先日SC-200に合格した。 AZ-900と同じようにサクッと合格しておきたかったが、一度不合格となってしまい勉強方法を試行錯誤をした結果の合格となった。 SC-200は情報が少ない。AZ-900に比べてSC-200は合格記の数があまりにも少なく、現時点で日本語の参考書も存在しない。 この受験記がSC-200を受ける方の参考になれば幸いである。

忙しい人はここだけ読めばOK

• SC-200を受験して 750点で合格した (700点以上で合格)
• 合計2.5週間ほど勉強した (1日3時間)
  • MS主催の「SC-200 Microsoft セキュリティ運用アナリスト 試験対策講座」は不定期開催だがオススメ (https://msevents.microsoft.com/event?id=430405967)
  • ExamTopicsの問題は精度が良い。勉強になるかは微妙だが、絶対に受かりたいという人にはオススメ (https://www.examtopics.com/exams/microsoft/sc-200/view/)
  • 試験中にMicrosoft Learnが閲覧できる。活用するためにもMicrosoft Learnには目を通しておこう
• 2度受験したうち、2回目は新形式の試験だった
  • 旧試験と被っている問題もそこそこある。「いますぐ受けるのはタイミングが悪いのでは？」という心配は不要だと考える

前置き

受験の経緯

先日AZ-900というAzureの基礎を問われる初級資格に合格し「次はなにを受けようかな...」とぼんやり考えていた。 そんなとき、上司から「こんな講座あるんだけど受けてみない？」とアドバイスを受け、SC-200試験対策講座を受講することになった。

msevents.microsoft.com

この講座の中で、講師から「4月末には試験要項が新しくなるから、前の試験要項で受けたいなら早めに受けるべき」というアドバイスを聞き、さっさと倒しておいたほうが良さそうだと思い受験を決意した。 英語版の試験は2024年3月4日に更新され、日本語版はその6～8週間後に更新となる。つまり遅くとも2024年4月29日には日本でも新形式の試験に移行してしまうのだ。

SC-200とは？

SC-200 (Microsoft Certified: Security Operations Analyst Associate) はその名のとおりセキュリティアナリスト向けの資格だ。 この記事を書いている時点ですでに新形式の試験に移行済みのため、新しい試験で要求されるスキルを以下から引用する。 試験範囲は定期的に変わるので、これから受けるという方はこのページで最新情報を確認しておこう。

learn.microsoft.com

---

この試験の受験者は、以下を行うことで組織のリスクを軽減する Microsoft セキュリティ オペレーション アナリストです。

• クラウドおよびオンプレミス環境内のアクティブな攻撃を迅速に修復する。
• 脅威保護プラクティスの改善に関して助言する。
• 組織ポリシーの違反を特定する。

セキュリティ オペレーション アナリストは、次のことを行います。

• トリアージを実行する。
• インシデントに対応します。
• 脆弱性を管理する。
• 脅威を追及する。
• ログを評価する。
• 脅威インテリジェンスを分析する。

また、以下を使用して、クラウドおよびオンプレミス環境内の脅威を監視、特定、調査し、それに対応します。

• Microsoft Sentinel
• Microsoft Defender for Cloud
• Microsoft Defender XDR
• サードパーティのセキュリティ ソリューション

このロールでは、レポート、検出、調査に Kusto 照会言語 (KQL) を使用します。 ビジネスの利害関係者、アーキテクト、クラウド管理者、エンドポイント管理者、ID 管理者、コンプライアンス管理者、セキュリティ エンジニアと共同作業して、デジタル企業をセキュリティで保護します。

候補として、次に精通している必要があります。

• Microsoft 365
• Azure Cloud Services
• Windows および Linux オペレーティング システム

スキルの概要

• セキュリティ オペレーション環境を管理する (25 – 30%)
• 保護と検出を構成する (15 – 20%)
• インシデント対応を管理する (35 – 40%)
• 脅威ハンティングを実行する (15 – 20%)

---

また、これはSC-200に限ったことではないが、AZ-900とは異なり「ケーススタディ」という形式の問題が出題される。いわゆる長文問題で、とある架空の企業について現状の課題や使っているMicrosoftサービスなどが記載されており、それに関する質問に答える形式だ。一度ケーススタディ問題に着手すると、以降それまで解いた問題を解き直すことはできないので注意が必要である。

受験結果

1回目 (4/20) は不合格、その翌週 (4/26) に再受験し合格となった。

2回目のスコアレポートではThreat huntingの項目が追加されており、新試験に移行したことがわかる。「試験範囲が変わる前に合格しておこう」という当初の目論見は失敗したが、合格できたので「終わり良ければ全て良し」だ。

1回目の受験 (不合格)

勉強方法

やったこと

1. SC-200 Microsoft セキュリティ運用アナリスト 試験対策講座
2. Microsoft Cloud Skill Challenge
3. Udemyの問題集

1. SC-200 Microsoft セキュリティ運用アナリスト 試験対策講座

2024/4/11にオンラインで開催された。事前申込が必要なので注意。平日開催のため参加できるかは業務次第だが、無料なのでぜひ参加しておくとよい。 4択問題の解説を60問程度行う形式で、試験範囲におけるポイントを7時間でじっくり学べる。実際にデモ環境の操作を見せてくれるので理解がしやすい。また、PDFで資料が配布されるので、あとで復習に使えるのも嬉しい。

msevents.microsoft.com

2. Microsoft Cloud Skills Challenge

Microsoft Cloud Skills Challengeとは、決められたMIcrosoft Learnのコンテンツを30日以内に完走すると半額クーポンが貰える、という神キャンペーンである。 SC-200の受験料は21102円 (2024/5現在) のため、1万円以上安くなる。

developer.microsoft.com

コースは資格ごとに用意されており、試験範囲となるMicrosoft Learnのコンテンツがまとまっている。もちろん私はSC-200のコースを受講した。 完全にクーポン目当てだったのでサクサク進めてしまったのだが、のちに失敗につながることになる...

3. Udemyの問題集

以前合格したAZ-900ではUdemyの問題集がとても参考になったので、その成功体験から今回もUdemyの問題集を活用することにした。 使用した問題集は下記。新着かつ700問を超える大ボリュームで2600円であり、かなりオトクだと感じた。

www.udemy.com

しかし、こちらはぶっちゃけ何の役にも立たなかった。 選択肢の作り方が不自然で、「他の選択肢が明らかに違うことを言ってるからこれだな」と推測で正解できてしまい、あまり勉強にならなかった。

受験当日の様子

土曜日の午前中に新宿のテストセンターで受験した。 テストセンターでの受付の様子はAZ-900の受験記にて詳細を書いているので、興味のある方はあわせて読んでほしい。

qontoso.hatenablog.com

テストが開始し問題を見た瞬間に「あ、これは落ちたな」と悟った。 試験対策講座で学んだ内容は多少出たものの、Udemyの問題集の内容はほとんど出ず。 Microsoft Defender for CloudやMicrosoft Sentinelについて、ただ知っているだけでは解けず、どう構築・運用するかも含めて勉強していないと解けない問題が多い印象だった。

また、試験後半でケーススタディに移行し問題を解いている途中で、ふと、メニュー画面に見慣れないマークがあることに気づく。 おそるおそるクリックするとMicrosoft Learnが表示され、「えっ！？試験中にMicrosoft Learn見ていいの？」と驚いた。 すでにケーススタディ問題を解き始めていたため、前の問題を解き直すことができず、そのまま終了時刻を迎えてしまった。

手応えはなかったが「ワンチャンあるかも？」という淡い期待を抱きながら結果を確認すると、不合格の画面が表示された...

「Microsoft Learnが使えることを知っていれば...」「試験要項をちゃんと読んでおけばよかった...」など帰り道で色々後悔しつつ帰宅。 PCの電源をつけて試験要項を確認したが、Microsoft Learnが使えるということは一言も書かれていなかった。書かれてないならしょうがないか、と気持ちを入れ替えて次の試験を予約した。

2回目の受験 (合格)

勉強方法

1. Microsoft Cloud Skills Challengeに再度取り組む
2. ExamTopics

1. Microsoft Cloud Skills Challengeに再度取り組む

試験中にMicrosoft Learnを使えることを知ったので、最低限どこに何が書かれているかは抑えておこうと思い、Microsoft Cloud Skills ChallengeのSC-200コースを再度一周した。 1回目のときにもっと真面目に取り組んでおけばよかった。

2. ExamTopics

1回目はUdemyの問題集を使ったが、微妙だったので他の問題集を探した。 他の方の受験記でExamTopicsというサイトが紹介されていた。

https://www.examtopics.com/exams/microsoft/sc-200/

「無料でできるしとりあえずやっておくか」と軽い気持ちで取り組んでみたのだが意外と良かった。(全283問のうち無料で閲覧できるのは60問)

Udemyの問題集よりも問題形式が本番に近く、また、同じ問題が試験でもいくつか出たのでとても助かった。最短で試験に合格したいならExamTopicsはとてもオススメできる。しかし、資格勉強で身につけた知識を業務に活かしたい、というスタンスの方にはあまりオススメできない。

私はどちらかというと後者なので、今後Microsoftの資格勉強をする際はしっかりとMicrosoft Learnなどで基礎固めする方針としたい。

受験当日の様子

再度新宿のテストセンターで受験。 週末は予定が入っていたため、金曜の夜に受験した。「仕事終わりで集中できないかも」と心配していたが杞憂だった。

試験開始後、最初にケーススタディの問題が登場して驚いた。 ケーススタディが出てくる順番がランダムなのか、それとも新形式の試験で変更になったのかはわからない。ケーススタディ問題に着手してしまうとそれまで解いていた問題の解き直しができなくなるため、個人的には先にケーススタディを解くほうが時間を有効活用できてよいと思った。

今回は試験中にMicrosoft Learnが使えることを有効活用すべく、ぱっと見わからない問題はマークだけつけておき、ひととおり解いたあとに調べながら解く、というやり方にした。 いくらMicrosoft Learnが試験中に使えるといっても、全問ちゃんと調べようとすると時間が足りなくなる。また、Microsoft Learnで検索しても思い通りの内容が出てこないこともあるので、やはり勉強は必要だなと感じた。

試験時間をギリギリまでMicrosoft Learnでの調査に使い試験終了。合格の文字と花火の画像が画面に表示された。

感想

Microsoft Learnなどを駆使しながらなんとかSC-200に合格できた。業務で扱っているSentinelなどの知識が証明できたので、今後は自信を持って業務を進められそうだ。 次はセキュリティ全般についての知識が問われるAZ-500を受けようと思う。