最後の更新が約5年前の2021年6月になりますが、Azureの資格を全部とった話(現在20認定)の記事にてAzureやMicrosoft 365の資格受験記を投稿していました。 ちょうどその頃にパブリッククラウドのアーキテクト的な仕事からアプリ開発メインの仕事になり、そして2024年に転職後は情報セキュリティの仕事となっていくなかで、ほぼすべての認定の有効期限が切れてしまいました。 セキュリティやAIなど学びたいことは沢山あって、それらも学ぶのですがクラウドのスキルも学び直すことにしました。
今回はMicrosoftのセキュリティ資格である「SC-401: Administering Information Security in Microsoft 365(Microsoft 365 での情報セキュリティの管理)」を受験してきました。
結論から言うと、706点という超ギリギリのスコアでなんとか一発合格することができました。
先月(2026年5月)受験したAZ-500では730点のギリギリ合格だったのですが、今回の SC-401 はさらにギリギリでした。 狙っているわけではないのですが。 どうでも良い話ですが過去には700点ぴったり賞もあったり。
目次
SC-401 の試験概要
SC-401は、以前存在した「SC-400(Information Protection Administrator)」をベースに、昨今のAI(Microsoft 365 Copilotなど)時代に合わせたデータガバナンスやインサイダーリスク対策を強化して再編された、比較的新しい試験です。
主戦場は Microsoft Purview ポータル(旧コンプライアンスセンター)となります。 出題の柱は大きく分けて以下の3つで、ほぼ均等な配点(各30〜35%)で出題されます。
- 情報保護の実装(Information Protection):秘密度ラベル、SIT、EDMなど
- データ損失の防止と保持の実装(DLP & Retention):DLPポリシー、保持ポリシー・ラベルなど
- リスク、アラート、アクティビティの管理(Insider Risk & Compliance):インサイダーリスク、eDiscoveryなど
難易度としては、データの構造(MIMEエンコードやデジタル署名の仕組み)や、スマホOS(iOS/Android)とPC(Windows/Mac)でのDLPの挙動の違いといった、「実務レベルの割り切った仕様の理解」を深く突いてくるため、丸暗記では太刀打ちできない渋い難しさがあります。
ただ、この試験、なんと試験中にオンラインのMicrosoft Learn にアクセス可能です。 検索も可能です。 ゼロ知識ではマニュアルの使い方がわからない、どこに情報があるかもわからない、なので厳しいと思いますが、ある程度知識があれば自信を持てない系の回答はマニュアル見て確認できます。 私は試験の半分くらい経過するまでマニュアルを利用できることがわからず、タマタマ左側のメニューにあるボタンを押したらMicrosoft Learnの画面が開いて気づきました。 このあと5問くらいMicrosoft Learn で回答を変えたものがあったのでMicrosoft Learn がなければ706点にも到達できず不合格だったとおもいます。
最後に、試験の概要は以下の通り。
- 試験時間:約140分
- 問題数:65問(66問だったかも)
- 試験形式: 選択式(55問)→連続回答(6問)→ケーススタディ(4問)
- 合格基準:700点以上 / 1000点満点
受験時の私のスペック
- 2021年頃:SC-900, SC-200, SC-300, SC-400,MS-100/101, MS-500を一通り合格
- 2026年最近(4月〜5月):学び直しとしてAZ-500(Azure Security)合格、AWS 3資格取得
- 今回の勉強時間:2時間
5年前に旧試験(SC-400)を受けているとはいえ、内容はまったく覚えていない状況。。。
私が実践した超短期勉強方法
今回、勉強時間は約2時間です。 5年前に SC-400に合格していますが当時はペーパードライバみたいなもので Microsoft 365 を提案したりするなかで概要は抑えつつも Purview や DLP の詳細を設計したり開発、運用したことはない状況。 長年のエンジニア経験でオンプレからクラウド、インフラからアプリまでほぼオールジャンルの経験があるので、この分野が全く分からない、右も左もわからないというわけではないので、前回のAZ-500やAWS試験同様に生成AIをフル活用し短時間で事前準備を行いました。
まずは生成AI(Google Gemini)と30分程度問答します。 試験の概要を尋ねるとGeminiが抑えるべきポイントを教えてくれますし、自分があやしい、わからないところを聞くと詳細な説明もしてくれます。また試験の傾向やSC-400から変更点なども具体的に教えてくれます。 これで試験のアウトラインを大体おさえることが
次に、Gemini のNotebookLM に Microsoft Learnなどの文献を登録し、模擬問題を作ってもらいます。生成AIの良いところは、解説が充実していることです。 また、深掘りも可能ですし、自分の思考のままに訪ねることで理解を深めることが可能です。
以下は実際に NotebookLMで作った摸擬問題です。 こんな感じで選択肢毎の考え方やユースケースまで説明を付与してくれます。 Udemy なんかに問題集あったりしますが、解説が弱いものが多いなか、NotebookLMでここまで出来るならこれで十分だなというのが率直な感想だったりします。 まあ、今回のSC-401はそもそもUdemyには対応するコースが無かったので選択肢にもならなかったということはありました。
これを100問位つくってもらい試験に備えました。
今後の予定:20認定ホルダーの「取り直し」ロードマップ
過去にMicrosoft資格を「20認定」まで取得していた私ですが、すべて失効してしまったため、以下の4つの柱で大々的な「取り直しロードマップ」をスタートします(宣言するのは自分にプレッシャーをかけたいため)。
第1の柱:セキュリティ・データ保護・DSPM(最優先)
まずは「データセキュリティ(DSPM)」を極めます。
- AZ-500(Azure Security) ➔ 【5/16 合格】
- SC-401(Information Protection)➔ 【6/27 合格】
- SC-300(Identity and Access)→ 8月受験予定
- SC-200(Security Operations)→ 8月受験予定
- SC-100(Cybersecurity Architect)→ 7月受験予定
第2の柱:Microsoft 365系
モダンワークプレイスのセキュリティを固めます(※MS-500は廃止されたため、後継のMS-102等へ適宜アレンジ)。
- MS-102(Microsoft 365 Certified: Administrator Expert)へ再チャレンジ
第3の柱:Azure基本インフラ
セキュリティの土台となるインフラ知識を再ビルドします。
- AZ-104(Azure Administrator)
- AZ-305(Azure Solutions Architect Expert)
第4の柱:AI系
現代のバイタルスキルであるAI・データ系資格も、過去の知識をベースに最新版へアップデートしていきます。
まとめ
4〜5年前の知識のまま挑んだ今回のSC-401ですがMicrosoft 365 をフル活用している環境(Exchange,SharePoint,OneDrive,Teams)における情報管理、情報セキュリティをテクノロジーで解決するための様々なユースケースの気づきを得ることが出来、自分にとってとても有用な経験でした。
過去の受験記でもよく書くのですが私にとっては試験は受かることよりも試験の体験を通して、自分がわからないことがわかること、試験問題を通して各社の考えるベストプラクティスやユースケースを知れること、2時間という時間の中で普段の仕事とは違う様々な状況に対する解決策を次々と考えること、などが非常に有益で受験の動機となっています。 大した準備はしないのですが、その準備の2時間以上の経験、価値が受験の2時間で得られるといつも実感します。 簡単にいえば、受験後はなんか自分成長したな、と実感をもてるのです。
また来月以降も頑張っていきます。
以上
