Azure の資格を全部とった話 #SC-200に合格編

Azure の資格を全部とった話の本編はこちら

2021年4月24日に SC-200 の試験を受験し、Microsoft Certified: Security Operations Analyst Associate の認定を取得しました。　同日に SC-900 と AZ-600 も受験していますが、その話は別記事にまとめますので興味がある方は是非読んでみてください。（SC-900 はこちら）

なお、この SC-200 の試験ですが、私が申し込みした時点では英語のみでの受験となります。

SC-200 試験の概要

SC-200 は試験名となり、合格すると得られる認定名は Microsoft Certified: Security Operations Analyst Associate となります。　Operations Analyst のアソシエイト認定となり具体的には Azure Sentinel、Azure Defender、Microsoft 365 Defender の操作や分析が対象となります。

試験の概要は Microsoft の公開情報を確認するのがもっとも手っ取り早いのですが、まだ、英語版のページしか公開されていません。

上記の紹介ページの英文の内容をお伝えする前にこの資格・認定の位置づけから説明します。その方がわかりやすいと思うためです。

位置づけを確認する良い方法は Microsoft が提供している Certification Poster です。　Azure / Microsoft 365 / Dymamics 365 / PowerPlatform の4つの柱（列）の土台として Security, Compliance and Identity が位置付けられていることがわかります。　つまり、Azure を含む Microsoft のクラウドソリューションを利用する前提、土台となる知識、経験を問う資格・認定ということになります。

上のスクリーンショットの Secuirty, Compliance, and Identity の部分を拡大すると、今回紹介する SC-200、そしてそれ以外にも Role-based な AZ-500 / MS-500 / SC-300 / SC-400 、Fundamentals な SC-900 がその対象の試験・認定となることがわかります。

位置づけを踏まえた上で SC-200 資格およびその Associate 認定の概要は以下の通りです。

Microsoft Security Operations Analystは、組織の利害関係者と協力して、組織の情報技術システムを保護します。彼らの目標は、環境内のアクティブな攻撃を迅速に修正し、脅威保護プラクティスの改善についてアドバイスし、組織のポリシー違反を適切な利害関係者に紹介することにより、組織のリスクを軽減することです。

責任には、脅威の管理、監視、および環境全体でさまざまなセキュリティソリューションを使用することによる対応が含まれます。この役割は主に、Microsoft Azure Sentinel、Azure Defender、Microsoft 365 Defender、およびサードパーティのセキュリティ製品を使用して、脅威を調査、対応、およびハントします。セキュリティ運用アナリストはこれらのツールの運用出力を消費するため、これらのテクノロジの構成と展開における重要な利害関係者でもあります。

試験のアウトライン

試験の出題範囲は Skills outline として他の資格・認定と同じように PDF ファイルをダウンロード可能です。　Skills outline の内容を簡単に紹介すると大きく3つのブロックがあり、それぞれ以下の分野が出題範囲となります。

1. Mitigate threats using Microsoft 365 Defender (25-30%)
   • Microsoft 365 Defender を利用した脅威の軽減について問われます
   • Microsoft 365 Defender for Office 365 に関するもの
   • Microsoft 365 Defender for Endpoint に関するもの
   • Microsoft 365 Defender for Identity に関するもの
   • ID に関する脅威対策（ sign-in risk policies、条件付きアクセス、Secure Score 、Identity Protection 、Cloud App Security）に関するもの
2. Mitigate threats using Azure Defender (25-30%)
   • Azure Defender を利用した脅威の軽減について問われます
   • 導入や設計について（導入対象が Azure 上の場合もそれ以外のオンプレミス、GCP、AWSの場合も）
   • 自動化や連携（Azure Security Center、Azure Defender、ARM template など）
3. Mitigate threats using Azure Sentinel (40-45%)
   • Azure Sentinel を利用した脅威の軽減について問われます
   • Sentinel の導入や設計について
   • 様々なデータソースへの対応について
   • analytics rules について
   • Sentinel における SOAR について
   • インシデントの調査方法や workbooks を利用した分析、脅威の追跡について

広範囲な試験範囲だった SC-900 に対して、SC-200 は Microsoft 365 Defender / Azure Denfeder / Azure Sentinel の3つについて導入方法、運用に関する具体的な事柄を問われる試験となります。

試験の結果

試験の結果は、750 点で PASS でした。　胸を張って合格と言える感じでもないですね。。。　Performance by exam section のチャートを見ると3領域どれも 60 %位でよくこれで 750 点になったなと。

また、How Your Performace Comapres から他の受験者との比較もわかるのですが、2領域は Comaprable、1領域は Strength なので、他の受験者もみな60％位の Performance だっと推測されます。そういう意味では難し目の試験と言えますし、実際に受けた感触もそうでした。

なお、試験は120分ですが、60分ほどで完了しました。　英語ではありますが、短い問題文、短い回答文なので知っているか知らないかで即答できる感じです。（他の試験にもあるケース問題もあります。こちらはシチュエーションなど長文の確認は必要です）

試験の対策

まず当方の試験領域に関する経験ですが、Defender for Office 365 、Defender for Endpoint、Defender for Identity は自身の個人環境（メールやパソコン、Windows Virtual Desktop 用の Active Directory ）で利用・運用していたり、業務でも提案・導入していたりするのでそこそこの経験があります。　　Sentinel は以前（1年以上前）に半日の無償講習を受けた位であまり経験はありません。ただ、SEIM については他製品に関する知識、経験はある状態です。

試験の対策は3時間ほど行いました。 Skills outline からあまり自信が無い領域について Microsoft Docs を確認しました。　具体的にはDefender fot XXX の Defender 軍団について混同している知識の整理です。あとは同様に Identity Protection 、PIMあたりも整理しました。　そして、40-45% の割合を占める Azure Sentinel については Azure Learn で勉強しました。　Microsoft Docs の確認が1時間、Azure Learn が2時間位の準備となりました。

Azure Learn では SC-200 について以下の8つのパートが提供されています。日本語にも対応しています。　想定の総学習時間は 28時間と結構なボリュームです。　学習モジュールをしっかり読んで、実際に Azure Sentinel なり Defender for XXX を操作するとこの28時間になるのだと思いますが、わかる部分は飛ばしてポイントだけ抑えつつ、実際の画面を確認していくことで2時間程度の準備時間にすることが出来ました。

結果として、試験に合格はしましたが 750 点と余裕はなかったのも確かです。　感触としては上記の Microsoft Learn をもっともっと読み込む、実環境を触ることで点数も伸びると感じました。　実際、試験を受けていく中で全くわかなかった問題、その経験を踏まえてもう一度 Microsoft Learn の教材を読み込むと頭にスーっとはいります。　財力に余裕があるのならまずは試験を受けて、その上で Microsoft Learn で学習し、そして試験を受けるのがもっとも効率が良い方法になるとは思いました。

今後の予定

目先の話としては Security, Compliance and Identity カテゴリとして残りの SC-300 と SC-400 の受験です。

目的は3つあります。　1つは Azure の資格を全部取るという直近の目標の達成です。　2つ目は 2021年3月に不合格となった CISSP の再受験に向けて Security と Compliance に関する知識、スキルアップの実現です。　CISSP の合格には幅広い領域の知識習得が必要なのですが、CISSP のために勉強するというよりは今回の Azure や近々受験していく AWS や GCP 、CompTIA のセキュリティ領域の試験を通して結果として自力をアップしていきたいと考えています（CISSP の問題集、やっていても楽しくない・・・）。　3つ目は、この春から自分自身の業務の Mission の変化もありパブリッククラウドについて一区切りというかこの3年半の成果を可視化したい、その為に4大クラウド（Alibaba Cloud / Azure / AWS / GCP )の主要な認定を6月までに全部とる、がありました。

最近、AWS と Azure の試験を毎週交互に受けており、今週は AWS の DevOps の Professional 、GW 後に SC-300 と SC-400 にチャレンジする予定です。

以上