AZ-500を取得しようと思います。AZ-500はセキュリティエンジニアの試験です。合格すると、Azure Security Engineer Associateを取得することができます。
試験情報
試験は、150分で、問題数は40問~60問程度。合格点は700点となります。出題数によりますが、28問~42問程度正解(12問~18問落とせる)すればおおよそ合格できる計算です。
出題範囲
詳しい出題範囲については、以下、MSLearnにアクセス頂いて、そこから「ヒント」にあるAZ-500学習ガイドをダウンロードして見るのが良いと思います。
試験 AZ-500: Microsoft Azure セキュリティ テクノロジ - Certifications | Microsoft Learn
英語なので、DeepLなどでpdfごと日本語翻訳するのが良いかもしれません。
さて、学習ガイドによると、出題分野とパーセンテージは以下のとおりです。
- アイデンティティとアクセスの管理(30-35%)
- プラットフォーム保護機能の実装 (15-20%)
- セキュリティ運用管理(25-30%)
- データおよびアプリケーションの安全性 (25-30%)
「プラットフォーム保護機能の実装」が最もパーセンテージが小さいので、これ以外を優先する形で学習するのが良いと思われます。
それぞれの分野についての詳細も学習ガイドに記載がありますので、日本語訳を抜粋します。
アイデンティティとアクセスの管理(30-35%)
- Azure Active Directory (Azure AD)のアイデンティティの管理
- Azureリソース用のマネージドIDの作成と管理
- Azure ADグループの管理
- Azure ADユーザーの管理
- Azure ADを利用した外部IDの管理
- 管理部門の管理
- Azure ADによるセキュアなアクセス管理
- Azure AD Privileged Identity Management (PIM)の設定
- 多要素認証を含む条件付きアクセスポリシーの実装
- Azure AD Identity Protectionの実装
- パスワードレス認証の導入
- アクセスレビューの設定
- アプリケーションのアクセス管理
- シングルサインオン(SSO)とIDプロバイダを統合して認証を行う
- アプリ登録の作成
- アプリの登録許可スコープを設定する
- アプリ登録許可同意の管理
- AzureサブスクリプションとリソースへのAPIアクセス権を管理する
- サービスプリンシパルの認証方式を設定する
- アクセスコントロールの管理
- 管理グループ、サブスクリプション、リソースグループ、およびリソースに対するAzureロールの権限を設定する。
- 役割とリソースの権限を解釈する
- Azure ADの組み込みロールを割り当てる
- AzureロールやAzure ADロールを含む、カスタムロールの作成と割り当て
プラットフォーム保護機能の実装 (15-20%)
- 高度なネットワークセキュリティの実装
- ハイブリッドネットワークの接続性を確保
- 仮想ネットワークの接続性を確保
- Azure Firewallの作成と設定
- Azure Firewall Managerの作成と設定
- Azure Application Gatewayの作成と設定
- Azure Front Doorの作成と設定
- Web Application Firewall (WAF)の作成と設定
- ストレージアカウント、Azure SQL、Azure Key Vault、または Azure App Service を含むリソースファイアウォールを設定する。
- Web AppsとAzure Functionsのネットワーク分離を設定する
- Azureサービスエンドポイントの実装
- Azure Private Endpointsの実装(他のサービスとの統合を含む
- Azureプライベートリンクの実装
- Azure DDoS Protectionの実装
- コンピュート用の高度なセキュリティの設定
- 仮想マシン(VM)に対するEndpoint Protectionの設定
- VMのセキュリティアップデートの実装と管理
- コンテナサービスのセキュリティ設定
- Azure Container Registryへのアクセス管理
- サーバーレスコンピュートのためのセキュリティ設定
- Azure App Service のセキュリティを設定する
- 静止時の暗号化設定
- 転送中の暗号化設定
セキュリティ運用管理(25-30%)
- ポリシーの一元管理を設定する
- カスタムセキュリティポリシーを設定する
- 政策イニシアチブの構築
- Azure Policyを利用したセキュリティ設定と監査の設定
- 脅威防御の設定と管理
- Microsoft Defender for Serversの設定(Microsoft Defender for Endpointは含まず)
- Microsoft Defender for Cloudによる脆弱性スキャンの評価
- Microsoft Defender for SQLの設定
- Microsoft Threat Modeling Toolの使用
- セキュリティ監視ソリューションの設定と管理
- Azure Monitorを使ったアラートルールの作成とカスタマイズ
- Azure Monitorを使った診断ログの設定とログ保持の設定
- Azure Monitorでセキュリティログを監視する
- Microsoft Sentinelでのアラートルールの作成とカスタマイズ
- Microsoft Sentinelのコネクタを設定する
- Microsoft Sentinelのアラートとインシデントを評価する
データおよびアプリケーションの安全性 (25-30%)
- ストレージのセキュリティ設定
- ストレージアカウントのアクセス制御を設定する
- ストレージアカウントのアクセスキーの設定
- Azure Storage と Azure Files の Azure AD 認証を設定する。
- 委任されたアクセスの設定
- データに対するセキュリティの設定
- Azure ADを使用したデータベース認証を有効にする
- データベース監査を有効にする
- SQLワークロードの動的マスキング設定
- Azure SQL Databaseのデータベース暗号化の実装
- Azure Synapse AnalyticsやAzure Cosmos DBを含むデータソリューションのネットワーク分離を実現
- Azure Key Vaultの設定と管理
- Key Vaultの作成と設定
- Key Vaultへのアクセスを設定する
- 証明書、シークレット、キーの管理
- キーローテーションの設定
- 証明書、秘密鍵、鍵のバックアップとリカバリを設定する
以上が出題範囲です。だいぶ具体的になってきた気はしますが、これらをどのように学習していくか計画が必要です。
学習計画
ということで、学習計画です。以下の2つを実施しようと思います。いずれも実環境に触れながら学習を進めていこうかなと。
1. 参考書を読むのと、模擬試験を実施
まずは先日、AZ-500の参考書が発売されたので、こちらを読んで、巻末の模擬試験を実施しようと思います。
この本では、AZ-500の学習範囲が、章立てと一致していて勉強を進めやすいです。以下のような感じです。
- アイデンティティとアクセスの管理(30-35%) → 2章
- プラットフォーム保護機能の実装 (15-20%) → 3章
- セキュリティ運用管理(25-30%)→ 4章
- データおよびアプリケーションの安全性 (25-30%) → 5章
なお、1章はAZ-500に関する説明となっています。
2.MSLearn
次に、先程の学習ガイドにあるMS-Learnに目を通しながら、参考書を復習していこうと思います。
まとめ
早速、学習を進めていこうと思います。あまり時間をかけず、10月中旬には取得できると良いなぁ。