。地理的高速化はTransfer Acceleration、保管や移行はバージョニング/ライフサイクルが担当し、目的が異なります。

問題 41：

データ転送料金の一般的な考え方として正しいのはどれか。
A. インターネットへの送信は有料が基本
B. リージョン間のデータ転送は常に無料
C. AZ間のデータ転送は無料
D. 受信（イン）も常に課金

回答：

A

解説：

AWSでは一般に「データイン無料、アウト有料」が基本です。リージョン間やAZ間の転送には多くの場合料金が発生します（例外もあり）。設計段階で通信経路やキャッシュ、同一AZ内通信の最適化を考慮することがコスト削減に有効です。

問題 42：

新規サービス展開のリージョン選定で考慮すべき点として最も適切なのはどれか。
A. 気候
B. ユーザーのレイテンシー、法規制、提供サービス、価格
C. 近隣の観光地
D. 一番人気の国名

回答：

B

解説：

リージョン選定はターゲットユーザーへの遅延、データ所在地に関する法令順守、必要なAWSサービスの提供状況、価格差、事業継続計画など多面から判断します。単純な人気や地理的印象ではなく、要件に則した指標が重要です。

問題 43：

コンテナをサーバレスで実行し、インフラ管理を最小化したい。選ぶべきのはどれか。
A. ECS on EC2
B. ECS on Fargate
C. EKS（自己管理ノード）
D. EC2でDocker単体運用

回答：

B

解説：

ECS on Fargateはサーバ管理不要で、コンテナ単位のリソース指定に応じて自動的に実行環境を提供します。ECS on EC2やEKSはノード管理が必要になり運用負荷が上がります。CP/メモリ単位課金でスケールも容易です。

問題 44：

特定時刻にLambdaを定期実行したい。適切なサービスはどれか。
A. EventBridge（旧CloudWatch Events）
B. SNS
C. SQS
D. CodePipeline

回答：

A

解説：

Amazon EventBridgeはスケジュール（cron/率）ルールでLambdaを実行できます。SNSやSQSはメッセージング、CodePipelineはCI/CD用です。定期バッチや運用ジョブの起動にEventBridgeが標準的に使われます。

問題 45：

アプリケーションログを集約・検索クエリで分析したい。適切なサービスはどれか。
A. CloudWatch LogsとLogs Insights
B. CloudTrailのみ
C. S3のみ
D. Inspector

回答：

A

解説：

CloudWatch Logsはログ収集・保存を提供し、Logs Insightsでクエリによる分析が行えます。CloudTrailはAPI証跡専門、S3は保管先としては使えるが検索機能は限定、Inspectorは脆弱性評価です。運用ログ解析にはLogs＋Insightsが適します。

問題 46：

コスト配賦や運用自動化の対象選択のために、リソースへ一貫したメタデータを付与したい。何を使うか。
A. タグ
B. リソースIDの命名規則のみ
C. 口頭連絡
D. IAMロール名

回答：

A

解説：

タグはキー/バリューのメタデータで、コスト配賦、アクセス制御、バックアップポリシー適用などに活用できます。命名規則だけでは機械的なフィルタリングが難しく、タグの標準化（命名・必須・検証）が運用効率を高めます。

問題 47：

コスト、パフォーマンス、セキュリティ、フォールトトレランス、サービス制限の観点で自動チェックを受けたい。何を使うか。
A. Trusted Advisor
B. Inspector
C. GuardDuty
D. Config

回答：

A

解説：

Trusted Advisorはベストプラクティスに基づき、コスト削減機会、パフォーマンス改善、セキュリティ強化、耐障害性、サービス制限の超過リスクなどを診断します。InspectorやGuardDutyは別領域の評価で、Configは構成準拠の監査です。

問題 48：

24/7のテクニカルサポートと生産環境向けガイダンスを得たいが、TAMやConciergeは不要。適切なサポートプランはどれか。
A. Basic
B. Developer
C. Business
D. Enterprise

回答：

C

解説：

Businessサポートは24/7でケース対応、より短い応答SLA、Trusted Advisorの全チェック等を提供します。EnterpriseはさらにTAMやConciergeが付き、大規模企業向けです。Developerは営業時間内中心、Basicは請求サポートとドキュメントのみです。

問題 49：

大量のストリーミングデータを低遅延で収集し、リアルタイム処理基盤へ渡したい。選ぶべきはどれか。
A. SQS
B. SNS
C. Kinesis Data Streams
D. Step Functions

回答：

C

解説：

Kinesis Data Streamsは高スループット・低遅延で連続データを取り込み、複数コンシューマーが並列に処理できます。SQSはメッセージキュー、SNSは通知、Step Functionsはワークフロー制御であり、ストリーミング処理の要件にはKinesisが適合します。

問題 50：

複数のLambdaやサービスを状態遷移でつなぎ、エラー分岐や再試行を宣言的に定義したい。適切なサービスはどれか。
A. Step Functions
B. CloudFormation
C. CodeBuild
D. Glue

回答：

A

解説：

Step Functionsはサーバレスなワークフローエンジンで、状態機械によりタスク連携、分岐、再試行、タイムアウトなどを可視的に定義できます。CloudFormationはIaC、CodeBuildはビルド、GlueはETL基盤です。分散処理のオーケストレーションに最適です。

問題 51：

IAMロールの主な利用目的として最も適切なのはどれか。
A. ルートユーザーの代替として恒久利用する
B. 一時的に権限を付与してAWSリソースやサービスにアクセスさせる
C. VPCのネットワークACLを自動生成する
D. EC2料金を割引する

回答：

B

解説：

IAMロールはユーザーやサービス、EC2インスタンス、Lambdaなどに一時的な認証情報を付与し、最小権限でAWSリソースへアクセスさせる仕組みです。長期的な静的キー配布を避けられ、キー漏えいのリスクを下げます。クロスアカウントアクセスにも使え、セキュリティと運用性の両面で推奨されます。

問題 52：

IAMグループの正しい説明はどれか。
A. APIアクセスキーの保管場所
B. 複数ユーザーへ同一ポリシーをまとめて付与するための入れ物
C. EC2インスタンスタグの分類機能
D. 監査ログの集約先

回答：

B

解説：

IAMグループはユーザーの集合で、グループにアタッチしたポリシーが所属ユーザーへ一括で適用されます。個別付与の手間や設定漏れを減らし、ロールごとの権限標準化を実現します。APIキー保管やログ集約、タグ付けとは役割が異なります。

問題 53：

他アカウントのS3バケットへ安全にアクセスしたい。最適な方法はどれか。
A. 相手アカウントのルートキーを共有
B. STSでAssumeRoleして一時認証情報を取得
C. S3 ACLで全公開
D. VPCピアリングのみ

回答：

B

解説：

クロスアカウントでは、相手側に信頼されたIAMロールを用意し、STSのAssumeRoleで一時クレデンシャルを取得するのがベストプラクティスです。長期キー共有はリスクが高く、S3の全公開は論外です。ネットワーク接続の有無とは別に認可を明確化できます。

問題 54：

S3の公開事故を根本的に防ぐため、まず有効化すべき機能はどれか。
A. バケットACL
B. Block Public Access
C. 署名付きURL
D. バージョニング

回答：

B

解説：

S3 Block Public Accessは、バケットやアカウント単位でパブリックアクセスを一括遮断する強力なガードレールです。誤ったポリシーやACL設定による公開を防ぎ、セキュリティの初期設定として推奨されます。署名URLやバージョニングは別目的です。

問題 55：

S3のアクセス制御における推奨アプローチはどれか。
A. ACL中心で細かく権限設計
B. IAMポリシーとバケットポリシー中心、ACLは最小限
C. ルートユーザーのみで操作
D. セキュリティグループでS3を閉じる

回答：

B

解説：

現在のベストプラクティスはIAMポリシーやバケットポリシーによる許可制御が中心で、ACLは可能な限り使わない方針です。ACLは複雑化しやすく誤設定を招きます。ルート運用は危険であり、セキュリティグループはS3の認可とは無関係です。

問題 56：

VPC内からS3へプライベートに接続したい。適切なのはどれか。
A. NATゲートウェイ
B. VPCエンドポイント（Gatewayタイプ：S3）
C. インターネットゲートウェイ
D. Direct Connect必須

回答：

B

解説：

S3とDynamoDBはGateway型エンドポイントでプライベート接続が可能です。ルーティングを通じてインターネットを経由せずアクセスでき、データ流出リスクとコストを抑えます。NATやIGWは公開経路で、DXは必須要件ではありません。

問題 57：

自社VPCから特定のAWSサービス（例：SNS、SQS）にプライベート接続したい。何を使うか。
A. VPCエンドポイント（Interface/PrivateLink）
B. VPCピアリング
C. Transit Gatewayのみ
D. NATインスタンス

回答：

A

解説：

多くのAWSサービスはInterface型VPCエンドポイント（PrivateLink）でプライベートに到達できます。ENIをVPC内に作成し、サービスまでAWSバックボーンで接続します。ピアリングはVPC間接続、Transit Gatewayは接続集約、NATはインターネット経路です。

問題 58：

プライベートサブネットのEC2からインターネットへアウトバウンド通信を許可したい。選択肢はどれか。
A. NATゲートウェイ
B. セキュリティグループのみ
C. ルートテーブルにローカル記載
D. Egress-Only IGW（IPv4）

回答：

A

解説：

NATゲートウェイ（またはNATインスタンス）をパブリックサブネットに置き、プライベートサブネットからのデフォルトルートをNATへ向けます。これで外向き通信は可能ですが外部からの着信は遮断されます。Egress-Only IGWはIPv6専用です。

問題 59：

IPv6環境で外向き通信のみ許可し、外部からの着信を遮断したい。何を使うか。
A. NATゲートウェイ
B. Egress-Only Internet Gateway
C. インターネットゲートウェイ
D. VPCピアリング

回答：

B

解説：

Egress-Only Internet GatewayはIPv6専用に外向き通信を可能とし、外部からのインバウンドを遮断します。NATはIPv4向けの仕組み、IGWは双方向に開き得ます。ピアリングはVPC間接続でインターネット経路とは別の用途です。

問題 60：

ネットワークACLの特徴として正しいものはどれか。
A. ステートフルで戻りトラフィックは自動許可
B. サブネット単位・ステートレス・許可／拒否ルール
C. インスタンス単位で適用
D. DNS名前解決を行う

回答：

B

解説：

NACLはサブネット境界で動くステートレスフィルターで、インバウンド・アウトバウンド双方のルール記述が必要です。許可だけでなく拒否も可能です。インスタンス単位はセキュリティグループの役割であり、名前解決とは関係しません。

問題 61：

レイヤ7のHTTPヘッダやパスベースで振り分けたい。最適なロードバランサはどれか。
A. CLB
B. ALB
C. NLB
D. Global Accelerator

回答：

B

解説：

Application Load BalancerはL7での柔軟なルーティング（パス・ホスト・HTTPヘッダ）やWAF連携、WebSocket対応などを提供します。NLBはL4高速処理、CLBは旧世代、Global Acceleratorは任意プロトコル向けのグローバル経路最適化です。

問題 62：

プライマリサイトの障害時に自動的に別サイトへ名前解決を切替えたい。Route 53の機能はどれか。
A. 加重ルーティング
B. フェイルオーバールーティング（ヘルスチェック）
C. 固定IP割り当て
D. プライベートホストゾーン

回答：

B

解説：

Route 53のフェイルオーバーポリシーはヘルスチェック結果に基づき、プライマリが不健全時にセカンダリへ切替えます。加重はトラフィック分割、固定IPは提供しません。プライベートホストゾーンはVPC内向けのDNSです。

問題 63：

CloudFormationスタックが手作業で変更され、テンプレートと差異が生じていないか確認したい。何を使うか。
A. Drift Detection
B. Change Set
C. StackSets
D. CodeDeploy

回答：

A

解説：

Drift Detectionは実環境のリソース状態とテンプレート定義の乖離（ドリフト）を検出します。Change Setは適用前の差分プレビュー、StackSetsは複数アカウント・リージョン展開です。手動変更の監視にDriftが適しています。

問題 64：

ビルド、テスト、デプロイをつなぐCI/CDパイプラインの構築に用いるサービスはどれか。
A. CodePipeline
B. CodeBuildのみ
C. CodeCommitのみ
D. CodeDeployのみ

回答：

A

解説：

CodePipelineはソース、ビルド（CodeBuild）、デプロイ（CodeDeployやElastic Beanstalk等）をステージでつなぐ統合パイプラインです。個別サービス単体ではCI/CD全体をオーケストレーションできません。視覚化と自動化が可能です。

問題 65：

アプリをEC2にデプロイし、ロールバックやBlue/Greenを簡単に行いたい。適切なサービスはどれか。
A. CodeBuild
B. CodeDeploy
C. Cloud9
D. Systems Managerのみ

回答：

B

解説：

CodeDeployはEC2やオンプレ、Lambdaへのデプロイを自動化し、段階展開や停止条件、ロールバックなどをサポートします。CodeBuildはビルド、Cloud9はIDE、SSMは運用自動化であり、デプロイ戦略の実装はCodeDeployが担います。

問題 66：

PaaS的にアプリを素早く公開し、ヘルスチェックやオートスケーリングを自動で設定したい。何を使うか。
A. Elastic Beanstalk
B. App Runner
C. EC2手動構築
D. EKSセルフマネージド

回答：

A

解説：

Elastic Beanstalkはプラットフォーム選択と設定のみで、EC2・ALB・ASGなどの基盤を自動化します。アプリに集中でき、監視やスケール設定も容易です。App RunnerはコンテナやWebアプリのSaaS運用寄りで、選択肢としては近いが目的がやや異なります。

問題 67：

コンテナ実行を完全サーバレスで行いたい。適切なのはどれか。
A. ECS on EC2
B. ECS on Fargate
C. EKS（自己管理ノード）
D. EC2でDocker単機運用

回答：

B

解説：

Fargateはコンテナ単位のCPU/メモリ指定のみで実行環境を提供するサーバレス基盤です。ノードのパッチや容量計画が不要になり、最小構成で迅速に動かせます。EC2や自己管理ノードではホスト管理が必要です。

問題 68：

ソースコードやコンテナからHTTPアプリを最小運用で公開し、TLSやオートスケールも自動で任せたい。選択肢はどれか。
A. App Runner
B. API Gatewayのみ
C. CloudFrontのみ
D. Lightsailのみ

回答：

A

解説：

App Runnerはビルドからデプロイ、TLS、オートスケール、監視まで一体で提供するフルマネージドなアプリ実行環境です。API GatewayはAPI公開に特化、CloudFrontはCDN、LightsailはVPS的サービスで役割が異なります。

問題 69：

簡便な仮想サーバやDB、固定価格での小規模サイト運用をしたい。適切なサービスはどれか。
A. Lightsail
B. EC2スポットのみ
C. Redshift
D. Direct Connect

回答：

A

解説：

Lightsailはシンプルな料金体系で仮想サーバ、マネージドDB、ロードバランサを提供し、小規模プロジェクトや学習用途に適します。スポットは中断あり、RedshiftはDWH、Direct Connectはネットワーク専用線で目的が異なります。

問題 70：

アクセス頻度が読めないオブジェクトを自動で最適階層へ移したい。どのS3クラスか。
A. S3 Standard
B. S3 Intelligent-Tiering
C. S3 One Zone-IA
D. S3 Glacier Deep Archive

回答：

B

解説：

Intelligent-Tieringはアクセスパターンに応じ自動的に階層を移動させ、性能を維持しつつコストを最適化します。取り出し遅延はStandard同等で、監視料は小額です。One Zone-IAやDeep Archiveは要件が限定的で自動最適化は行いません。

問題 71：

一定期間後に低頻度層やGlacierへ自動移行したい。S3の何を使うか。
A. ライフサイクルルール
B. バージョニング
C. 静的ウェブホスティング
D. CORS設定

回答：

A

解説：

ライフサイクルルールで、作成からの経過日数やタグ条件に基づき、IAやGlacier系へ自動移行、期限切れ削除を実施できます。運用の自動化により保管コストを着実に下げられます。バージョニングやCORSは別の用途です。

問題 72：

オブジェクトをWORMで保持し、改ざんや削除から守りたい。S3の機能はどれか。
A. オブジェクトロック
B. 署名付きURL
C. 転送加速
D. プレフィックス分割

回答：

A

解説：

S3オブジェクトロックはリテンション期間またはリーガルホールドでWORM（Write Once Read Many）を実現します。監査やコンプライアンス要求に有効で、誤削除や悪意ある改変を防ぎます。署名URLや転送加速は保護とは目的が異なります。

問題 73：

EBS gp3の利点として正しいのはどれか。
A. 容量に比例してしかIOPSが上がらない
B. 容量とIOPS/スループットを独立して指定可能
C. 常に最も高価
D. スナップショット不可

回答：

B

解説：

gp3は容量とIOPS・スループットを独立設定でき、必要性能を的確に確保しながらコストを抑えやすいのが特長です。gp2は容量連動でIOPSが決まるため無駄が生じることがあります。スナップショットは従来通り利用可能です。

問題 74：

EBSスナップショットの正しい性質はどれか。
A. 毎回フルコピー
B. 増分で保存し、前回からの差分のみ課金
C. バックアップ先はEC2内
D. 復元は必ず同一AZのみ

回答：

B

解説：

EBSスナップショットは増分保存のため、初回以降は差分分だけが課金対象です。S3に保存され、他リージョンへコピーも可能です。復元は同一AZに限りません。バックアップ効率とDRの柔軟性が高いのが特徴です。

問題 75：

複数AZから同時にマウントでき、NFSで共有したい。選ぶべきストレージはどれか。
A. EBS
B. EFS Standard
C. S3のみ
D. インスタンスストア

回答：

B

解説：

EFSはフルマネージドNFSで、複数AZから同時にアクセス可能です。スケールアウトし、可用性も高いです。EBSは単一インスタンス向けブロック、S3はオブジェクト、インスタンスストアは揮発性で用途が異なります。

問題 76：

WindowsネイティブのSMB共有やActive Directory連携が必要。適切なファイルサービスはどれか。
A. FSx for Windows File Server
B. FSx for Lustre
C. EFS
D. S3

回答：

A

解説：

FSx for WindowsはSMB/NTFS機能、AD統合、Windows権限モデルを提供します。LustreはHPC向け、EFSはNFSベース、S3はオブジェクトストレージです。Windowsワークロードの互換性を重視するならFSx for Windowsが最適です。

問題 77：

読み取りトラフィックが多い本番RDSのスケールアウトに有効なのはどれか。
A. マルチAZ
B. 読み取りレプリカ
C. スナップショットのみ
D. 単一大型インスタンスに集約

回答：

B

解説：

読み取りレプリカは非同期で読み負荷を分散できます。マルチAZは可用性とフェイルオーバー目的で、読み性能向上には直結しません。スナップショットや縦型スケールのみでは拡張性が制限されます。

問題 78：

グローバルに読み取りを最適化し、リージョン障害にも強いAurora構成はどれか。
A. 単一リージョンAurora
B. Aurora Global Database
C. RDS MySQLのマルチAZ
D. 単一AZ Aurora

回答：

B

解説：

Aurora Global Databaseはプライマリと複数セカンダリリージョンにレプリケーションし、読み取りを各地で低遅延化できます。災害時の昇格も迅速です。単一リージョン構成では地理的冗長性が不足します。

問題 79：

DynamoDBでトラフィックが読めず突発的。最も適したキャパシティモードはどれか。
A. プロビジョンド（固定）
B. オンデマンド
C. グローバルテーブル必須
D. DAXのみ

回答：

B

解説：

オンデマンドはリクエストに応じて自動でスループットを調整し、使った分だけ課金されます。予測困難なワークロードに適します。プロビジョンドは安定トラフィック向け、DAXはキャッシュでありキャパシティ設定とは別です。

問題 80：

DynamoDBの読み取りレイテンシをさらに下げたい。適切なサービスはどれか。
A. DAX（DynamoDB Accelerator）
B. ElastiCache for Redisのみ
C. CloudFront
D. SQS

回答：

A

解説：

DAXはDynamoDB専用のメモリ内キャッシュで、マイクロ秒レベルの読み取りを可能にします。アプリ改修は最小限で、整合性要件に応じて適用します。汎用キャッシュやCDN、メッセージングは目的が異なります。

問題 81：

テーブル更新をトリガに非同期処理（例：監査ログ保存）を実行したい。使うべき連携はどれか。
A. DynamoDB Streams＋Lambda
B. API Gatewayのみ
C. S3イベント通知のみ
D. Step Functions単体

回答：

A

解説：

DynamoDB Streamsは項目変更をストリームとして吐き出し、Lambdaでトリガ実行が可能です。監査や派生処理の非同期化に有効です。API GatewayやS3イベントは別サービス起点、Step Functionsはオーケストレーションで用途が異なります。

問題 82：

列指向のDWHでBI分析を行いたい。適切なサービスはどれか。
A. Redshift
B. RDS for PostgreSQL
C. DynamoDB
D. Timestream

回答：

A

解説：

Redshiftはペタバイト級のDWHで列指向ストレージ、圧縮、並列処理により分析クエリを高速に実行します。RDSはOLTP中心、DynamoDBはNoSQL、Timestreamは時系列に特化しています。BIやETLと相性が良いのがRedshiftです。

問題 83：

S3にあるCSVやParquetをサーバーレスでSQL分析したい。何を使うか。
A. Athena
B. Glue Data CatalogなしでRedshift
C. EC2上の手作りクエリエンジン
D. CloudTrail

回答：

A

解説：

AthenaはS3上のデータを直接SQLでクエリできるサーバレス分析サービスです。Glue Data Catalogのメタデータと連携してスキーマ管理を行います。RedshiftはDWHでロード工程が増えがち、CloudTrailは監査ログです。

問題 84：

データレイクの権限管理やテーブル作成を一元化したい。適したサービスはどれか。
A. Lake Formation
B. CodePipeline
C. Inspector
D. Control Tower

回答：

A

解説：

Lake FormationはS3上のデータレイクに対する権限やデータカタログ統合を提供し、AthenaやRedshift Spectrum等にまたがる細粒度アクセス制御を実現します。CI/CDや脆弱性、アカウント基盤構築とは目的が異なります。

問題 85：

期限付きでコンテンツ配布を制御したいCDN機能はどれか。
A. CloudFrontの署名付きURL/クッキー
B. CloudFrontのオリジンフェイルオーバーのみ
C. Route 53のフェイルオーバー
D. S3静的サイトホスティングのみ

回答：

A

解説：

署名付きURLやクッキーを用いると、有効期限やIP制限を付けて配布制御が可能です。オリジンフェイルオーバーは可用性向上の仕組みで、Route 53やS3単体では配布制御の粒度が不足します。保護された配信に有効です。

問題 86：

Webアプリに一般的な攻撃（SQLi、XSS）対策を追加したい。何を導入するか。
A. AWS WAF（マネージドルール）
B. GuardDutyのみ
C. CloudTrailのみ
D. NATゲートウェイ

回答：

A

解説：

AWS WAFはL7のフィルタリングを行い、マネージドルールで一般的な脅威を簡単にブロックできます。GuardDutyやCloudTrailは検知・監査で、予防的なWebリクエスト制御とは異なります。NATはネットワーク経路に関する機能です。

問題 87：

DDoS対策で追加のサポートと費用保護、拡張メトリクスを得たい。選択肢はどれか。
A. Shield Standard
B. Shield Advanced
C. WAFのみ
D. CloudFrontのみ

回答：

B

解説：

Shield Advancedは大規模攻撃時の追加保護、24/7のDDoS Response Team連携、コスト保護、詳細メトリクスを提供します。Standardは自動防御のみ、WAFやCloudFrontは補完的です。重要サービスにはAdvanced導入が推奨されます。

問題 88：

踏み台サーバを置かずにEC2へ安全にシェル接続したい。使うべき機能はどれか。
A. Systems Manager Session Manager
B. SSHキーペアのみ
C. パブリックIP直結
D. Cloud9のみ

回答：

A

解説：

Session ManagerはエージェントとIAMで制御し、ポート開放や踏み台不要でEC2へ安全に入り、監査ログも残せます。鍵配布や公開IPに依存しないためセキュリティと運用性が向上します。Cloud9はIDEであり接続手段とは異なります。

問題 89：

EC2やオンプレのパッチ適用を一括で自動化したい。何を使うか。
A. Systems Manager Patch Manager
B. CloudFormation
C. Inspectorのみ
D. Budgets

回答：

A

解説：

Patch Managerはメンテナンスウィンドウや承認ベースラインの設定で、OSパッチを自動適用できます。Inspectorは脆弱性の検出、CloudFormationは構築自動化、Budgetsはコスト監視であり、パッチ運用の自動化はSSMの機能です。

問題 90：

アプリのシークレット（DBパスワード等）を自動ローテーション付きで安全管理したい。適切なのはどれか。
A. Secrets Manager
B. Parameter Store（平文のみ）
C. S3に保存
D. IAMポリシーに直書き

回答：

A

解説：

Secrets Managerは暗号化保管とアクセス制御に加え、RDS等と連携した自動ローテーションを提供します。Parameter Storeも暗号化運用は可能ですがローテーション連携は限定的です。S3やポリシー直書きはリスクが高く非推奨です。

問題 91：

複数アカウントの全リージョンにわたるAPI証跡を一括取得したい。何を設定するか。
A. 各アカウント個別にCloudTrail
B. 組織のCloudTrail（Organizations統合）
C. CloudWatchのみ
D. Configのみ

回答：

B

解説：

Organizationsと統合した組織のCloudTrailを有効化すると、組織配下アカウントの証跡を中央S3へ集約できます。統一管理で監査が容易になります。CloudWatchやConfigは別目的で、API呼び出しの完全な証跡とは異なります。

問題 92：

リソース設定の変更履歴や準拠違反検出を自動化したい。何を使うか。
A. AWS Config
B. CloudTrailのみ
C. GuardDutyのみ
D. Budgets

回答：

A

解説：

AWS Configはリソース構成のスナップショットと履歴、評価ルール（Config Rules）による準拠チェックを提供します。CloudTrailはAPI証跡、GuardDutyは脅威検出、Budgetsはコスト管理であり、構成準拠監査はConfigが担当します。

問題 93：

Trusted Advisorのチェック領域に含まれるものはどれか。
A. コスト最適化、パフォーマンス、セキュリティ、フォールトトレランス、サービス制限
B. 監査ログ保管のみ
C. プログラミング言語診断
D. 物理サーバ温度監視

回答：

A

解説：

Trusted Advisorはベストプラクティスに照らし、コスト、性能、セキュリティ、耐障害性、サービスクォータの観点で改善提案を行います。広範で実践的な指標に基づくため、定期的な見直しで効果的に最適化が進みます。

問題 94：

Well-Architected Frameworkの柱に該当するものはどれか。
A. ガバナンス、広告、マーケティング
B. 運用優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、持続可能性
C. 税務、法務、営業
D. テスト自動化のみ

回答：

B

解説：

Well-Architectedは6本の柱で設計を評価します。運用、セキュリティ、信頼性、性能、コスト、そして環境配慮の持続可能性です。設計判断のトレードオフを明確化し、レビューにより継続的な改善を促します。

問題 95：

新規に複数アカウントの着陸ゾーンをベストプラクティスで自動構築したい。何を使うか。
A. Control Tower
B. Organizationsなしの手作業
C. CloudTrailのみ
D. CodeCommit

回答：

A

解説：

Control TowerはOrganizationsを土台に、アカウント、SCP、監査・ログアーカイブ、ガードレールを自動構成します。手作業より迅速かつ標準化された基盤を提供します。CloudTrailやCodeCommitは別機能です。

問題 96：

社内で承認済みのテンプレート化された製品（標準VPCや標準EC2）をセルフサービス提供したい。適切なのはどれか。
A. Service Catalog
B. Marketplaceのみ
C. Cloud9
D. S3静的サイト

回答：

A

解説：

Service Catalogは承認済みのポートフォリオと製品を定義し、利用者が自己申請で安全にプロビジョニングできます。ガバナンスとセルフサービスを両立します。Marketplaceは外部製品の購入・導入、Cloud9はIDEです。

問題 97：

OrganizationsのSCPの正しい性質はどれか。
A. 子アカウントのIAM許可を上書きして強制的に許可できる
B. 子アカウントで許可されていても、SCPで拒否された操作は実行できない
C. ルートユーザーには適用されない
D. 請求にのみ影響

回答：

B

解説：

SCPは許可の上限を定義し、子アカウントのIAMが許可していてもSCPが拒否する操作は実行できません。基本的にルートにも影響します（除外設定をしない限り）。請求機能ではなく、権限制御のガードレールです。

問題 98：

サードパーティ製ソフトウェアをAWSで手軽に導入・課金したい。何を利用するか。
A. AWS Marketplace
B. Service Catalogのみ
C. CodeArtifact
D. CodeStar

回答：

A

解説：

AWS Marketplaceは多数のベンダ製品をサブスクや従量課金で導入でき、請求もAWSに統合されます。Service Catalogは社内承認品の配布、CodeArtifactはパッケージ管理、CodeStarは開発プロジェクト支援です。

問題 99：

開発環境で平日営業時間のみテクニカルサポートが必要。どのサポートプランが適切か。
A. Basic
B. Developer
C. Business
D. Enterprise

回答：

B

解説：

Developerプランは一般的に営業時間中心のケース対応で、テスト・開発環境向けです。Businessは24/7で本番向け、EnterpriseはTAMなどの包括支援が付与されます。Basicは技術サポートを含みません。

問題 100：

急なコストスパイクを機械学習で検知し通知したい。適切な機能はどれか。
A. AWS Cost Anomaly Detection
B. AWS Budgetsのみ
C. CloudWatchメトリクスのみ
D. Trusted Advisorのみ

回答：

A

解説：

Cost Anomaly Detectionはコストの異常値をMLで検出し、しきい値や影響度に基づいて通知します。Budgetsは閾値アラートに強いですが異常検知は別機能です。メトリクスやアドバイザは補完的で、スパイク捕捉にはAnomaly Detectionが最適です。

問題 101：

EC2の料金を長期的に削減したいが、インスタンスタイプ変更の柔軟性も欲しい。何を選ぶか。
A. リザーブドインスタンス（固定）
B. Savings Plans（Compute）
C. スポットのみ
D. 専有ホスト

回答：

B

解説：

Compute Savings PlansはEC2、Fargate、Lambda横断で一定使用量コミットに対し割引を提供します。インスタンスタイプやリージョンの変更に柔軟で、長期コストを下げやすいです。RIは柔軟性がやや低く、スポットは中断前提です。

問題 102：

S3からの静的ウェブサイト配信にカスタムドメインとHTTPSを簡単に付与したい。何を使うか。
A. S3直アクセスのみ
B. CloudFront＋ACM証明書
C. Route 53のみ
D. API Gateway

回答：

B

解説：

CloudFrontをオリジンS3に設定し、ACMで証明書を発行・アタッチすることでHTTPSと独自ドメイン配信が容易になります。S3単体ではHTTPSの独自ドメイン対応が難しいため、CDN経由が一般的な実装です。

問題 103：

APIのスロットリング、認証、ステージ管理を行い、バックエンドはLambdaにしたい。何を選ぶか。
A. API Gateway（Lambdaプロキシ）
B. ALBのみ
C. Route 53のみ
D. CloudFrontのみ

回答：

A

解説：

API Gatewayはレート制限、認証、キー管理、デプロイステージなどAPI運用に必要な機能が揃い、Lambdaと組み合わせてサーバレスAPIを構築できます。ALBやRoute 53、CloudFrontはAPI管理には特化していません。

問題 104：

モバイルアプリのバックエンドやホスティング、認証をまとめて簡単に始めたい。何を使うか。
A. Amplify
B. Cloud9
C. CodeBuild
D. OpsWorks

回答：

A

解説：

AWS Amplifyはフロントのホスティング、認証（Cognito連携）、バックエンド（API/Storage）を一体で提供し、モバイル・Webアプリの立ち上げが迅速です。Cloud9はIDE、CodeBuildはビルド、OpsWorksは構成管理です。

問題 105：

サーバログやアプリログを長期保管しつつ、必要に応じてSQLで分析したい。推奨組み合わせはどれか。
A. CloudWatch LogsからS3へエクスポート＋Athena
B. EC2上にMySQL
C. S3のみ
D. CloudTrailのみ

回答：

A

解説：

ログはCloudWatch Logsに集約後、S3へエクスポートし、Athenaでサーバレスクエリすると保管コストを抑えつつ分析が容易です。MySQLに直接保存はスケールやコストで不利、S3のみでは検索が不便です。

問題 106：

S3の同一プレフィックスに大量のオブジェクトを集中させた場合のパフォーマンス懸念を軽減する設計として適切なのはどれか。
A. ランダム化／日付別のプレフィックス分散
B. バケットを常に1つだけ
C. 1ファイルに結合
D. すべてGlacierへ移行

回答：

A

解説：

S3はスケーラブルですが、アクセス集中を避けるためキー設計でプレフィックスを分散するのが有効です。日付やハッシュで分けるとスループットが向上します。バケット統一や結合は根本対策にならず、Glacier移行は取り出し遅延を招きます。

問題 107：

可観測性を向上させ、メトリクス、ログ、トレースを横断的に可視化したい。最も近い選択はどれか。
A. CloudWatch＋X-Ray
B. CloudTrailのみ
C. Budgets
D. Inspector

回答：

A

解説：

CloudWatchでメトリクス・ログ・ダッシュボードを扱い、X-Rayで分散トレーシングを行うと、遅延箇所や依存関係が可視化されます。CloudTrailは監査、Budgetsはコスト、Inspectorは脆弱性評価であり、可観測性の中心とは異なります。

問題 108：

EC2に永続性のない一時ディスクだが高速を求める。どれを使うか。
A. インスタンスストア
B. EBS汎用SSD
C. S3
D. EFS

回答：

A

解説：

インスタンスストアは物理ホスト直結の一時ストレージで高速ですが、停止・終了でデータは失われます。キャッシュや一時計算に適します。EBSは永続ブロック、S3はオブジェクト、EFSは共有ファイルで用途が違います。

問題 109：

S3に保存されたPII（個人情報）を発見し、可視化・通知したい。選択肢はどれか。
A. Macie
B. GuardDuty
C. Inspector
D. Detective

回答：

A

解説：

Macieは機械学習でS3内の機密データを検出し、分類とアラートを行います。GuardDutyは脅威検出、Inspectorは脆弱性、Detectiveは調査支援であり、機密データ検出とは目的が異なります。

問題 110：

サーバレスで画像のサムネイル生成をイベント駆動で行いたい。適切な構成はどれか。
A. S3イベント通知→Lambda→S3
B. EC2常駐デーモン
C. CloudFrontのみ
D. Step Functionsのみ

回答：

A

解説：

オブジェクト作成イベントをS3からLambdaに通知し、処理結果をS3へ保存するのが典型です。サーバ管理不要でスケールも自動です。EC2常駐は運用負荷が高く、CloudFrontやStep Functions単体では完結しません。

問題 111：

DNS名前解決を社内VPC内でのみ提供したい。適切なのはどれか。
A. Route 53プライベートホストゾーン
B. Route 53パブリックホストゾーン
C. CloudFront
D. Global Accelerator

回答：

A

解説：

プライベートホストゾーンはVPCに関連付けた内部向けDNSを提供します。パブリックゾーンはインターネット公開用、CloudFrontやGlobal Acceleratorは配信や経路最適化のサービスです。内部向け名前解決に最適です。

問題 112：

Lambda関数の同時実行数を制限し、下流のDB過負荷を防ぎたい。何を設定するか。
A. 予約コンカレンシー／アカウントの同時実行制限
B. メモリサイズのみ
C. タイムアウトのみ
D. IAMロール

回答：

A

解説：

予約コンカレンシーやアカウント上限で同時実行を抑え、DB接続数を保護できます。メモリやタイムアウトは性能や実行時間に影響しますが、同時実行の制御には直結しません。IAMは認可設定です。

問題 113：

大量メール送信を信頼性高く行いたい。選ぶべきサービスはどれか。
A. SES（Simple Email Service）
B. SNS
C. SQS
D. WorkMailのみ

回答：

A

解説：

SESはトランザクションメールやバルク送信に対応し、送信認証やレピュテーション管理を備えます。SNSは通知配信、SQSはキュー、WorkMailはメールホスティングです。送信基盤としてはSESが適切です。

問題 114：

ユーザー認証、ユーザープール、MFA、ホスト型UIを簡単に実装したい。何を使うか。
A. Cognito
B. IAMユーザー直発行
C. AD Connectorのみ
D. KMS

回答：

A

解説：

Amazon Cognitoはユーザープールで認証・登録・MFA・ソーシャル連携を提供し、ホスト型UIも備えます。IAMユーザーはシステム間認証向けでエンドユーザー向けではありません。KMSは鍵管理で用途が違います。

問題 115：

オンプレADを使いながらAWSの認証連携（SAML）でSSOを実現したい。何を使うか。
A. AWS IAM Identity Center（旧SSO）
B. IAMユーザー個別発行
C. Route 53
D. CloudFront

回答：

A

解説：

IAM Identity CenterはSAML連携やプロビジョニングで複数アカウント・アプリへのシングルサインオンを提供します。既存ID基盤と連携し、認証管理を簡素化できます。Route 53やCloudFrontは認証機能を持ちません。

問題 116：

アプリ設定値の配布と段階的ロールアウト、フィーチャーフラグ管理を行いたい。選択肢はどれか。
A. AppConfig（Systems Manager）
B. CloudFormationのみ
C. CodeCommit
D. Direct Connect

回答：

A

解説：

AppConfigはアプリ設定を安全にデプロイし、段階展開やバリデーション、ロールバックを提供します。機能フラグや設定ミスの影響を抑えられます。IaCやソース管理、ネットワーク専用線とは目的が異なります。

問題 117：

ETLジョブをサーバレスで実行し、カタログと連携したい。適切なサービスはどれか。
A. AWS Glue
B. CodeBuild
C. Data Pipeline（非推奨）
D. EMR専用

回答：

A

解説：

GlueはサーバレスETL、ジョブスケジューリング、カタログ連携を提供します。コード生成やジョブ監視も可能です。CodeBuildはビルド、EMRはHadoop/Sparkクラスター基盤で別用途です。

問題 118：

モノの位置情報やデバイスデータを可視化するマネージドな地図基盤が必要。何を使うか。
A. Amazon Location Service
B. Route 53
C. Global Accelerator
D. CloudMapのみ

回答：

A

解説：

Location Serviceは地図表示、ジオコーディング、トラッキング、ジオフェンシングなどを提供します。Route 53やGlobal Acceleratorはネットワーク系、CloudMapはサービスディスカバリで地図用途ではありません。

問題 119：

IoTデバイスからのメッセージを受け取り、ルールで各サービスへルーティングしたい。適切なのはどれか。
A. IoT Core
B. Kinesis Data Streamsのみ
C. SNSのみ
D. SQSのみ

回答：

A

解説：

IoT CoreはMQTT等でデバイス接続を受け、ルールエンジンでLambda、S3、DynamoDBなどへルーティングできます。KinesisやSNS/SQSは補助的に使えますが、デバイス認証や双方向通信の基盤はIoT Coreが提供します。

問題 120：

サードパーティSaaSとプライベートに接続し、VPCからのアウトバウンドを閉じたい。選ぶべきはどれか。
A. PrivateLink（相手がエンドポイントサービス提供）
B. NATゲートウェイ必須
C. VPCピアリングのみ
D. インターネットゲートウェイ必須

回答：

A

解説：

相手がエンドポイントサービスを公開していれば、PrivateLinkでインターネット非経由のプライベート接続が可能です。NATやIGWを使わず、外向き通信を閉じられます。ピアリングは相互VPC間で第三者SaaSには向きません。