試験 AZ-500: Microsoft Azure セキュリティ テクノロジの学習ガイド
このドキュメントの目的
この学習ガイドは、この試験で想定される内容を理解するのに役立つもので、試験に出る可能性のあるトピックの概要と、その他のリソースへのリンクが掲載されています。 このドキュメントの情報と資料は、試験の準備を進めるときに学習の焦点を合わせるのに役立ちます。
| 便利なリンク | 説明 |
|---|---|
| 2024 年 4 月 30 日時点の評価されるスキルを確認する | この一覧は、指定された日付以降の評価されるスキルを示しています。 この日付以降に受験する予定であれば、この一覧を確認してください。 |
| 2024 年 4 月 30 日より前の評価されるスキルを確認する | 指定された日付より前に受験する予定であれば、この一覧を確認してください。 |
| ログの変更 | 指定された日付に行われた変更を確認する場合、変更ログに直接進むことができます。 |
| 認定資格の取得方法 | 1 つの試験に合格するだけで取得できる認定資格もありますが、それ以外は、複数の試験に合格する必要があります。 |
| 認定資格の更新 | Microsoft のアソシエイト、エキスパート、専門の認定資格は、毎年有効期限が切れます。 Microsoft Learn で無料のオンライン評価に合格すると、更新できます。 |
| Microsoft Learn プロファイル | 認定プロファイルを Microsoft Learn に接続すると、試験のスケジュール設定と更新、および証明書の共有と印刷を行うことができます。 |
| 試験スコアとスコアレポート | 合格するには、700 以上のスコアが必要です。 |
| 試験サンドボックス | 試験サンドボックスにアクセスして、試験の環境を確認できます。 |
| 便宜を要求する | 支援機器を使用する場合、時間延長が必要な場合、または試験エクスペリエンスのいずれかの部分を変更する必要がある場合は、便宜を図るよう要求できます。 |
| 無料の練習用評価を受ける | 試験対策用の練習問題で実力を試すことができます。 |
試験の更新
試験は、ロールを実行するために必要なスキルを反映するように定期的に更新されます。 試験を受けるタイミングに応じて、2 つのバージョンの評価されるスキルの目標が含まれています。
常に、英語版の試験が最初に更新されます。 一部の試験は他の言語にローカライズされており、英語版が更新されてから約 8 週間後に更新されます。 Microsoft では、前述のようにローカライズ版を更新するためにあらゆる努力を行いますが、場合によっては、予定どおりに試験のローカライズ版が更新されないことがあります。 その他の利用可能な言語は、試験の詳細 Web ページの「試験のスケジュール設定」セクションに表示されます。 試験が希望する言語で実施されていない場合、試験完了までの時間を 30 分延長するように要求できます。
注
評価される各スキルの後に続く箇条書きは、そのスキルをどのようにして評価するかを説明することを目的としています。 関連するトピックが試験に出題される可能性があります。
注
ほとんどの問題は一般提供 (GA) の機能について出題されます。 プレビュー機能が一般的に使用されている場合は、これらの機能に関する問題が試験に含まれることがあります。
2024 年 4 月 30 日時点の評価されるスキル
視聴者プロフィール
Azure セキュリティ エンジニアは、エンドツーエンドのインフラストラクチャの一部として、Azure、マルチクラウド、ハイブリッド環境のリソースのセキュリティを実装、管理、監視します。 以下を保護するために、セキュリティのコンポーネントと構成を推奨してください。
ID とアクセス
データ
アプリケーション
ネットワーク
Azure セキュリティ エンジニアとしての責任は次のとおりです。
セキュリティ態勢の管理。
脆弱性の特定と修正。
脅威モデリングの実行。
脅威保護の実装。
セキュリティ インシデントへの対応に参加することもあります。 Azure セキュリティ エンジニアは、アーキテクト、管理者、開発者と協力して、セキュリティとコンプライアンスの要件を満たすソリューションを計画および実装します。
次のことが必要です。
Microsoft Azure およびハイブリッド環境の管理に関する実務経験。
Azure のコンピューティング、ネットワーク、ストレージおよび Microsoft Entra ID に関する深い知識。
スキルの概要
ID とアクセスを管理する (25 - 30%)
セキュリティで保護されたネットワーク (20 - 25%)
コンピューティング、ストレージ、データベースのセキュリティ保護 (20 - 25%)
セキュリティ オペレーションを管理する (25 - 30%)
ID とアクセスを管理する (25 - 30%)
Microsoft Entra の ID を管理する
Microsoft Entra ユーザーをセキュリティで保護する
Microsoft Entra グループをセキュリティで保護する
どのようなときに外部 ID を使用するかを推奨する
外部 ID をセキュリティで保護する
Microsoft Entra ID Protection を実装する
Microsoft Entra 認証を管理する
多要素認証 (MFA) を実装する
Microsoft Entra Verified ID を構成する
パスワードレス認証を実装する
パスワード保護を実装する
シングル サインオン (SSO) を実装する
シングル サインオン (SSO) と ID プロバイダーを統合する
最新の認証プロトコルを推奨して適用する
Microsoft Entra 認可を管理する
管理グループ、サブスクリプション、リソース グループ、リソースに対する Azure ロールのアクセス許可を構成する
Microsoft Entra 組み込みロールを割り当てる
Azure 組み込みロールを割り当てる
Azure ロールと Microsoft Entra ロールを含む、カスタム ロールを作成して割り当てる
Microsoft Entra Permissions Management を実装して管理する
Microsoft Entra Privileged Identity Management を構成する
Microsoft Entra でロール管理とアクセス レビューを構成する
条件付きアクセス ポリシーを実装する
Microsoft Entra アプリケーション アクセスを管理する
OAuth アクセス許可の許可を含め、Microsoft Entra ID 内でエンタープライズ アプリケーションへのアクセスを管理する
Microsoft Entra アプリの登録を管理する
アプリ登録のアクセス許可スコープを構成する
アプリ登録のアクセス許可の同意を管理する
サービス プリンシパルを管理および使用する
Azure リソースのマネージド ID を管理する
認証を含め、Microsoft Entra アプリケーション プロキシをどのような場合に使用および構成するかについて推奨する
セキュリティで保護されたネットワーク (20 - 25%)
仮想ネットワークのセキュリティを計画して実装する
ネットワーク セキュリティ グループ (NSG) およびアプリケーション セキュリティ グループ (ASG) を構成して実装する
ユーザー定義ルート (UDR) を計画して実装する
仮想ネットワーク ピアリングまたは VPN ゲートウェイを計画して実装する
セキュリティ保護付き仮想ハブを含む Virtual WAN を計画して実装する
ポイント対サイトやサイト間などの VPN 接続をセキュリティで保護する
ExpressRoute 上で暗号化を実装する
PaaS リソースでファイアウォール設定を構成する
Network Watcher を使用してネットワーク セキュリティを監視する (NSG フロー ログなど)
Azure リソースへのプライベート アクセスのセキュリティを計画して実装する
仮想ネットワーク サービス エンドポイントを計画して実装する
プライベート エンドポイントを計画して実装する
Private Link サービスを計画して実装する
Azure App Service と Azure Functions のネットワーク統合を計画して実装する
App Service Environment (ASE) のネットワーク セキュリティ構成を計画して実装する
Azure SQL Managed Instance のネットワーク セキュリティ構成を計画して実装する
Azure リソースへのパブリック アクセスのセキュリティを計画して実装する
Azure App Service や API Management を含め、アプリケーションへのトランスポート層セキュリティ (TLS) を計画して実装する
Azure Firewall Manager とファイアウォール ポリシーを含めて Azure Firewall を計画、実装、管理する
Azure Application Gateway を計画して実装する
Content Delivery Network (CDN) を含めて Azure Front Door を計画して実装する
Web Application Firewall (WAF) を計画して実装する
どのようなときに Azure DDoS Protection Standard を使用するかを推奨する
コンピューティング、ストレージ、データベースのセキュリティ保護 (20 - 25%)
コンピューティングの高度なセキュリティを計画して実装する
Azure Bastion や Just-In-Time (JIT) 仮想マシン (VM) アクセスを含め、パブリック エンドポイントへのリモート アクセスを計画して実装する
Azure Kubernetes Service (AKS) のネットワーク分離を構成する
AKS のセキュリティ保護と監視を行う
AKS の認証を構成する
Azure Container Instances (ACI) のセキュリティ監視を構成する
Azure Container Apps (ACA) のセキュリティ監視を構成する
Azure Container Registry (ACR) へのアクセスを管理する
Azure Disk Encryption (ADE)、ホストでの暗号化、機密ディスク暗号化を含む、ディスク暗号化を構成する
Azure API Management のセキュリティ構成を推奨する
ストレージのセキュリティを計画して実装する
ストレージ アカウントのアクセス制御を構成する
ストレージ アカウント アクセス キーのライフ サイクルを管理する
Azure Files にアクセスするための適切な方法を選択して構成する
Azure Blob Storage にアクセスするための適切な方法を選択して構成する
Azure Tables にアクセスするための適切な方法を選択して構成する
Azure Queues にアクセスするための適切な方法を選択して構成する
論理的な削除、バックアップ、バージョン管理、不変ストレージなど、データ セキュリティの脅威から保護するための適切な方法を選択して構成する
Bring Your Own Key (BYOK) を構成する
Azure Storage インフラストラクチャ レベルで二重暗号化を有効にする
Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する
Microsoft Entra データベース認証を有効にする
データベース監査を有効にする
Microsoft Purview ガバナンス ポータルのユース ケースを特定する
Microsoft Purview ガバナンス ポータルを使用して機密情報のデータ分類を実装する
動的マスクを計画して実装する
Transparent Data Encryption (TDE) を実装する
どのようなときに Azure SQL Database Always Encrypted を使用するかを推奨する
セキュリティ オペレーションを管理する (25 - 30%)
セキュリティのガバナンスを計画、実装、管理する
Azure Policy でセキュリティ ポリシーとイニシアチブを作成、割り当て、解釈する
Azure Blueprints を使用してセキュリティ設定を構成する
ランディング ゾーンを使用してセキュリティで保護されたインフラストラクチャをデプロイする
Azure Key Vault を作成して構成する
専用のハードウェア セキュリティ モジュール (HSM) を使用するタイミングを推奨する
コンテナー アクセス ポリシーや Azure ロール ベース アクセス制御を含めて Key Vault へのアクセスを構成する
証明書、シークレット、キーを管理する
キーのローテーションを構成する
証明書、シークレット、キーのバックアップと回復を構成する
Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する
Microsoft Defender for Cloud セキュア スコアとインベントリを使用して、セキュリティ リスクを特定して修復する
セキュリティ フレームワークと Microsoft Defender for Cloud に対するコンプライアンスを評価する
Microsoft Defender for Cloud に業界および規制の基準を追加する
Microsoft Defender for Cloud にカスタム イニシアチブを追加する
ハイブリッド クラウド環境とマルチクラウド環境を Microsoft Defender for Cloud に接続する
Microsoft Defender 外部攻撃面管理を使用して外部資産を特定して監視する
Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する
Microsoft Defender for Cloud (Microsoft Defender for Storage/Databases/Containers/App Service/Key Vault/Resource Manager を含む) でワークロード保護サービスを有効にする
Microsoft Defender for Servers を構成する
Azure SQL Database 用に Microsoft Defender を構成する
Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う
Microsoft Defender for Cloud を使用してワークフローの自動化を構成する
Microsoft Defender for Server による脆弱性スキャンを評価する
セキュリティ監視とオートメーション ソリューションを構成して管理する
Azure Monitor を使用してセキュリティ イベントを監視する
Microsoft Sentinel でデータ コネクタを構成する
Microsoft Sentinel で分析ルールを作成してカスタマイズする
Microsoft Sentinel でアラートとインシデントを評価する
Microsoft Sentinel でオートメーションを構成する
学習リソース
試験を受ける前に、トレーニングを行い、実践的な経験を積むことをお勧めします。 自己学習のオプションとクラスルーム トレーニングのほか、ドキュメント、コミュニティ サイト、ビデオへのリンクも提供しています。
ログの変更
表を理解するための鍵: トピック グループ (機能グループとも呼ばれます) は太字の書体で、その後に各グループ内の目的が続きます。 表は、この試験で評価されるスキルの 2 つのバージョンを比較したもので、3 番目の列は変更の程度を示しています。
| 2024 年 4 月 30 日より前のスキル領域 | 2024 年 4 月 30 日時点のスキル領域 | [変更点] |
|---|---|---|
| 視聴者プロフィール | Minor | |
| ID とアクセスを管理する | ID とアクセスを管理する | 変更なし |
| Microsoft Entra の ID を管理する | Microsoft Entra の ID を管理する | 変更なし |
| Microsoft Entra 認証を管理する | Microsoft Entra 認証を管理する | Minor |
| Microsoft Entra 認可を管理する | Microsoft Entra 認可を管理する | 変更なし |
| Microsoft Entra アプリケーション アクセスを管理する | Microsoft Entra アプリケーション アクセスを管理する | 変更なし |
| ネットワークのセキュリティ保護 | ネットワークのセキュリティ保護 | 変更なし |
| 仮想ネットワークのセキュリティを計画して実装する | 仮想ネットワークのセキュリティを計画して実装する | 変更なし |
| Azure リソースへのプライベート アクセスのセキュリティを計画して実装する | Azure リソースへのプライベート アクセスのセキュリティを計画して実装する | 変更なし |
| Azure リソースへのパブリック アクセスのセキュリティを計画して実装する | Azure リソースへのパブリック アクセスのセキュリティを計画して実装する | 変更なし |
| コンピューティング、ストレージ、データベースをセキュリティで保護する | コンピューティング、ストレージ、データベースをセキュリティで保護する | 変更なし |
| コンピューティングの高度なセキュリティを計画して実装する | コンピューティングの高度なセキュリティを計画して実装する | Minor |
| ストレージのセキュリティを計画して実装する | ストレージのセキュリティを計画して実装する | 変更なし |
| Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する | Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する | Minor |
| セキュリティ オペレーションを管理する | セキュリティ オペレーションを管理する | 変更なし |
| セキュリティのガバナンスを計画、実装、管理する | セキュリティのガバナンスを計画、実装、管理する | 変更なし |
| Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する | Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する | 変更なし |
| Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する | Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する | Minor |
| セキュリティ監視とオートメーション ソリューションを構成して管理する | セキュリティ監視とオートメーション ソリューションを構成して管理する | 変更なし |
2024 年 4 月 30 日より前の評価されるスキル
視聴者プロフィール
Azure セキュリティ エンジニアは、エンドツーエンドのインフラストラクチャの一部として、Azure、マルチクラウド、ハイブリッド環境のリソースのセキュリティを実装、管理、監視します。 以下を保護するために、セキュリティのコンポーネントと構成を推奨してください。
ID とアクセス
データ
アプリケーション
ネットワーク
Azure セキュリティ エンジニアとしての責任は次のとおりです。
セキュリティ態勢の管理。
脆弱性の特定と修正。
脅威モデリングの実行。
脅威保護の実装。
セキュリティ インシデントへの対応に参加することもあります。 Azure セキュリティ エンジニアは、アーキテクト、管理者、開発者と協力して、セキュリティとコンプライアンスの要件を満たすソリューションを計画および実装します。
次のことが必要です。
Microsoft Azure とハイブリッド環境の管理に関する実務経験。
Azure のコンピューティング、ネットワーク、ストレージおよび Microsoft Entra に関する深い知識。
スキルの概要
ID とアクセスを管理する (25 - 30%)
セキュリティで保護されたネットワーク (20 - 25%)
コンピューティング、ストレージ、データベースのセキュリティ保護 (20 - 25%)
セキュリティ オペレーションを管理する (25 - 30%)
ID とアクセスを管理する (25 - 30%)
Microsoft Entra の ID を管理する
Microsoft Entra ユーザーをセキュリティで保護する
Microsoft Entra グループをセキュリティで保護する
どのようなときに外部 ID を使用するかを推奨する
外部 ID をセキュリティで保護する
Microsoft Entra ID Protection を実装する
Microsoft Entra 認証を管理する
Microsoft Entra Verified ID を構成する
Multi-Factor Authentication (MFA) の実装
パスワードレス認証を実装する
パスワード保護を実装する
シングル サインオン (SSO) を実装する
シングル サインオン (SSO) と ID プロバイダーを統合する
最新の認証プロトコルを推奨して適用する
Microsoft Entra 認可を管理する
管理グループ、サブスクリプション、リソース グループ、リソースに対する Azure ロールのアクセス許可を構成する
Microsoft Entra 組み込みロールを割り当てる
Azure 組み込みロールを割り当てる
Azure ロールと Microsoft Entra ロールを含む、カスタム ロールを作成して割り当てる
Microsoft Entra Permissions Management を実装して管理する
Microsoft Entra Privileged Identity Management を構成する
Microsoft Entra でロール管理とアクセス レビューを構成する
条件付きアクセス ポリシーを実装する
Microsoft Entra アプリケーション アクセスを管理する
OAuth アクセス許可の許可を含め、Microsoft Entra ID 内でエンタープライズ アプリケーションへのアクセスを管理する
Microsoft Entra アプリの登録を管理する
アプリ登録のアクセス許可スコープを構成する
アプリ登録のアクセス許可の同意を管理する
サービス プリンシパルを管理および使用する
Azure リソースのマネージド ID を管理する
認証を含め、Microsoft Entra アプリケーション プロキシをどのような場合に使用および構成するかについて推奨する
セキュリティで保護されたネットワーク (20 - 25%)
仮想ネットワークのセキュリティを計画して実装する
ネットワーク セキュリティ グループ (NSG) およびアプリケーション セキュリティ グループ (ASG) を構成して実装する
ユーザー定義ルート (UDR) を計画して実装する
仮想ネットワーク ピアリングまたは VPN ゲートウェイを計画して実装する
セキュリティ保護付き仮想ハブを含む Virtual WAN を計画して実装する
ポイント対サイトやサイト間などの VPN 接続をセキュリティで保護する
ExpressRoute 上で暗号化を実装する
PaaS リソースでファイアウォール設定を構成する
Network Watcher を使用してネットワーク セキュリティを監視する (NSG フロー ログなど)
Azure リソースへのプライベート アクセスのセキュリティを計画して実装する
仮想ネットワーク サービス エンドポイントを計画して実装する
プライベート エンドポイントを計画して実装する
Private Link サービスを計画して実装する
Azure App Service と Azure Functions のネットワーク統合を計画して実装する
App Service Environment (ASE) のネットワーク セキュリティ構成を計画して実装する
Azure SQL Managed Instance のネットワーク セキュリティ構成を計画して実装する
Azure リソースへのパブリック アクセスのセキュリティを計画して実装する
Azure App Service や API Management を含め、アプリケーションへのトランスポート層セキュリティ (TLS) を計画して実装する
Azure Firewall Manager とファイアウォール ポリシーを含めて Azure Firewall を計画、実装、管理する
Azure Application Gateway を計画して実装する
Content Delivery Network (CDN) を含めて Azure Front Door を計画して実装する
Web Application Firewall (WAF) を計画して実装する
どのようなときに Azure DDoS Protection Standard を使用するかを推奨する
コンピューティング、ストレージ、データベースのセキュリティ保護 (20 - 25%)
コンピューティングの高度なセキュリティを計画して実装する
Azure Bastion や Just-In-Time (JIT) 仮想マシン (VM) アクセスを含め、パブリック エンドポイントへのリモート アクセスを計画して実装する
Azure Kubernetes Service (AKS) のネットワーク分離を構成する
AKS のセキュリティ保護と監視を行う
AKS の認証を構成する
Azure Container Instances (ACI) のセキュリティ監視を構成する
Azure Container Apps (ACA) のセキュリティ監視を構成する
Azure Container Registry (ACR) へのアクセスを管理する
Azure Disk Encryption (ADE)、ホストとしての暗号化、機密ディスク暗号化を含めてディスク暗号化を構成する
Azure API Management のセキュリティ構成を推奨する
ストレージのセキュリティを計画して実装する
ストレージ アカウントのアクセス制御を構成する
ストレージ アカウント アクセス キーのライフ サイクルを管理する
Azure Files にアクセスするための適切な方法を選択して構成する
Azure Blob Storage にアクセスするための適切な方法を選択して構成する
Azure Tables にアクセスするための適切な方法を選択して構成する
Azure Queues にアクセスするための適切な方法を選択して構成する
論理的な削除、バックアップ、バージョン管理、不変ストレージなど、データ セキュリティの脅威から保護するための適切な方法を選択して構成する
Bring Your Own Key (BYOK) を構成する
Azure Storage インフラストラクチャ レベルで二重暗号化を有効にする
Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する
Microsoft Entra データベース認証を有効にする
データベース監査を有効にする
Microsoft Purview ガバナンス ポータルのユース ケースを特定する
Microsoft Purview ガバナンス ポータルを使用して機密情報のデータ分類を実装する
動的マスクを計画して実装する
Transparent Database Encryption (TDE) を実装する
どのようなときに Azure SQL Database Always Encrypted を使用するかを推奨する
セキュリティ オペレーションを管理する (25 - 30%)
セキュリティのガバナンスを計画、実装、管理する
Azure Policy でセキュリティ ポリシーとイニシアチブを作成、割り当て、解釈する
Azure Blueprints を使用してセキュリティ設定を構成する
ランディング ゾーンを使用してセキュリティで保護されたインフラストラクチャをデプロイする
Azure Key Vault を作成して構成する
専用のハードウェア セキュリティ モジュール (HSM) を使用するタイミングを推奨する
コンテナー アクセス ポリシーや Azure ロール ベース アクセス制御を含めて Key Vault へのアクセスを構成する
証明書、シークレット、キーを管理する
キーのローテーションを構成する
証明書、シークレット、キーのバックアップと回復を構成する
Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する
Microsoft Defender for Cloud セキュア スコアとインベントリを使用して、セキュリティ リスクを特定して修復する
セキュリティ フレームワークと Microsoft Defender for Cloud に対するコンプライアンスを評価する
Microsoft Defender for Cloud に業界および規制の基準を追加する
Microsoft Defender for Cloud にカスタム イニシアチブを追加する
ハイブリッド クラウド環境とマルチクラウド環境を Microsoft Defender for Cloud に接続する
Microsoft Defender 外部攻撃面管理を使用して外部資産を特定して監視する
Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する
Microsoft Defender for Storage、データベース、コンテナー、App Service、Key Vault、Resource Manager、DNS を含めて、Microsoft Defender for Cloud でワークロード保護サービスを有効にする
Microsoft Defender for Servers を構成する
Azure SQL Database 用に Microsoft Defender を構成する
Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う
Microsoft Defender for Cloud を使用してワークフローの自動化を構成する
Microsoft Defender for Server による脆弱性スキャンを評価する
セキュリティ監視とオートメーション ソリューションを構成して管理する
Azure Monitor を使用してセキュリティ イベントを監視する
Microsoft Sentinel でデータ コネクタを構成する
Microsoft Sentinel で分析ルールを作成してカスタマイズする
Microsoft Sentinel でアラートとインシデントを評価する
Microsoft Sentinel でオートメーションを構成する