【試験体験記】AWS ANS-C01に合格！旧試験からの激変と「予想外」の出題ポイントまとめ

こんにちは、りょうです！

普段は事業会社でAI・DX推進エンジニアとして、クラウドインフラやデータ基盤の設計・構築などを担当しています。

実は過去にAWS認定資格を全冠したことがあり、この「Advanced Networking - Specialty」も前バージョン（ANS-C00）で合格した経験がありました。ただ、最近の実際の業務ではネットワーク周りをガッツリ触る機会はほとんどありません。

そんな中、インフラの根幹であるネットワークの最新アーキテクチャを改めて体系的に押さえておきたいと思い、現在のバージョン（ANS-C01）の受験を決意しました。再受験にかかる時間とコストの負担は計り知れないため、今回も徹底的に「タイパ・コスパ重視」で一発合格をもぎ取ることを至上命題として挑みました。

試験直後は「絶対に落ちた…」と本気で絶望していましたが、先日無事に結果が届き、スコア776点でなんとか一発合格することができました！

本番の試験は想像以上にタフでした。特に「過去の試験（ANS-C00）の知識」のまま挑むと確実に足元をすくわれる、新試験（ANS-C01）特有のパラダイムシフトと予想外のトピックが多数出題されました。

スコアの内訳と自己分析

私のスコアレポートの内訳は以下の通りです。

• 第1分野: ネットワーク設計 (30%) ➡️ コンピテンシーを満たしている
• 第2分野: ネットワーク実装 (26%) ➡️ コンピテンシーを満たしている
• 第3分野: ネットワークの管理と運用 (20%) ➡️ 改善が必要
• 第4分野: ネットワークセキュリティ、コンプライアンス、ガバナンス (24%) ➡️ コンピテンシーを満たしている

設計や実装、セキュリティの分野はしっかり取れていましたが、第3分野（管理と運用）のスコアが伸び悩みました。これはまさに、本番で「AWS Network Manager」や「Global Accelerator」といった、グローバルネットワークの一元管理・運用に関わるモダンなサービス群が予想外に出題され、苦戦した肌感覚と完全に一致しています。

これからANS-C01を受験する方に向けて、本番で私が冷や汗をかいた「予想外のトピック」と、合否を分けたポイントをまとめます。

旧試験からのパラダイムシフト：主役は「グローバル」と「インスペクション」

新試験では、従来の「VPC間をどう繋ぐか」という局所的なルーティングから、「グローバル規模の大規模ネットワークをいかに集中的に管理し、安全に通信させるか」へと視点が大きく変わっています。

1. 1.25Gbpsの壁を越える「VPN + ECMP」

「VPNで帯域幅を増やしたい」という要件が出た際、古いVGWでは1トンネルあたり1.25Gbpsの壁を越えられません。帯域を拡張（ロードバランシング）するためには、Transit Gateway (TGW) を使用してECMPルーティングを有効にすることが必須条件になります。「コスト最適化のためにTGWを避ける」という基本思考の逆を突かれるポイントでした。

2. DXの帯域を犠牲にしない「MACsec」

VPN（IPsec）はレイヤー3のソフトウェア暗号化のため速度に限界があります。「10Gbps/100Gbpsの専用線の超高速なスピードを維持したまま暗号化したい」という要件には、レイヤー2の物理暗号化技術であるMACsecが正解になります。

3. Global Accelerator (AGA) の見えない制約

世界中のユーザーからの遅延を減らすAGAですが、設計上の制約が頻出します。

• オンプレミスへの直接ルーティングは不可： 必ず間に「NLB」を挟む必要があります。
• WAFの直接アタッチ不可： 防御が必要な場合は、バックエンドをALBにする必要があります（ALBはInternal設定でOK）。

4. NFW と GWLB の使い分け

かつての「頑張ってEC2でファイアウォールを立てる」時代は終わり、現在は以下の2つの使い分けが問われます。

• AWS Network Firewall (NFW)： AWS純正のマネージドなIPS/IDSを使いたい場合。
• Gateway Load Balancer (GWLB)： サードパーティ製の仮想アプライアンスをAWS上に持ち込んで透過的にインスペクションしたい場合。

5. IPv6の猛攻と「NATを使わない世界」

IPv6に関する問題が大量に出題されました。

• IPv6に「NATゲートウェイ」は使えません。外に出しつつ内側を守る正解は Egress-Only Internet Gateway (EIGW) です。
• IPv6のみのサブネットからIPv4のサイトにアクセスする際は、DNS64 と NAT64 (NATゲートウェイ) の組み合わせが正答になります。

6. SiteLinkの制約と「大人の事情」

オンプレミス同士をAWSのバックボーン経由で直結する「SiteLink」は、仕様上「プライベートVIF」か「トランジットVIF」でしか利用できません。

これは私の推測（というか、壁打ち相手になってくれたAIアシスタントのGeminiの分析）ですが、もしパブリックVIFでの折り返し通信を許してしまうと、AWSが「無料のインターネットプロバイダ（土管屋）」としてタダ乗りされてしまうため、それを防ぐビジネス的な思想が反映された仕様なのだと思っています。

まとめ：アーキテクチャはビジネスの思想を映す鏡

本番の試験は非常にタフでしたが、ただの機能の暗記ではなく、「なぜAWSはこの仕様にしたのか？」「AWSはどういうアーキテクチャを推奨しているのか？」という本質的な思想を理解していれば、迷わず正解の選択肢（ベストプラクティス）を導き出せる良問揃いでした。

この試験を通じて得た「グローバルかつスケーラブルなネットワーク設計の視点」は、今後のAI活用やデータ基盤のアーキテクチャ設計においても強力な武器になると確信しています。

これからANS-C01を受験される皆さんの参考になれば幸いです！