Azure の資格を全部とった話 #SC-900に合格編

Azure の資格を全部とった話の本編はこちら

昨日となりますが 2021年4月24日に SC-900 の試験を受験し、Microsoft Certified: Security, Compliance, and Identity Fundamentals の認定を取得しました。　同日に SC-200 と AZ-600 も受験していますが、その話は別記事にまとめますので興味がある方は是非読んでみてください。

なお、この SC-900 の試験ですが、私が申し込みした時点では英語のみでの受験となり、日本語での受験は行えなかったこと、他の Fundamentals 試験（AZ-900 / MS-900 / AI-900 / DP-900) よりもなかなか難しい試験でした。

SC-900 試験の概要

SC-900 は試験名となり、合格すると得られる認定名は Microsoft Certified: Security, Compliance, and Identity Fundamentals となります。　セキュリティ、コンプライアンス、アイデンティティーに関するファンダメンタルレベルの認定となります。

試験の概要は Microsoft の公開情報を確認するのがもっとも手っ取り早いのですが、まだ、英語版のページしか公開されていません。

上記の紹介ページの英文の内容をお伝えする前にこの資格・認定の位置づけから説明します。その方がわかりやすいと思うためです。

位置づけを確認する良い方法は Microsoft が提供している Certification Poster です。　Azure / Microsoft 365 / Dymamics 365 / PowerPlatform の4つの柱（列）の土台として Security, Compliance and Identity が位置付けられていることがわかります。　つまり、Azure を含む Microsoft のクラウドソリューションを利用する前提、土台となる知識、経験を問う資格・認定ということになります。

上のスクリーンショットの Secuirty, Compliance, and Identity の部分を拡大すると、今回紹介する SC-900、そしてそれ以外にも Role-based な AZ-500 / MS-500 / SC-200 / SC-300 / SC-400 がその対象の試験・認定となることがわかります。

位置づけを踏まえた上で SC-900 資格およびその Fundamentals 認定の概要は以下の通りです。

クラウドベースおよび関連する Microsoft が提供する全体のセキュリティ、コンプライアンス、およびIdentity（SCI）の基礎に精通しようとしている人を対象
ビジネスの利害関係者、新規または既存のITプロフェッショナル、またはマイクロソフトのセキュリティ、コンプライアンス、および Identity ソリューションに関心のある学生を含む幅広い対象者
MicrosoftAzureとMicrosoft365に精通しており、Microsoftのセキュリティ、コンプライアンス、およびIDソリューションがこれらのソリューション領域にまたがって、全体的でエンドツーエンドのソリューションを提供する方法を理解する必要がある

試験のアウトライン

試験の出題範囲は Skills outline として他の資格・認定と同じように PDF ファイルをダウンロード可能です。　Skills outline の内容を簡単に紹介すると大きく4つのブロックがあり、それぞれ以下の分野が出題範囲となります。

Describe the Concepts of Security, Compliance, and Identity (5-10%)
- Zero Trust や責任共有モデル、その他セキュリティやコンプライアンスに関する知識が問われます
Describe the capabilities of Microsoft Identity and Access Management Solutions (25-30%)
- AAA の話
- Active Directory および Azure AD 視点での Identity やアクセス管理の話。　Azure AD で出来ることは幅広く問われます。
Describe the capabilities of Microsoft Security Solutions (30-35%)
- Azure 視点でのセキュリティソリューションの話。　NSG や Azure Firewall や WAF 、Security Center や Sentinel もどんなことが出来るのか、どのような利用シーンに用いるべきか問われます。
- Microsoft 365 視点でのセキュリティソリューションの話。　Defender 、ATP（Azure ATP, Office 365 ATP, Defender for ATP の3つ）、Cloud App Security 、Intune について機能、用法が問われます。
Describe the Capabilities of Microsoft Compliance Solutions (25-30%)
- Microsoft 365 のコンプライアンス機能を中心に問われます。 Compliance Center / Manager / Score、MIP / AIP 、Sensitive / Retention Labels、DLP、リスク管理、eDiscovery、Audit など満遍なく。
- Azure 視点でのコンプライアンス関連機能の話。リソースロック、Blue Print、Azue Policy などの機能、用法および CAF (Cloud Adoption Framework) も。

まあ、 Fundamentals ということで Azure および Microsoft 365 そして一般的な話としてのセキュリティについて幅広く問われる試験・認定ということになります。　

試験の結果

試験の結果は、769点で PASS しました。　ギリギリ合格の一歩手前な感じで、80% 超えている領域もなく満遍なく？間違えています。　　正直、結構難しかったです。　正確には出題内容が難しい、頭を使うというよりは知っているか知らないかの問題が多く、知らなければ正答出来ないという話です。　

なお、試験は60分ですが、20分ほどで完了しました。　英語ではありますが、短い問題文、短い回答文なので知っているか知らないかで即答できる感じです。　問題数は忘れてしまったのですが40問位だったような気がします。

試験の対策

試験の対策は受験前に1時間ほど行いました。 Skills outline からあまり自信が無い領域について Microsoft Docs を確認しました。　具体的にはコンプライアンス系の領域（業務で深くやっていないことから頭に残り辛い）、初めて聞いた Information Barrier などです。

なお、当方の知識、経験ですが、すでに Azure のセキュリティに関する AZ-500 及び Microsoft 365 のセキュリティに関する MS-500 は試験に合格し認定を受けているということで試験範囲に関する知識、経験はある程度有していました。　　一般的なセキュリティ、コンプライアンスについても CISSP 受験で勉強していたこともあり（不合格でしたが・・・）、ある程度は理解しています。 Comptia Security+ は対策無しで合格する位（Security+ の話はこちら）。

とは言いつつ、上記のとおりスコアは 769 点とあまり芳しくなかったのも事実です。　実際、Microsoft 365 のコンプライアンス系はわからない問題が多かったです。　　MS-500 を PASS していますが、こちらも 739 点とギリギリだったので、簡単に言えば、 Microsoft 365 のセキュリティについてはまだまだ勉強しないといけないのが自分自身の現状だということです。

自分の経験を踏まえて今後 SC-900 の受験を考えている人への助言としては Skills Outline の出題範囲にある用語、サービス、概念について知らないものは無い状態にすることです。そのために、Microsoft Learn で学習する、です。

以下の Microsoft Learn から4つのパート、合計、19モジュールが提供されています。

目安の学習時間ですが、9時間弱です。　試験後ですが、ざっと一通り目を通したのですが（わかる部分は飛ばして。それでも1時間はかかりましたが）、かなり有用なコンテンツでした。　SC-900 への対策としてもそうですが、Azure や Microsoft 365 全体でのセキュリティ、コンプライアンス、Identity Management の概要を把握するにはうってつけの内容です。　この内容を頭に入れておけば試験は合格出来ると思います。

試験・認定のメリット

一番のメリットは、クラウドサービスにおけるセキュリティとコンプライアンスの標準を知り、その上で Azure や Microsoft 365 (Dyamics や Power Platform も）のセキュリティやコンプライアンスを導入、維持できる手法を知ることが出来ることと思いました。　また、そこでキーになるのは Microsoft 365 です。　E5 を導入することでセキュリティ、コンプライアンス、ID管理について一元的なライセンスと機能、そしてサポートの提供が行われるというわかりやすい世界があることが見えてきます。　　OS や Office、メール、Teams のようなエンドユーザ向けのサービスだけではなくセキュリティ、コンプライアンスも含めて考えると Microsoft 365 E5 のコストパフォーマンスは非常に優れたものだなと再認識もできます。

個人的なメリットですが、試験を通して弱点領域を把握できたことです。　試験自体は合格し、Microsoft Certified: Security, Compliance, and Identity Fundamentals の認定を受けることが出来ましたが、受験を通して自分がいかにわかっていないか、また、どの領域に弱いのか具体化出来たことがこの受験の一番の収穫となりそうです。　 Microsoft Learn のコンテンツ、別途時間をとってじっくりと確認し、自分の弱点領域の強化に努めたいと思いました。

以上