こんにちは、Microsot Azure エンジニア ばにゃです。
ばにゃ得点は900点、9割取れたうえでの合格でした。
本記事では、これから SC-200 Microsoft セキュリティ運用アナリスト試験 を受けて Microsoft Certified: Security Operations Analyst Associate 認定取得を目指している方に対して役に立つ以下のような情報をまとめていますので、ぜひ参考にしてみてください。
- 試験概要 (概要/難易度/出題範囲/試験形式/有効期限)
- 受験方法 (ピアソンVUEによる申し込み/無料バウチャーの入手方法)
- 試験対策 (参考Webサイト/参考書/問題集/過去問/模擬試験)
筆者について
SC-200 受験時(2021年12月)筆者の Microsoft Azure スキルについては以下の通りです。
- Microsoft Azure 業務歴 約 1年半
- Azure 関連の資格は AZ-900 のみ保有
- Azure の基本的なサービス + Microsoft 365 Defender の使用経験あり
Azure の基本的な操作は理解しており、Microsoft 365 Defender 関連の機能を業務で少し触ったことがある、といった状態で後述する試験対策を行い、無事に SC-200 認定試験に合格することができました。
ばにゃAzure初心者に少し毛が生えた程度のスキルです。
SC-200 試験概要
SC-200 試験とは
セキュリティ運用
アナリストが対象
SC-200 Microsoft セキュリティ運用アナリスト 試験とは、Microsoft 製品を利用したセキュリティ運用アナリストとしての知識を問われる試験です。具体的には Microsoft 365 Defender、Microsoft Defender for Cloud(旧称:Azure Defender)、Microsoft Sentinel(旧称:Azure Sentinel) を利用した脅威の調査、管理、追求に関する知識が問われます。
Microsoft 製品は頻繁に名称変更されますが、参照サイトによって新旧の名称が混ざって使われており非常にわかりにくくなっています。SC-200 に関連する部分では、Microsoft Defender for Cloud = Azure Defender、Microsoft Sentinel = Azure Sentinel ということを覚えておくと各種ドキュメントが読みやすくなります。
詳しくは Microsoft の以下サイトを参照してください。
Microsoft セキュリティ運用アナリストは、組織の関係者と協力して、その組織の情報技術システムのセキュリティ保護を行います。 その目標は、環境内のアクティブな攻撃を迅速に修復し、脅威保護プラクティスの改善について助言を行うとともに、組織のポリシーに違反があったことを該当する関係者に知らせて、組織のリスクを修復することです。
責任には、環境全体でさまざまなセキュリティ ソリューションを使用して、脅威の管理、監視、対応を行うことが含まれます。 このロールは主に、Microsoft Azure Sentinel、Azure Defender、Microsoft 365 Defender、およびサードパーティのセキュリティ製品を使用して、脅威を調査、対応、および追求します。 セキュリティ運用アナリストは、そういったツールの操作出力を使用するため、これらのテクノロジの構成とデプロイに関わる重要な関係者でもあります。
引用元:https://docs.microsoft.com/ja-jp/learn/certifications/exams/sc-200
難易度
難易度:やや難しい
SC-200 Microsoft Security Operations Analyst 試験ですが、Microsoft 認定試験の中では難易度は やや難しい 部類に入ります。
関連する製品である Microsoft 365 Defender、Microsoft Defender for Cloud、Microsoft Sentinel について、Microsoftのドキュメントを一通り読んで勉強した、Microsoftのセミナーを一度受けてみた、だけでは合格することは難しい試験です。
またMicrosoft の 公開資料 Become Microsoft Certified を見ると、Security, Compliance, and Identity の Role-based カテゴリに位置づけられています。
引用元:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2PjDI
出題範囲
SC-200 認定試験の出題範囲は以下の通りです。
| 出題範囲 | 出題率 |
|---|---|
| Microsoft 365 Defender を使用した脅威の軽減 | 25~30% |
| Microsoft Defender for Cloud (Azure Defender) を使用した脅威の軽減 | 25~30% |
| Microsoft Sentinel (Azure Sentinel) を使用した脅威の軽減 | 40~45% |
Microsoft のその他Azure認定試験との関連性を説明すると「Microsoft 365 Defender を使用した脅威の軽減」については MS-500、「Microsoft Defender for Cloud (Azure Defender) を使用した脅威の軽減」についてはAZ-500 の出題範囲の一部をさらに詳しくした内容というイメージです。
「Microsoft Sentinel (Azure Sentinel) を使用した脅威の軽減」については その他の試験の出題範囲とはあまり重なっていないため、他のAzure関連の試験に合格している方でも対策が必要となる範囲です。
出題範囲の詳細についてはMicrosoftの学習ガイドに詳細が記載されているため、こちらも参考にしてみてください。
- Study Guide Exam SC-200: Microsoft Security Operations Analyst
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Myp3
試験形式
SC-200 認定試験 の試験形式は以下の通りです。
| 項目 | 内容 |
|---|---|
| 試験方法 | 試験会場での受験(CBT形式) 自宅・オフィスからのオンライン受験(CBT形式) |
| 受験料 | 21,103円 |
| 問題数 | 約38問 |
| 出題形式 | シナリオ問題 選択問題、ドラッグ&ドロップ問題、ドロップダウンリスト問題 |
| 試験時間 | 130分 |
| 合格点 | 700 / 1000点 (70%) |
| 言語 | 日本語/英語の切り替えが可能 |
問題数や試験時間は受験時期によって若干異なる可能性がありますが、私が2021年12月に受験した際には以下のように3セクションに分かれて38問が出題され、試験時間は130分となっていました。また各セクションを終了させると元のセクションには戻れない仕様となっていました。
- シナリオ問題:4問(1つのシナリオにたいして問題が4問)
- 選択問題 / ドラッグ&ドロップ問題 / ドロップダウンリスト問題:30問
- シナリオ問題:4問(1つのシナリオにたいして問題が4問)
出題形式のイメージがつかめるように、サンプル問題をいくつか以下に載せておきます。
選択問題
ドラッグ&ドロップ問題
ドロップダウンリスト問題
引用元:https://www.examtopics.com/
申し込み方法
Microsoft の以下サイトよりSC-200試験の申し込みが可能です。
上記サイトを開き画面を少し下にスクロール後、黄色のボタン「試験のスケジュール設定」をクリックして試験予約を進めます。
無料バウチャーを利用した申し込み
SC-200 試験では、AZ-900 試験のように無料バウチャーが発行されるイベント(Microsoft Virtual Training Days 等)の常時開催はされていません。
そのため基本的には無料で受験することはできず、通常価格で受験する必要があります。
ただ Microsoft では1年に数回、いくつかの Microsoft 認定試験に対して無料バウチャーをゲットできるイベント「Cloud Skills Challenge」を開催しているため、SC-200がその対象に入っていれば無料で受験することが可能です。
以下は2022年に開催された Cloud Skills Challenge の情報です。どちらもSC-200は無料バウチャーの対象となっていました。
有効期限
有効期限:365日
SC-200 Microsoft セキュリティ運用アナリスト試験 を合格することで取得できる Microsoft Certified: Security Operations Analyst Associate 認定はロールベースの資格であるため、有効期限が1年(365日)となっています。
有効期限の180日前になるとMicrosoftより認定資格の更新に関するメールが届くので、メール本文の案内に沿って更新試験を受けて合格することで、期限が+1年間期限が延長されます。
これは更新試験に合格した日から+1年間ではなく、現在の有効期限から+1年間となるので、早めに更新試験を受けても損になるということはありません。
有効期限までに更新試験に合格しないと認定が失効してしまうので、認定を失効させたくない場合は早めに更新試験を受けて合格しておくことをおすすめします。
またこの更新試験は受験費用は無料で、不合格になっても何度でも受け直すことが可能です。
ちなみに私が受けた SC-200 更新試験では、制限時間:45分、出題数:24問で、私のスコアは 63% で合格となっていました。試験結果画面には 合格には 62% 必要 といった記載があったためかなりギリギリの合格でした。
ばにゃ問題数から逆算すると、おそらく24問中15問以上正解が合格ラインと推測できますね。
試験対策
Azure 環境を実際に触る
Azure環境を実際に触る
おすすめ度:+∞
(必須)
SC-200試験を受けようと考えている時点で Azure 環境を一度も触ったことがないような初心者ではないと思いますが、試験対策としてAzure環境を実際に操作して知識を習得していくことは必須です。
具体的には、次に紹介する Microsoft Learn + Azure 環境で関連する箇所を実際に触ってみるということが、SC-200試験の基礎知識を身につけるためには必要です。
Azure は無料アカウントを作成することで一定期間/一定金額分は誰でも Azure 環境を利用することができるため、この無料アカウントも活用してみてください。
ばにゃ実際に手を動かして覚えるのがやはり最強ですね。
Microsoft Learn
文章にややクセあり
おすすめ度:
Microsoft Learn とはMicrosoft 製品の学習が可能な無料のオンライン トレーニング プラットフォームです。ここにSC-200試験用のトレーニングも用意されています。以下の 8パートから構成され合計で31時間 ほどを想定した内容となっています。
- SC-200: エンドポイントに Microsoft Defender を使用して脅威を軽減する (5時間51分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-mitigate-threats-using-microsoft-defender-for-endpoint/ - SC-200: Microsoft 365 Defender を使用して脅威を軽減する (6時間28分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-mitigate-threats-using-microsoft-365-defender/ - SC-200: Microsoft Defender for Cloud を使用して脅威を軽減する (4時間17分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-mitigate-threats-using-azure-defender/ - SC-200: Kusto クエリ言語 (KQL) を使用して Microsoft Sentinel のクエリを作成する (2時間3分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-utilize-kql-for-azure-sentinel/ - SC-200: Microsoft Sentinel 環境を構成する (2時間)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-configure-azure-sentinel-environment/ - SC-200: ログを Microsoft Sentinel に接続する (3時間2分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-connect-logs-to-azure-sentinel/ - SC-200: Microsoft Sentinel を使用して検出を作成し、調査を実行する (5時間19分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-create-detections-perform-investigations-azure-sentinel/ - SC-200 パート 8: Azure Sentinel で脅威ハンティングを実行する (2時間14分)
https://docs.microsoft.com/ja-jp/learn/paths/sc-200-perform-threat-hunting-azure-sentinel/
AZ-900 試験対策の記事でも書いたように、Microsoft Learn は日本語の文章にクセがあってわかりにくいため個人的にはあまり好みではありません。しかし日本語ベースで試験範囲全体を網羅しているものが他にないため、今回は Microsoft Learnを利用しました。
ただ、淡々と読み進めていても何を言っているのかよくわからず眠くなるだけなので、実際に関連する箇所を Azure 環境で開いて操作しながら読み進めていくことをおすすめします。そうしない とりあえず全部読んでみたけど何も頭に入ってない という状態になりかねないので注意しましょう。
ばにゃ眠い目をこすりながらなんとか頑張って読み進めました。
Microsoft セミナー
SC-200T00
Microsoft セキュリティ
運用アナリスト
おすすめ度:
SC-200 試験対策として「SC-200T00: Microsoft セキュリティ運用アナリスト」という Microsoft セミナーがあります。このセミナーは 9:30 ~ 17:30 まで ✕ 4日かけて行われるセミナーで、以下のような構成となっています。
- Microsoft 365 Defender を使用して脅威を軽減する
- エンドポイントに Microsoft Defender を使用して脅威を軽減する
- Microsoft Defender for Cloud を使用して脅威を軽減する
- Kusto クエリ言語 (KQL) を使用して Microsoft Sentinel のクエリを作成する
- Microsoft Sentinel 環境を構成する
- ログを Microsoft Sentinel に接続する
- Microsoft Sentinel を使用して検出を作成し、調査を実行する
- Microsoft Sentinel で脅威ハンティングを実行する
私は自分の勤務している会社経由でこのセミナーに申し込むことができたため、自分で費用負担することなく受講することができました。セミナー用に用意された Azure 検証環境を利用してハンズオン形式で進めていくもので、実際の操作方法が理解できるため、受講費用を会社持ちにできる場合には非常におすすめのセミナーです。
個人で申し込むとなると Microsoft ラーニングパートナー経由で申し込む必要があります。日本のMicrosoft ラーニングパートナーは何社かあるのですが「SC-200T00: Microsoft セキュリティ運用アナリスト」を実施しているのは調べた限りでは、トレノケート株式会社のみのようです。
参考までに以下にリンクを貼っておきますが、価格が 286,000円 とけっしてお安くはないため、個人で費用負担するには厳しいかもしれません。
ばにゃセミナーの内容は非常によいものですが、価格の問題で誰でも気軽に受けられるわけではないのが残念ですね。
テキスト 参考書 問題集
該当なし
おすすめ度:ー
SC-200 試験に適した市販の参考書・問題集はありません。
Azure初心者向けの試験 AZ-900 であれば複数の参考書が各社から出版されていますが、SC-200というニッチな試験に対しては日本語ベースでの参考書・問題集の出版自体されていないため該当なしとしました。
英語ベースでは問題集として以下のようなものがあるため、必要に応じて検討してみてください。
ばにゃ私自身はSC-200試験対策のために参考書などの購入はしませんでした。
海外サイト ExamTopics
過去問対策に最適 (無料)
おすすめ度:
ExamTopics とは資格試験対策のWebサイトで、 SC-200 試験対策用の問題もこちらで確認することが可能です。海外サイトのため活用するには多少の英語能力が必要ですが、SC-200 の試験対策には非常におすすめのサイトです。
IT関連の資格試験対策に使えるサイトのため、今回利用しなかったとしても今後のためにブックマークをおすすめします。
ExamTopics で SC-200 試験の問題/解答を確認する方法を簡単に説明します。
- ExamTopics にアクセスします。
- 検索フィールドに試験名「Microsoft SC-200」と入力し、「Search Exams」ボタンをクリックします。
- 「Microsoft SC-200 Exam」の画面となるため、「Go To SC-200 Questions」をクリックします。
- 「Microsoft SC-200 Exam Actual Questions」の画面となり、SC-200 試験の問題/解答が表示されます。
ExamTopics は海外サイトのため問題文や解答も全て英語で記載されていますが、Chromeの翻訳機能を使用すればある程度は日本語化されるため、必要に応じて翻訳機能も利用して勉強を進めてみましょう
ExamTopicsを利用する際には以下の点に気をつけましょう。
- 記載されている解答が必ずしも正しいとは限らない
体感では50問に1問程度は「ちょっと怪しいな」と思えるような解答があります。そういった問題では問題文下部に表示されている「Discussion」にてユーザーによる議論が行われていることが多いため、こちらを参考にするとよいかと思います。
まとめ
本記事のまとめです。
- SC-200 Microsoft セキュリティ運用アナリスト試験とは
Microsoft 製品を利用したセキュリティ運用アナリストとしての知識を問われる認定試験
合格することで Microsoft Certified: Security Operations Analyst Associate 認定を取得できる - SC-200試験 基礎知識習得のために
Microsoft Learn + Azure環境を用意して実際に手を動かす - SC-200試験 おすすめのセミナー(予算に余裕があれば)
SC-200T00: Microsoft セキュリティ運用アナリスト - SC-200試験 おすすめの参考書/問題集
該当なし - SC-200試験 最後の仕上げ(過去問対策)には
ExamTopics
ばにゃとりあえず合格だけしたい!ということであれば ExamTopics の問題をひたすら解くのが近道ですね。
私が受けたその他の Microsoft Azure 関連の試験については以下の記事にまとめていますので、よければこちらもご覧ください。
コメント