見出し画像

「合格対策 Microsoft認定 SC-900 テキスト&問題集」はセキュリティの第一歩

マスクド・アナライズ

#PR

セキュリティを取り巻く環境

IT・インターネットにおけるセキュリティについて、重大な事故や事件が頻発しています。直近ではKADOKAWAにおいてサイバー攻撃による情報漏えいがありましたが、他にも多数報告されてます。情報漏洩は外部からの悪意ある攻撃者だけでなく、従業員による過失や意図せぬ設定間違いなど要因は様々です。しかしセキュリティに対する認識や対策はまだ十分とは言えず、企業において長らく課題となっています。

一方で、セキュリティに関する様々な資格が展開されており、マイクロソフト認定資格「SC-900」は同社の製品・サービスに基づいたセキュリティにおける基礎を学べる資格です。

本書の対象読者

本書は企業向け製品の最大手である同社における、セキュリティ資格のテキスト&問題集です。位置付けとしては基礎となる「Fundamentals」であり、最初に取得したいセキュリティにおける入口となる資格です

認定資格は基礎から専門領域までカバー

社内の情報システム部門に所属して同社製品やセキュリティに関わるエンジニアなら、必須と言えるでしょう。本書はクラウドを含めた幅広い領域について解説しており、ここから中級レベルや役割別の内容に進むとよいでしょう。また、「セキュリティ対策を強化するため、同社製品について詳しく知りたい」「お客様に同社製品やセキュリティを提案する営業やコンサルタント」「社内向けセキュリティ研修に使いたい」などの要望にも対処できます。

試験範囲としては、セキュリティ、コンプライアンス、IDなどの概念に加えて、同社製品の機能やセキュリティ対策について広く浅く学べる内容になっています。

バランスのよい割合

難易度として合格ライン1000点満点中700点を目指しています。同社ではオンライントレーニングやドキュメントもインターネット上で公開されていますが、翻訳がわかりにくいなどの懸念もあります。そこで本書のような専門家による解説書の方が、効率良く学べるメリットがあります。

作者について

本書の共著者である阿部直樹氏はMicrosoft認定レーナーであり、いわばMicrosoft製品の専門家です。さらに同社製品やセキュリティに関する造詣も深く、セキュリティや資格の類書を執筆した実績があります。多岐にわたる製品があるなかで適任者と言えるでしょう。
もう一人の共著者である福田俊博氏は、JT(日本たばこ産業)で社内システムに携わり、セキュリティコンサルタントとして独立しています。さらに技術士(経営工学)、中小企業診断士、情報処理安全確保支援者など資格も保有しています。企業向けシステムを前提として、マイクロソフト製品と情報セキュリティに強い著者という安心感があります。

また、監修としてNTTデータ先端技術株式会社でAzureに関わる鈴木友宏氏は、2017年からMicrosoft MVPを7年連続受賞しています。受賞するだけでも大変ですが、7年連続は驚きです。このようなセキュリティ、マイクロソフト製品、資格試験において実績のある著者を選び、共同制作できたことは出版社における信頼もあってのことでしょう。同出版社の類書である「Microsoft認定 AZ-900:Microsoft Azure Fundamentalsテキスト&問題集 第2版」が高評価であるのも納得です。

本書の構成

本書は以下の構成となります。

第1章 Microsoft 認定試験とSC-900 の概要
第2章 セキュリティ、コンプライアンス、ID のコンセプト
第3章 Microsoft Entra ID の機能
第4章 Microsoft セキュリティソリューションの機能
第5章 Microsoft コンプライアンスソリューションの機能
第6章 模擬試験

 一般的なセキュリティ・コンプライアンス、IDなどは把握していても、意外な見落としや直近の情勢変化もあるでしょう。初心者向けと侮ってはいけません。初心者から経験者まで、本書から学べるものは幅広くあります。

また、各単元ごとに知識確認用の小テストもあり、学習とアウトプットを繰り返しながら学べる設計となっています。

第1章 Microsoft認定試験とAZ-900の概要

資格試験に関する解説です。申込方法など、資格によって異なるため確認しておきましょう。

第2章 セキュリティ、コンプライアンス、ID のコンセプト

セキュリティにおいて基本となる概念と機能の解説です。ページ数は少ないものの一通り解説されており、暗号化や認証に加えて、昨今のゼロ トラストも反映されています。

第3章 Microsoft Entra ID の機能

試験対策としては、ここからが本番です。「Microsoft Entra ID (旧:Azure Active Directory)」における、基本的なサービス、認証、アクセス管理、ID保護、ガバナンス機能を解説しています。

豊富な図解が理解を助けてくれます

また、同社は企業向けの製品が多く、下図のように複数製品においてロール(役割)によるアクセス制御も可能です。

どれもマイクロソフト製品です

まずは基本となるEntra IDから把握しておくと良いでしょう。

第4章 Microsoft セキュリティソリューションの機能

ここではAzureにおけるクラウドセキュリティを紹介しています。同様にAzureも企業向けとして一定のシェアがあり、特に大企業(エンタープライズ)における実績もあります。こうした背景を踏まえてファイアウォールやセグメント化、VM(仮想マシン)によって、どのようにセキュリティを保護するのかを詳しく解説しています。

また、昨今では複数のOS、端末、モバイル機器、クラウドが業務で利用されます。例として「Microsoft Defender for Cloud」では、Azure以外のクラウドとしてもAWS及びGCPも保護しており、マルチクラウドに対応しています。このようなエンタープライズにおける利用も想定されており、新たに登場した製品や機能の進化を知らない人も多いのではないでしょうか。

多種多様な環境を保護します

もちろんセキュリティ製品としての定番であるログ監視やアラート検出にも対応しており、このような管理画面も備えています。企業向けのセキュリティ対策として、幅広く対応していることが伺えます。

ログ管理・監視画面

他にも多層防御の「Microsoft Defender XDR」など、各種サービスが紹介されています。いわゆる「エンドポイントセキュリティ」と呼ばれる、各端末におけるウイルスやマルウェアの侵入を監視しています。古典的な手法に対する防護策としても、製品やサービスは今やクラウド対応が当たり前となり、時代の変化が伺えます。

企業向け製品では定期的に新たなサービスや機能追加があるので、すべて把握できている人も少ないでしょう。改めて豊富な同社製品を把握できるのは本書のメリットでもあります。

第5章 Microsoft コンプライアンスソリューションの機能

セキュリティにおいて外部からの防御や監視などの対策は重要ですが、同時に内部統制も必要です。「コンプライアンス」という言葉が定着して久しいですが、まだ不十分な点は否めません。本書では「Microsoft Service Trust Portal」における、同社のセキュリティ、プライバシー、コンプライアンスに関するコンテンツ提供について紹介しています。ITに関しては様々な情報源がありますが、最も信頼性が高いのは公式情報です。とはいえ毎日確認するわけにはいかず、こうしたサービスを利用して適時必要な情報を把握すれば良いでしょう。

また、企業の情報保護、統制、内部からの漏洩リスクなどを対策できます。このような取り組みに対して、どこまで対応できているかを示す「コンプライアンススコア」も算出してくれます。

まだまだ厳しいスコアかも!?

さらに、コンプライアンスマネージャーの要素を把握することで、より安全な環境作りにおける指針も見えてきます。

自社に最適な要素を取り組みましょう

情報保護とデータライフサイクルは「Microsoft Purview」で解説されています。自社が保有するデータに関しても単純に保管するだけでなく、分類、保護、自動削除、機密情報の指定など、様々な意味での「管理」が必要です。

適切なデータの管理サイクル

社内外におけるセキュリティで重要なのは、自社のデータを適切に管理することです。法的に保管が定められたデータは一定期間保護しつつ、機密情報は暗号化するなど、ルールの見直しから組織的な運用は必須です。一方で膨大なデータを適切に管理するのは難しいため、専用ツールによるメリットは大きいです。さらに同社製品である OneDrive、SharePoint、Teams、Exchangeなどの連携があれば、運用の手間も省けます。本資格を学習する上でメリットとなるのは、このようなマイクロソフト製品との親和性という観点も挙げられるでしょう。

セキュリティにおける課題として、外部からの攻撃が注視されがちですが、実際には社内での関係者による持ち出しも多いです。データへのアクセスや管理を適切に行うことが対策になるでしょう。

第6章 模擬試験

ここまで解説した内容を元にした、模擬試験があります。設問数も多く、各章のを復習しながら学べる構成になっています。

4択以外にも選択式の問題があります

資格試験にありがちな複雑な日本語の問題文ではなく、わかりやすい文章であるのも配慮が伺えます。繰り返し問題を解くことが合格対策にもなるので、何度も取り組みましょう。

まとめ

セキュリティ対策が改めて注目される中、Microsoft製品による導入や運用を検討する企業やエンジニアも増えるでしょう。さらに自社のセキュリティ対策を見直すうえで、技術的な知見について見直すには体系的にまとめられた資格が役立ちます。本資格は初心者向けではありますが、エンジニア以外にも内容を取捨選択することで一般社員向けの研修にも利用できます。そこで「なぜセキュリティ対策が必要か」「なぜ面倒でも対応する必要があるか?」などを説明して、組織として納得してもらうきっかけにもなります。

セキュリティは対策は、情報システム担当者からエンジニアだけでなく、経営層や現場の従業員にとっても無関係ではいられません。レベルやスキルに合わせて、資格取得を軸にしたセキュリティの強化として本書を活用してください。


記事が気に入ったら、Twitter(X)のアカウントもフォローしてください! https://twitter.com/maskedanl