[資格]SC-900 Microsoft セキュリティ、コンプライアンス、IDの基礎

-

SC-900について

概要

セキュリティ、コンプライアンス、ID の概念、アクセス管理ソリューションの機能、Microsoft セキュリティ ソリューションの機能、Microsoft コンプライアンス ソリューションの機能についての知識を問われる試験です。

https://docs.microsoft.com/ja-jp/certifications/exams/sc-900

試験

試験コード SC-900
合格ライン 700点 / 900点
問題数 45-48問程度
試験時間 45分程度

※問題数と試験時間について公式に記載はありませんが、おそらく他の基礎コースと同程度と思われます。

事前対策

事前対策としてはAI-900と同様に、オンライントレーニングで受講した内容と、公式ドキュメント(WEB)を使って対策していきます。

また、以下にサンプル問題が公開されているので参考にしました。

https://docs.microsoft.com/ja-jp/certifications/resources/sc-900-sample-questions

※日本語の参考書・テキスト等は現時点(2022/08)でおそらくありません。

重要ポイント

ゼロトラスト - 3つの原則

  1. 明示的に検証する
  2. 最小限の特権アクセス
  3. セキュリティ侵害を想定する

IDの概念

  • 新しいセキュリティ境界
  • ユーザー、アプリケーション、デバイスなどに関連付ける
  • ID管理の基本概念
    1. 管理

      ユーザー、デバイス、およびサービスのIDを作成し管理する。

    2. 認証

      特定のIDについて、身元の保証に十分な証拠があるかどうかを検証する。

    3. 承認 (認可)

      認証されたユーザーまたはサービスが、アクセス先のアプリケーションまたはサービス内で持つアクセスのレベルを決定する。

    4. 監査

      認証されたユーザーまたはサービスが、何を、いつ、どこで、どのように行うかを追跡する。

Azure Active Directory (Azure AD)

  • クラウドベースのID、アクセス管理サービス
  • 次の種類のID管理を提供する
    1. ユーザー

      従業員、またはゲストがAzure ADのユーザーとして表す。

    2. サービスプリンシパル

      アプリケーション単位で特定のリソースにアクセスするためのIDを提供する。

    3. マネージドID

      認証されたユーザーまたはサービスが、アクセス先のアプリケーションまたはサービス内で持つアクセスのレベルを決定する。

    4. デバイスID
      • 登録済みデバイス

        個人所有のデバイス、個人用のMicrosoftアカウントを用いてサインインする。

      • 参加済みデバイス

        組織によって所有されたクラウドのデバイス、 組織の Azure AD アカウントを使用してサインインする。

      • ハイブリッド Azure AD 参加済みデバイス

        通常、組織所有のデバイス、Active Directory Domain Services アカウントを使用してサインインするクラウドとオンプレミスに存在する。

  • Azure ADの多要素認証 (MFA)

    次の認証方法のうち2つ以上を要求する。

    1. パスワード
    2. デバイス
    3. ユーザー自身(指紋スキャンや顔面認識などの生体認証)
  • パススルー認証
    • オンプレミスのソフトウェアを使用して、Azure AD 認証サービスに簡単なパスワード検証を提供する。
    • クラウド側でのパスワード検証は行わない。

IDの保護とガバナンス機能

  • Azure AD Privileged Identity Management (PIM)
    • 管理者のアクセスを制限および監査を行う
    • 対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減する。
  • Azure Identity Protection
    • IDベースのリスクを検出して修正する。
    • リスクの種類と検出
      • サインインリスク

        特定の認証要求がID所有者によって承認されていない可能性

      • ユーザーリスク

        認証されたユーザーが不正なアクションを行う可能性

  • Azure ADの使用条件

    データまたはアプリケーションにアクセスする前に、ユーザーに情報を提示する。

  • 条件付きアクセスポリシー

    ユーザーがアプリケーションにアクセスする前にそれらの条件に必ず同意するようにする。

セキュリティソリューションの機能

  • ネットワークセキュリティグループ(NSG)

    仮想マシンなど、仮想ネットワーク内に存在する リソースとの間のネットワークトラフィックを制御する。

  • Azure DDoS Protection

    ネットワークトラフィックを分析し、DDoS 攻撃とみなされるものはすべて破棄する。

  • Azure Firewall

    攻撃者から Azure 仮想ネットワーク(Vnet) リソースを保護する。

  • Azure Bastion

    ブラウザーと Azure portal を使用して仮想マシンに接続できるようにする。

  • Webアプリケーション ファイアウォール (WAF)

    一般的な脆弱性からWebアプリケーションを集中的に保護する。

セキュリティ管理機能

  • Azure Security Center
    • アプリケーション全体のセキュリティ体制を強化する。
    • セキュリティスコアをパーセントで表示する。

Microsoft Sentinel

  • スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM)
  • セキュリティオーケストレーション自動応答 (SOAR) ソリューション
  • 組織のセキュリティ態勢の評価をセキュリティスコアとして算出する。

Microsoft 365 Defender

  • Microsoft Defender for Identity
    • ユーザーの動作とアクティビティを監視する。
    • ユーザーのIDを保護して攻撃面を減らす。
    • 不審なアクティビティと高度な攻撃を特定する。
    • アラートとユーザーアクティビティを調査する。
  • Microsoft Defender for Office 365
    • 悪意のあるメールメッセージやリンク (URL) によってもたらされる脅威から組織を守る。
  • Microsoft Defender for Endpoint
    • 企業ネットワークのセキュリティの状態を動的に評価する。
    • デバイス向けのMicrosoftセキュアスコアを算出する。
  • Microsoft Defender for Cloud
    • リソースの強化、セキュリティ体制の追跡、サイバー攻撃からの保護、セキュリティ管理の効率化を行う。
    • セキュリティ構成のレポートを出力する。

情報保護とガバナンスの機能

  • 秘密度ラベルとポリシー
    • 電子メールとドキュメントを暗号化する。
    • サイトやグループなどのコンテナー内のコンテンツを保護する。
  • データ損失防止ポリシー (DLP)
    • Teamsのチャット、チャネルで機密情報を共有するのを防ぐ。
    • 機密情報がメッセージ、ファイル内のどちらにあっても防止可能
  • 情報バリア
    • 特定のユーザーまたはグループの相互通信を防ぐ。

Azureのリソースガバナンス機能

  • Azure Resource Managerロック
    • リソースが誤って削除または変更されるのを防ぐ。
    • 親スコープでロックを適用すると、そのスコープ内のすべてのリソースは同じロックを継承する。
  • Azure Policy
    • 組織全体で標準を適用し、コンプライアンスを評価する。
  • Azure Blueprint
    • 組織のコンプライアンス要件に準拠していることを認識した上で、新しい環境を迅速にデプロイする。
  • ロールベースのアクセス制御 (RBAC)
    • ユーザーがそのリソースで何を実行できるか、どの領域にアクセスできるかを管理する。

コメント

コメントを投稿

このブログの人気の投稿

docker-compose up で proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host

-
いつものように docker-compose コマンドでコンテナを起動し作業しようとしたところ、件名のエラーが発生するようになりました。 特に何も構成等を変更した覚えはないのですが、調査・復旧したので対応した内容をまとめておきます。 環境、バージョン等 $ cat /etc/issue Ubuntu 20.04.3 LTS \n \l $ docker --version Docker version 20.10.8, build 3967b7d $ docker-compose --version docker-compose version 1.26.0, build d4451659 発生事象 コンテナを起動する docker-compose up -d でコンテナを起動します。 $ docker-compose up -d Pulling mysql (mysql:5.7)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host 「プロキシーサーバーが見つからない」と言われているようですが、全く見に覚えがありませんでした。 テスト用Dockerプロジェクトで試す 以前の記事 で紹介したテスト用プロジェクトでも一応試したましたが同様のエラーでした。 $ docker-compose up -d Pulling web (nginx:alpine)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host Docker ログイン Dockerへのログインを試したところ、こちらも同様のエラーが出ました。 $ docker login Authenticating with existing credentials... Login did not succeed, error: Error response from daemon: G
Read more »

docker-compose で起動したweb、MySQLに接続できない事象

-
イメージ
概要 以前作成したPHP + MySQL + LaravelのDockerプロジェクトがコンテナを立ち上げても画面にアクセスできなくなってしまったときの解決方法です。 以前の記事は以下です。 【Laravel + MySQL】Dockerで開発環境を作る https://www.s-watanabe.work/2020/12/laravel-mysqldocker.html 発生事象 コンテナを起動 $ docker-compose up -d Starting laravel-project_mysql_1 ... done Starting laravel-project_app_1 ... done Starting laravel-project_web_1 ... done ブラウザでアクセス いつものようにブラウザでアクセスしますが接続できません。 http://localhost:8000 ※この時Docker側のログには何も出力されません。 MySQLへ接続 MySQLも確認してみましたが同じく接続できなくなりました。 $ mysql -h 127.0.0.1 -u user -ppassword -D test mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 2013 (HY000): Lost connection to MySQL server at 'reading initial communication packet', system error: 2 調査・確認 まず以下の記事を参考に新規のDockerプロジェクトが起動・接続できるかを確認しました。 https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-compose-on-ubuntu-20-04-ja # docker-compose はインストール済み $ docker-compose --version docker-compose version 1.26.0, build d
Read more »

【PHP】PHP_CodeSnifferを使う(コーディングルールのカスタマイズ)

-
phpcsを社内独自のコーディン規約などにあわせてカスタマイズする方法をまとめます。 インストールディレクトリ 以下のディレクトリにインストールされてます。 ~/.composer/vendor/squizlabs/php_codesniffer/ -rw-r--r-- 1 638 10 28 13:36 CONTRIBUTING.md -rw-r--r-- 1 187 11 26 12:08 CodeSniffer.conf.dist -rw-r--r-- 1 6399 10 28 13:36 README.md -rw-r--r-- 1 10085 10 28 13:36 autoload.php drwxr-xr-x 6 192 10 28 13:36 bin -rw-r--r-- 1 1083 10 28 13:36 composer.json -rw-r--r-- 1 1533 10 28 13:36 licence.txt -rw-r--r-- 1 6280 10 28 13:36 phpcs.xml.dist -rw-r--r-- 1 7054 10 28 13:36 phpcs.xsd -rw-r--r-- 1 340 10 28 13:36 phpstan.neon drwxr-xr-x 5 160 10 28 13:36 scripts drwxr-xr-x 16 512 10 28 13:36 src drwxr-xr-x 9 288 10 28 13:36 tests 設定ファイルを用意する CodeSniffer.conf.dist が雛形なのでこれをcpしてやればOKです。 cd ~/.composer/vendor/squizlabs/php_codesniffer/ cp CodeSniffer.conf.dist CodeSniffer.conf コーディングルールのカスタマイズ CodeSniffer.conf <?php $phpCodeSnifferConfig = array ( 'default_standard' => 'PSR2', 'repo
Read more »