Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900)
Fundamentals / ベンダー資格(Microsoft)
どんな試験か
Microsoftのセキュリティ・コンプライアンス・ID(SCI)関連サービスの基礎を問う入門資格です。Microsoft Entra(旧Azure AD)、Microsoft Defender、Microsoft Purviewなど、ID管理とセキュリティの全体像を学べます。
出題傾向
セキュリティ・コンプライアンス・IDの概念 10〜15%
Microsoft Entraの機能 25〜30%
Microsoftセキュリティソリューションの機能 35〜40%
Microsoftコンプライアンスソリューションの機能 20〜25%
Microsoft Learnの試験ガイドに基づく出題分野。Azure AD→Microsoft Entraへの名称変更などMicrosoft側の製品再編が反映されています。
サンプル問題(3問)
公式の過去問は非公開のため、SC-900の出題傾向に沿った例題を掲載しています。Microsoft公式の「Microsoft Learn」(無料)にも公式サンプル問題が公開されています。
問1
ゼロトラスト(Zero Trust)モデルの基本原則として、最も適切なものはどれか。
A. 社内ネットワーク内のリソースはすべて信頼してよい
B. ファイアウォール内側の通信は暗号化不要
C. 明示的に検証する(Verify Explicitly)、最小特権アクセス、侵害を想定する(Assume Breach)
D. VPNを使えばすべての通信は安全である
B. ファイアウォール内側の通信は暗号化不要
C. 明示的に検証する(Verify Explicitly)、最小特権アクセス、侵害を想定する(Assume Breach)
D. VPNを使えばすべての通信は安全である
答えを見る
正解:C
ゼロトラストの基本原則は3つで「Verify Explicitly(明示的に検証)」「Use Least Privilege Access(最小特権)」「Assume Breach(侵害を想定)」です。「社内だから信用する」という従来の境界型セキュリティから「常に検証する」モデルへの転換が核心です。 A・B・Dは従来の境界型(Perimeter)セキュリティの考え方で、ゼロトラストとは正反対の発想です。SC-900ではゼロトラストの原則は最頻出論点です。
ゼロトラストの基本原則は3つで「Verify Explicitly(明示的に検証)」「Use Least Privilege Access(最小特権)」「Assume Breach(侵害を想定)」です。「社内だから信用する」という従来の境界型セキュリティから「常に検証する」モデルへの転換が核心です。 A・B・Dは従来の境界型(Perimeter)セキュリティの考え方で、ゼロトラストとは正反対の発想です。SC-900ではゼロトラストの原則は最頻出論点です。
問2
Microsoftのアイデンティティとアクセス管理の中核サービスで、ユーザー認証・条件付きアクセス・多要素認証(MFA)等を提供するサービスはどれか。
A. Microsoft Entra ID(旧 Azure Active Directory)
B. Microsoft Defender for Cloud
C. Microsoft Purview
D. Microsoft Sentinel
B. Microsoft Defender for Cloud
C. Microsoft Purview
D. Microsoft Sentinel
答えを見る
正解:A
Microsoft Entra ID(2023年にAzure Active Directoryから名称変更)は、Microsoftのアイデンティティ・アクセス管理(IAM)の中核サービスです。ユーザー管理、シングルサインオン、多要素認証、条件付きアクセスなどを提供します。 BのDefender for Cloud はクラウドセキュリティポスチャ管理(CSPM)とワークロード保護。CのPurview はデータガバナンス・コンプライアンス。DのSentinel はクラウドネイティブSIEM/SOAR。SC-900では各サービスの「役割の使い分け」が頻出です。
Microsoft Entra ID(2023年にAzure Active Directoryから名称変更)は、Microsoftのアイデンティティ・アクセス管理(IAM)の中核サービスです。ユーザー管理、シングルサインオン、多要素認証、条件付きアクセスなどを提供します。 BのDefender for Cloud はクラウドセキュリティポスチャ管理(CSPM)とワークロード保護。CのPurview はデータガバナンス・コンプライアンス。DのSentinel はクラウドネイティブSIEM/SOAR。SC-900では各サービスの「役割の使い分け」が頻出です。
問3
ある組織で、機密情報を含む文書ファイルが社外に誤送信されるリスクを低減したい。文書のラベル付け・暗号化・自動分類を行うMicrosoftのサービスとして、最も適切なものはどれか。
A. Microsoft Defender for Office 365
B. Microsoft Purview Information Protection
C. Microsoft Entra ID Protection
D. Microsoft Intune
B. Microsoft Purview Information Protection
C. Microsoft Entra ID Protection
D. Microsoft Intune
答えを見る
正解:B
Microsoft Purview Information Protection(旧 Azure Information Protection)は、機密情報の検出・分類・ラベル付け・暗号化を行うサービスです。「機密」「社外秘」などのラベルを文書に付与し、ラベルに応じた保護(暗号化、コピー禁止など)を適用できます。 AのDefender for Office 365 はメールのフィッシング・マルウェア対策。CのEntra ID Protection はサインインリスクの検知(認証ベース)。DのIntune はデバイス管理(MDM)。本問の「文書の自動分類・暗号化」はPurviewの定番ユースケースです。
Microsoft Purview Information Protection(旧 Azure Information Protection)は、機密情報の検出・分類・ラベル付け・暗号化を行うサービスです。「機密」「社外秘」などのラベルを文書に付与し、ラベルに応じた保護(暗号化、コピー禁止など)を適用できます。 AのDefender for Office 365 はメールのフィッシング・マルウェア対策。CのEntra ID Protection はサインインリスクの検知(認証ベース)。DのIntune はデバイス管理(MDM)。本問の「文書の自動分類・暗号化」はPurviewの定番ユースケースです。
向いている人
・Microsoft 365/Azureのセキュリティを担当する方
・ID管理・コンプライアンスを学びたい方
・情報セキュリティマネジメント試験との比較で取得したい方
学習リソース
公式
Microsoft Learn SC-900公式ページ SC-900 ラーニングパス (Microsoft Learn 無料) 問題集
SC-900 試験対策テキスト 講座
Udemy SC-900 試験対策講座