こんにちは、セキュリティエンジニア ばにゃです。
Microsoft の SC-200 Microsoft セキュリティ運用アナリスト試験 に合格し、Microsoft Certified: Security Operations Analyst Associate 認定を取得したため、試験対策・勉強方法等を記録しておきます。
ばにゃ得点は900点、9割取れたうえでの合格でした。
本記事では、これから SC-200 Microsoft セキュリティ運用アナリスト試験 を受けて Microsoft Certified: Security Operations Analyst Associate 認定取得を目指している方に対して役に立つ以下のような情報をまとめていますので、ぜひ参考にしてみてください。
- 試験概要 (概要/難易度/出題範囲/試験形式/有効期限)
- 受験方法 (ピアソンVUEによる申し込み/無料バウチャーの入手方法)
- 試験対策 (参考Webサイト/参考書/問題集/過去問/模擬試験)
それではまず結論から、SC-200に合格するためのおすすめの勉強方法は以下になります。
- 基礎知識習得:Microsoft Learn + Azure環境を用意して確認
- 試験対策講座:SC-200 Microsoft セキュリティ運用アナリスト 試験対策講座
- セミナー:SC-200T00: Microsoft セキュリティ運用アナリスト
- 参考書/問題集:該当なし
- 過去問対策:ExamTopics
詳細については、本記事の内容を見ていただければと思います。
筆者について
主にAzure / AWS / GCP 等のクラウド環境、およびセキュリティ関連のエンジニアをしており、これらに関連する資格を複数保有しています。
- IPA ITパスポート、基本情報技術者、応用情報技術者
- IPA 情報処理安全確保支援士(登録セキスペ)
- IPA ネットワークスペシャリスト
- Citrix CCP-V(XenApp、XenDesktop、XenServer)
- Microsoft Azure (AZ-900、AZ-104、AZ-500、SC-300、SC-200、SC-100)
- AWS(Cloud Practitioner、Solutions Architect – Associate)
- その他(簿記3級、FP3級)
SC-200 受験時、筆者の Microsoft Azure スキルについては以下の通りです。
- Microsoft Azure 業務歴 約 1年半
- Azure 関連の資格は AZ-900 のみ保有
- Azure の基本的なサービス + Microsoft 365 Defender の使用経験あり
Azure の基本的な操作は理解しており、Microsoft 365 Defender 関連の機能を業務で少し触ったことがある、といった状態で後述する試験対策を行い、無事に SC-200 認定試験に合格することができました。
ばにゃ当時はAzure初心者に少し毛が生えた程度のスキルでした。
SC-200 試験概要
SC-200 試験とは
セキュリティ運用
アナリストが対象
SC-200 Microsoft セキュリティ運用アナリスト 試験とは、Microsoft 製品を利用したセキュリティ運用アナリストとしての知識を問われる試験です。具体的には Microsoft 365 Defender、Microsoft Defender for Cloud(旧称:Azure Defender)、Microsoft Sentinel(旧称:Azure Sentinel) を利用した脅威の調査、管理、追求に関する知識が問われます。
詳しくは Microsoft の以下サイトを参照してください。
https://docs.microsoft.com/ja-jp/learn/certifications/exams/sc-200
Microsoft セキュリティ運用アナリストは、組織の関係者と協力して、その組織の情報技術システムのセキュリティ保護を行います。 その目標は、環境内のアクティブな攻撃を迅速に修復し、脅威保護プラクティスの改善について助言を行うとともに、組織のポリシーに違反があったことを該当する関係者に知らせて、組織のリスクを修復することです。
責任には、環境全体でさまざまなセキュリティ ソリューションを使用して、脅威の管理、監視、対応を行うことが含まれます。 このロールは主に、Microsoft Azure Sentinel、Azure Defender、Microsoft 365 Defender、およびサードパーティのセキュリティ製品を使用して、脅威を調査、対応、および追求します。 セキュリティ運用アナリストは、そういったツールの操作出力を使用するため、これらのテクノロジの構成とデプロイに関わる重要な関係者でもあります。
引用元:https://docs.microsoft.com/ja-jp/learn/certifications/exams/sc-200
難易度
難易度:やや難しい
SC-200 Microsoft Security Operations Analyst 試験ですが、Microsoft 認定試験の中では難易度は やや難しい 部類に入ります。
関連する製品である Microsoft 365 Defender、Microsoft Defender for Cloud、Microsoft Sentinel について、Microsoftのドキュメントを一通り読んで勉強した、Microsoftのセミナーを一度受けてみた、だけでは合格することは難しい試験です。
またMicrosoft の 公開資料 Become Microsoft Certified を見ると、Security, Compliance, and Identity の Role-based カテゴリに位置づけられています。
引用元:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2PjDI
出題範囲
SC-200 認定試験の出題範囲は以下の通りです。
| 出題範囲(新) | 出題率 |
|---|---|
| セキュリティ オペレーション環境を管理する | 20~25% |
| 保護と検出を構成する | 15~20% |
| インシデント応答を管理する | 25~30% |
| セキュリティ上の脅威を管理する | 15~20% |
各出題範囲の内容を以下に記載しておきます。
出題範囲の詳細についてはMicrosoftの学習ガイドに詳細が記載されているため、こちらも参考にしてみてください。
セキュリティ オペレーション環境を管理する
Microsoft Defender XDR で設定を構成する
- アラートと脆弱性の通知ルールを構成する
- Microsoft Defender for Endpoint の高度な機能を構成する
- エンドポイント ルールの設定を構成する
- Microsoft Defender XDR で自動化された調査と対応の機能を管理する
- Microsoft Defender XDR で自動攻撃の妨害を構成する
資産と環境を管理する
- Microsoft Defender for Endpoint でデバイス グループ、アクセス許可、自動化レベルを構成および管理する
- Microsoft Defender for Endpoint で管理されていないデバイスを特定する
- Defender for Cloud を使用して保護されていないリソースを検出する
- Microsoft Defender 脆弱性の管理を使用して、危険な状態のデバイスを特定して修復する
- Microsoft Defender XDR 内のエクスポージャー管理を使用してリスクを軽減する
Microsoft Sentinel ワークスペースを設計し、構成する
- Microsoft Sentinel ワークスペースを計画する
- Microsoft Sentinel のロールを構成する
- Microsoft Sentinel 構成に Azure RBAC ロールを指定する
- ログの種類やログの保持期間など、Microsoft Sentinel データ ストレージを設計して構成する
Microsoft Sentinel にデータ ソースを取り込む
- Microsoft Sentinel に取り込むデータ ソースを特定する
- コンテンツ ハブ ソリューションを実装して使用する
- Azure Policy や診断設定など、Azure リソース用の Microsoft コネクタを構成して使用する
- Syslog および Common Event Format (CEF) イベント コレクションを計画および構成する
- Windows イベント転送 (WEF) など、データ収集ルールを使用して、Windows セキュリティ イベントの収集を計画および構成する
- 取り込まれたデータを格納するカスタム ログ テーブルをワークスペースに作成する
- データ インジェストを監視して最適化する
保護と検出を構成する
Microsoft Defender セキュリティ テクノロジで保護を構成する
- Microsoft Defender for Cloud Apps のポリシーを構成する
- Microsoft Defender for Office 365 のポリシーを構成する
- 攻撃面の減少 (ASR) ルールを含む、Microsoft Defender for Endpoints のセキュリティ ポリシーを構成する
- Microsoft Defender for Cloud のクラウド ワークロード保護を構成する
Microsoft Defender XDR で検出を構成する
Microsoft Sentinel で検出を構成する
インシデント対応を管理する
Microsoft Defender ポータルでアラートとインシデントに対応する
- Microsoft Defender for Office 365 を使用して脅威を調査して修復する
- 自動攻撃の妨害によって特定されたランサムウェアとビジネス メール侵害インシデントを調査して修復する
- Microsoft Purview データ損失防止 (DLP) ポリシーによって特定された侵害されたエンティティを調査して修復する
- Microsoft Purview インサイダー リスク ポリシーによって特定された脅威を調査して修復する
- Microsoft Defender for Cloud ワークロード保護によって特定されたアラートとインシデントを調査して修復する
- Microsoft Defender for Cloud Apps によって識別されたセキュリティ リスクを調査して修復する
- Microsoft Entra ID によって特定されたセキュリティ侵害された ID を調査して修復する
- Microsoft Defender for Identity からのセキュリティ アラートを調査して修復する
Microsoft Defender for Endpoint によって識別されたアラートとインシデントに対応する
Microsoft 365 アクティビティを調査する
Microsoft Sentinel でインシデントに対応する
- Microsoft Sentinel でインシデントを調査して修復する
- オートメーション ルールを作成して構成する
- Microsoft Sentinel プレイブックを作成して構成する
- オンプレミスのリソースでプレイブックを実行する
Microsoft Security Copilot を実装して使用する
- プロンプトブックを作成して使用する
- プラグインやファイルを含む Security Copilot のソースを管理する
- コネクタを実装して Security Copilot を統合する
- Security Copilot でアクセス許可とロールを管理する
- セキュリティ の Copilot の容量とコストを監視する
- セキュリティ コピロットを使用して脅威とリスクを特定する
- Security Copilot を使用してインシデントを調査する
セキュリティ上の脅威を管理する
Microsoft Defender XDR を使用して脅威を検出する
- Kusto 照会言語 (KQL) を使用して脅威を特定する
- Microsoft Defender ポータルで脅威分析を解釈する
- KQL を使用してカスタム ハンティング クエリを作成する
Microsoft Sentinel を使用して脅威を追求する
- MITRE ATT&CK マトリックスを使用して攻撃ベクトル カバレッジを分析する
- 脅威インジケーターを管理し、使用する
- ハントを作成して管理する
- ハンティング クエリを作成して監視する
- データの調査にハンティング ブックマークを使用する
- アーカイブされたログ データを取得して管理する
- 検索ジョブを作成して管理する
Microsoft Sentinel ブックを作成して構成する
- ブック テンプレートをアクティブ化してカスタマイズする
- KQL を含むカスタム ブックを作成する
- 視覚化を構成する
試験形式
SC-200 認定試験 の試験形式は以下の通りです。
| 項目 | 内容 |
|---|---|
| 試験方法 | 試験会場での受験(CBT形式) 自宅・オフィスからのオンライン受験(CBT形式) |
| 受験料 | 21,103円 |
| 問題数 | 約38問 |
| 出題形式 | シナリオ問題 選択問題、ドラッグ&ドロップ問題、ドロップダウンリスト問題 |
| 試験時間 | 130分 |
| 合格点 | 700 / 1000点 (70%) |
| 言語 | 日本語/英語の切り替えが可能 |
問題数や試験時間は受験時期によって若干異なる可能性がありますが、私が2021年12月に受験した際には以下のように3セクションに分かれて38問が出題され、試験時間は130分となっていました。また各セクションを終了させると元のセクションには戻れない仕様となっていました。
- シナリオ問題:4問(1つのシナリオにたいして問題が4問)
- 選択問題 / ドラッグ&ドロップ問題 / ドロップダウンリスト問題:30問
- シナリオ問題:4問(1つのシナリオにたいして問題が4問)
出題形式のイメージがつかめるように、サンプル問題をいくつか以下に載せておきます。
選択問題
ドラッグ&ドロップ問題
ドロップダウンリスト問題
引用元:https://www.examtopics.com/
申し込み方法
Microsoft の以下サイトよりSC-200試験の申し込みが可能です。
https://docs.microsoft.com/ja-jp/learn/certifications/exams/sc-200
上記サイトを開き画面を少し下にスクロール後、黄色のボタン「試験のスケジュール設定」をクリックして試験予約を進めます。
無料/半額バウチャーを利用した申し込み
SC-200 試験では、無料/半額バウチャーが発行されるイベント(Microsoft Virtual Training Days 等)の常時開催はされていません。
そのため基本的には無料で受験することはできず、通常価格で受験する必要があります。
ただ Microsoft では1年に数回、いくつかの Microsoft 認定試験に対して無料/半額バウチャーをゲットできるイベント「Cloud Skills Challenge」を開催しているため、SC-200がその対象に入っていれば無料で受験することが可能です。
Microsoft の以下サイトも参照してください。
有効期限
有効期限:365日
SC-200 Microsoft セキュリティ運用アナリスト試験 を合格することで取得できる Microsoft Certified: Security Operations Analyst Associate 認定はロールベースの資格であるため、有効期限が1年(365日)となっています。
有効期限の180日前になるとMicrosoftより認定資格の更新に関するメールが届くので、メール本文の案内に沿って更新試験を受けて合格することで、期限が+1年間期限が延長されます。
これは更新試験に合格した日から+1年間ではなく、現在の有効期限から+1年間となるので、早めに更新試験を受けても損になるということはありません。
有効期限までに更新試験に合格しないと認定が失効してしまうので、認定を失効させたくない場合は早めに更新試験を受けて合格しておくことをおすすめします。
またこの更新試験は受験費用は無料で、不合格になっても何度でも受け直すことが可能です。
ちなみに私が受けた SC-200 更新試験では、制限時間:45分、出題数:24問で、私のスコアは 63% で合格となっていました。試験結果画面には 合格には 62% 必要 といった記載があったためかなりギリギリの合格でした。
ばにゃ問題数から逆算すると、おそらく24問中15問以上正解が合格ラインと推測できますね。
試験対策
Azure 環境を実際に触る
Azure環境を実際に触る
おすすめ度:
(必須)
SC-200試験を受けようと考えている時点で Azure 環境を一度も触ったことがないような初心者ではないと思いますが、試験対策としてAzure環境を実際に操作して知識を習得していくことは必須です。
具体的には、次に紹介する Microsoft Learn + Azure 環境で関連する箇所を実際に触ってみるということが、SC-200試験の基礎知識を身につけるためには必要です。
Azure は無料アカウントを作成することで一定期間/一定金額分は誰でも Azure 環境を利用することができるため、この無料アカウントも活用してみてください。
ばにゃ実際に手を動かして覚えるのがやはり最強ですね。
Microsoft 認定試験対策講座
SC-200
Microsoft セキュリティ
運用アナリスト
試験対策講座
おすすめ度:
(必須)
2024年11月に実施された Microsoft の「SC-200 Microsoft セキュリティ運用アナリスト 試験対策講座」が以下Microsoftのサイトより無料で視聴可能です。
合計で4時間45分ありすべて視聴するのは大変ですが、時間がない場合でも最初の20分は必ず視聴することをおすすめします。
その後の4時間以上は模擬問題58問を一緒に解きながら解説する、というスタイルで進んでいきます。
Microsoft Learn
文章にややクセあり
おすすめ度:
Microsoft Learn とはMicrosoft 製品の学習が可能な無料のオンライン トレーニング プラットフォームです。ここにSC-200試験用のトレーニングも用意されています。以下の 10パートから構成され合計で43時間 ほどを想定した内容となっています。
- SC-200: Microsoft Security Copilot を使用して脅威を軽減する (6時間29分)
- SC-200:Microsoft Defender XDR を使って脅威を軽減する (5時間35分)
- SC-200: Microsoft Purview を使用して脅威を軽減する (4時間)
- SC-200: エンドポイントに Microsoft Defender を使用して脅威を軽減する (5時間49分)
- SC-200: Microsoft Defender for Cloud を使用して脅威を軽減する (4時間17分)
- SC-200: Kusto クエリ言語 (KQL) を使用して Microsoft Sentinel のクエリを作成する (2時間10分)
- SC-200: Microsoft Sentinel 環境を構成する (3時間35分)
- SC-200: ログを Microsoft Sentinel に接続する (3時間4分)
- SC-200: Microsoft Sentinel を使用して検出を作成し、調査を実行する (6時間34分)
- SC-200: Microsoft Sentinel で脅威ハンティングを実行する (2時間14分)
AZ-900 試験対策の記事でも書いたように、Microsoft Learn は日本語の文章にクセがあってわかりにくいため個人的にはあまり好みではありません。しかし日本語ベースで試験範囲全体を網羅しているものが他にないため、今回は Microsoft Learnを利用しました。
ただ、淡々と読み進めていても何を言っているのかよくわからず眠くなるだけなので、実際に関連する箇所を Azure 環境で開いて操作しながら読み進めていくことをおすすめします。そうしない とりあえず全部読んでみたけど何も頭に入ってない という状態になりかねないので注意しましょう。
ばにゃ眠い目をこすりながらなんとか頑張って読み進めました。
Microsoft セミナー
SC-200T00
Microsoft セキュリティ
運用アナリスト
おすすめ度:
SC-200 試験対策として「SC-200T00: Microsoft セキュリティ運用アナリスト」という Microsoft セミナーがあります。このセミナーは 9:30 ~ 17:30 まで ✕ 4日かけて行われるセミナーで、Microsoft Learn に沿った以下のような構成となっています。
- Microsoft Security Copilot を使用して脅威を軽減する
- Microsoft Defender XDR を使って脅威を軽減する
- Microsoft Purview を使用して脅威を軽減する
- エンドポイントに Microsoft Defender を使用して脅威を軽減する
- Microsoft Defender for Cloud を使用して脅威を軽減する
- Kusto クエリ言語 (KQL) を使用して Microsoft Sentinel のクエリを作成する
- Microsoft Sentinel 環境を構成する
- ログを Microsoft Sentinel に接続する
- Microsoft Sentinel を使用して検出を作成し、調査を実行する
- Microsoft Sentinel で脅威ハンティングを実行する
私は自分の勤務している会社経由でこのセミナーに申し込むことができたため、自分で費用負担することなく受講することができました。セミナー用に用意された Azure 検証環境を利用してハンズオン形式で進めていくもので、実際の操作方法が理解できるため、受講費用を会社持ちにできる場合には非常におすすめのセミナーです。
日本のMicrosoft ラーニングパートナーで「SC-200T00: Microsoft セキュリティ運用アナリスト」を常時実施しているのは、調べた限りではトレノケート株式会社さんのみのようです。
参考までに以下にトレノケート株式会社さんのリンクを貼っておきます。
他のラーニングパートナーでも開催されているか確認するには、Microsoftの以下サイトより各ラーニングパートナーのセミナー情報を確認してください。
テキスト 参考書 問題集
該当なし
おすすめ度:ー
Azure初心者向けの試験 AZ-900 であれば複数の参考書が各社から出版されていますが、SC-200というニッチな試験に対しては日本語ベースでの参考書・問題集の出版自体されていないため該当なしとしました。
英語ベースでは問題集として以下のようなものがあるため、必要に応じて検討してみてください。
ばにゃ私自身はSC-200試験対策のために参考書などの購入はしませんでした。
海外サイト ExamTopics
過去問対策に最適 (無料)
おすすめ度:
ExamTopics とは資格試験対策のWebサイトで、 SC-200 試験対策用の問題もこちらで確認することが可能です。海外サイトのため活用するには多少の英語能力が必要ですが、SC-200 の試験対策には非常におすすめのサイトです。
IT関連の資格試験対策に使えるサイトのため、今回利用しなかったとしても今後のためにブックマークをおすすめします。
ExamTopics で SC-200 試験の問題/解答を確認する方法を簡単に説明します。
- ExamTopics にアクセスします。
- 検索フィールドに試験名「Microsoft SC-200」と入力し、「Search Exams」ボタンをクリックします。
- 「Microsoft SC-200 Exam」の画面となるため、「Go To SC-200 Questions」をクリックします。
- 「Microsoft SC-200 Exam Actual Questions」の画面となり、SC-200 試験の問題/解答が表示されます。
ExamTopics は海外サイトのため問題文や解答も全て英語で記載されていますが、Chromeの翻訳機能を使用すればある程度は日本語化されるため、必要に応じて翻訳機能も利用して勉強を進めてみましょう
ExamTopicsを利用する際には以下の点に気をつけましょう。
- 記載されている解答が必ずしも正しいとは限らない
体感では50問に1問程度は「ちょっと怪しいな」と思えるような解答があります。そういった問題では問題文下部に表示されている「Discussion」にてユーザーによる議論が行われていることが多いため、こちらを参考にするとよいかと思います。
まとめ
本記事のまとめです。
- SC-200 Microsoft セキュリティ運用アナリスト試験とは
Microsoft 製品を利用したセキュリティ運用アナリストとしての知識を問われる認定試験
合格することで Microsoft Certified: Security Operations Analyst Associate 認定を取得できる - SC-200試験 基礎知識習得のために
Microsoft Learn + Azure環境を用意して実際に手を動かす - SC-200試験 おすすめの試験対策講座
SC-200 Microsoft セキュリティ運用アナリスト 試験対策講座 - SC-200試験 おすすめのセミナー(予算に余裕があれば)
SC-200T00: Microsoft セキュリティ運用アナリスト - SC-200試験 おすすめの参考書/問題集
該当なし - SC-200試験 最後の仕上げ(過去問対策)には
ExamTopics
ばにゃとりあえず合格だけしたい!ということであれば ExamTopics の問題をひたすら解くのが近道ですね。
私が受けたその他の Microsoft Azure 関連の試験については以下の記事にまとめていますので、よければこちらもご覧ください。
コメント