[資格]SC-900 Microsoft セキュリティ、コンプライアンス、IDの基礎
SC-900について
概要
セキュリティ、コンプライアンス、ID の概念、アクセス管理ソリューションの機能、Microsoft セキュリティ ソリューションの機能、Microsoft コンプライアンス ソリューションの機能についての知識を問われる試験です。
https://docs.microsoft.com/ja-jp/certifications/exams/sc-900
試験
試験コード | SC-900 |
---|---|
合格ライン | 700点 / 900点 |
問題数 | 45-48問程度 |
試験時間 | 45分程度 |
※問題数と試験時間について公式に記載はありませんが、おそらく他の基礎コースと同程度と思われます。
事前対策
事前対策としてはAI-900と同様に、オンライントレーニングで受講した内容と、公式ドキュメント(WEB)を使って対策していきます。
また、以下にサンプル問題が公開されているので参考にしました。
https://docs.microsoft.com/ja-jp/certifications/resources/sc-900-sample-questions
※日本語の参考書・テキスト等は現時点(2022/08)でおそらくありません。
重要ポイント
ゼロトラスト - 3つの原則
- 明示的に検証する
- 最小限の特権アクセス
- セキュリティ侵害を想定する
IDの概念
- 新しいセキュリティ境界
- ユーザー、アプリケーション、デバイスなどに関連付ける
- ID管理の基本概念
- 管理
ユーザー、デバイス、およびサービスのIDを作成し管理する。
- 認証
特定のIDについて、身元の保証に十分な証拠があるかどうかを検証する。
- 承認 (認可)
認証されたユーザーまたはサービスが、アクセス先のアプリケーションまたはサービス内で持つアクセスのレベルを決定する。
- 監査
認証されたユーザーまたはサービスが、何を、いつ、どこで、どのように行うかを追跡する。
Azure Active Directory (Azure AD)
- クラウドベースのID、アクセス管理サービス
- 次の種類のID管理を提供する
- ユーザー
従業員、またはゲストがAzure ADのユーザーとして表す。
- サービスプリンシパル
アプリケーション単位で特定のリソースにアクセスするためのIDを提供する。
- マネージドID
認証されたユーザーまたはサービスが、アクセス先のアプリケーションまたはサービス内で持つアクセスのレベルを決定する。
- デバイスID
- 登録済みデバイス
個人所有のデバイス、個人用のMicrosoftアカウントを用いてサインインする。
- 参加済みデバイス
組織によって所有されたクラウドのデバイス、 組織の Azure AD アカウントを使用してサインインする。
- ハイブリッド Azure AD 参加済みデバイス
通常、組織所有のデバイス、Active Directory Domain Services アカウントを使用してサインインするクラウドとオンプレミスに存在する。
- Azure ADの多要素認証 (MFA)
次の認証方法のうち2つ以上を要求する。
- パスワード
- デバイス
- ユーザー自身(指紋スキャンや顔面認識などの生体認証)
- パススルー認証
- オンプレミスのソフトウェアを使用して、Azure AD 認証サービスに簡単なパスワード検証を提供する。
- クラウド側でのパスワード検証は行わない。
IDの保護とガバナンス機能
- Azure AD Privileged Identity Management (PIM)
- 管理者のアクセスを制限および監査を行う
- 対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減する。
- Azure Identity Protection
- IDベースのリスクを検出して修正する。
- リスクの種類と検出
- サインインリスク
特定の認証要求がID所有者によって承認されていない可能性
- ユーザーリスク
認証されたユーザーが不正なアクションを行う可能性
- Azure ADの使用条件
データまたはアプリケーションにアクセスする前に、ユーザーに情報を提示する。
- 条件付きアクセスポリシー
ユーザーがアプリケーションにアクセスする前にそれらの条件に必ず同意するようにする。
セキュリティソリューションの機能
- ネットワークセキュリティグループ(NSG)
仮想マシンなど、仮想ネットワーク内に存在する リソースとの間のネットワークトラフィックを制御する。
- Azure DDoS Protection
ネットワークトラフィックを分析し、DDoS 攻撃とみなされるものはすべて破棄する。
- Azure Firewall
攻撃者から Azure 仮想ネットワーク(Vnet) リソースを保護する。
- Azure Bastion
ブラウザーと Azure portal を使用して仮想マシンに接続できるようにする。
- Webアプリケーション ファイアウォール (WAF)
一般的な脆弱性からWebアプリケーションを集中的に保護する。
セキュリティ管理機能
- Azure Security Center
- アプリケーション全体のセキュリティ体制を強化する。
- セキュリティスコアをパーセントで表示する。
Microsoft Sentinel
- スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM)
- セキュリティオーケストレーション自動応答 (SOAR) ソリューション
- 組織のセキュリティ態勢の評価をセキュリティスコアとして算出する。
Microsoft 365 Defender
- Microsoft Defender for Identity
- ユーザーの動作とアクティビティを監視する。
- ユーザーのIDを保護して攻撃面を減らす。
- 不審なアクティビティと高度な攻撃を特定する。
- アラートとユーザーアクティビティを調査する。
- Microsoft Defender for Office 365
- 悪意のあるメールメッセージやリンク (URL) によってもたらされる脅威から組織を守る。
- Microsoft Defender for Endpoint
- 企業ネットワークのセキュリティの状態を動的に評価する。
- デバイス向けのMicrosoftセキュアスコアを算出する。
- Microsoft Defender for Cloud
- リソースの強化、セキュリティ体制の追跡、サイバー攻撃からの保護、セキュリティ管理の効率化を行う。
- セキュリティ構成のレポートを出力する。
情報保護とガバナンスの機能
- 秘密度ラベルとポリシー
- 電子メールとドキュメントを暗号化する。
- サイトやグループなどのコンテナー内のコンテンツを保護する。
- データ損失防止ポリシー (DLP)
- Teamsのチャット、チャネルで機密情報を共有するのを防ぐ。
- 機密情報がメッセージ、ファイル内のどちらにあっても防止可能
- 情報バリア
- 特定のユーザーまたはグループの相互通信を防ぐ。
Azureのリソースガバナンス機能
- Azure Resource Managerロック
- リソースが誤って削除または変更されるのを防ぐ。
- 親スコープでロックを適用すると、そのスコープ内のすべてのリソースは同じロックを継承する。
- Azure Policy
- 組織全体で標準を適用し、コンプライアンスを評価する。
- Azure Blueprint
- 組織のコンプライアンス要件に準拠していることを認識した上で、新しい環境を迅速にデプロイする。
- ロールベースのアクセス制御 (RBAC)
- ユーザーがそのリソースで何を実行できるか、どの領域にアクセスできるかを管理する。
コメント
コメントを投稿