試験 AZ-500: Microsoft Azure セキュリティ テクノロジの学習ガイド
このドキュメントの目的
この学習ガイドは、この試験で想定される内容を理解するのに役立つもので、試験に出る可能性のあるトピックの概要と、その他のリソースへのリンクが掲載されています。 このドキュメントの情報と資料は、試験の準備を進めるときに学習の焦点を合わせるのに役立ちます。
| 便利なリンク | 説明 |
|---|---|
| 認定資格の取得方法 | 1 つの試験に合格するだけで取得できる認定資格もありますが、それ以外は、複数の試験に合格する必要があります。 |
| 認定資格の更新 | Microsoft のアソシエイト、エキスパート、専門の認定資格は、毎年有効期限が切れます。 Microsoft Learn で無料のオンライン評価に合格すると、更新できます。 |
| Microsoft Learn プロファイル | 認定プロファイルを Microsoft Learn に接続すると、試験のスケジュール設定と更新、および証明書の共有と印刷を行うことができます。 |
| 試験スコアとスコアレポート | 合格するには、700 以上のスコアが必要です。 |
| 試験サンドボックス | 試験サンドボックスにアクセスして、試験の環境を確認できます。 |
| 便宜を要求する | 支援機器を使用する場合、時間延長が必要な場合、または試験エクスペリエンスのいずれかの部分を変更する必要がある場合は、便宜を図るよう要求できます。 |
| 無料の練習用評価を受ける | 試験対策用の練習問題で実力を試すことができます。 |
試験の更新
常に、英語版の試験が最初に更新されます。 一部の試験は他の言語にローカライズされており、英語版が更新されてから約 8 週間後に更新されます。 その他の利用可能な言語は、試験の詳細 Web ページの「試験のスケジュール設定」セクションに表示されます。 試験が希望する言語で実施されていない場合、試験完了までの時間を 30 分延長するように要求できます。
注
評価される各スキルの後に続く箇条書きは、そのスキルをどのようにして評価するかを説明することを目的としています。 関連するトピックが試験に出題される可能性があります。
注
ほとんどの問題は一般提供 (GA) の機能について出題されます。 プレビュー機能が一般的に使用されている場合は、これらの機能に関する問題が試験に含まれることがあります。
2025 年 1 月 31 日時点で評価されるスキル
視聴者プロフィール
Azure セキュリティ エンジニアは、エンドツーエンドのインフラストラクチャの一部として、Azure、マルチクラウド、ハイブリッド環境のリソースのセキュリティを実装、管理、監視します。 Microsoft Defender for Cloud やその他のツールを使用し、セキュリティ コンポーネントと構成を実装と管理します。 インフラストラクチャが、Microsoft クラウド セキュリティ ベンチマーク (MCSB) などの基準とベスト プラクティスに準拠していることを確認します。
Azure セキュリティ エンジニアとしての責任は次のとおりです。
セキュリティ態勢の管理。
脅威保護の実装。
脆弱性の特定と修正。
ID およびアクセス管理、ネットワーク、コンピューティング、ストレージ、データ、アプリケーション、アセット管理、バックアップと回復、DevOps セキュリティなど、Azure インフラストラクチャの規制コンプライアンス制御を実装する責任があります。
Azure セキュリティ エンジニアは、アーキテクト、管理者、開発者と協力して、セキュリティとコンプライアンスの要件を満たすソリューションを計画および実装します。 Azure のセキュリティ インシデントに対応するため、セキュリティ オペレーションと共同作業を行うこともできます。
次のことが必要です。
Microsoft Azure およびハイブリッド環境の管理に関する実務経験。
Microsoft Entra ID に加え、Azure のコンピューティング、ネットワーク、ストレージに関する深い知識。
スキルの概要
ID およびアクセス管理をセキュリティで保護する (15 - 20%)
セキュリティで保護されたネットワーク (20 - 25%)
コンピューティング、ストレージ、データベースのセキュリティ保護 (20 - 25%)
Microsoft Defender for Cloud と Microsoft Sentinel を使用して Azure をセキュリティで保護する (30 - 35%)
ID およびアクセス管理をセキュリティで保護する (15 - 20%)
ID およびアクセス管理のセキュリティ制御を管理する
Azure ビルトイン役割の割り当てを管理する
Azure 役割と Microsoft Entra 役割を含む、カスタム ロールを管理する
Microsoft Entra Permissions Management を実装して管理する
設定と割り当てを含む Microsoft Entra Privileged Identity Management の Azure リソースを計画して管理する
Azure リソースにアクセスするための多要素認証 (MFA) を実装する
Azure でクラウド リソースの条件付きアクセス ポリシーを実装する
Microsoft Entra アプリケーション アクセスを管理する
OAuth アクセス許可の許可を含め、Microsoft Entra ID 内でエンタープライズ アプリケーションへのアクセスを管理する
Microsoft Entra アプリの登録を管理する
アプリ登録のアクセス許可スコープを構成する
アプリ登録のアクセス許可の同意を管理する
サービス プリンシパルを管理および使用する
マネージド ID の管理
セキュリティで保護されたネットワーク (20 - 25%)
仮想ネットワークのセキュリティを計画して実装する
ネットワーク セキュリティ グループ (NSG) およびアプリケーション セキュリティ グループ (ASG) を構成して実装する
Azure Virtual Network Manager を使用して仮想ネットワークを管理する
ユーザー定義ルート (UDR) を計画して実装する
仮想ネットワーク ピアリングまたは VPN ゲートウェイを計画して実装する
セキュリティ保護付き仮想ハブを含む Virtual WAN を計画して実装する
ポイント対サイトやサイト間などの VPN 接続をセキュリティで保護する
ExpressRoute 上で暗号化を実装する
Azure リソースでファイアウォール設定を構成する
Network Watcher を使用してネットワーク セキュリティを監視する
Azure リソースへのプライベート アクセスのセキュリティを計画して実装する
仮想ネットワーク サービス エンドポイントを計画して実装する
プライベート エンドポイントを計画して実装する
Private Link サービスを計画して実装する
Azure App Service と Azure Functions のネットワーク統合を計画して実装する
App Service Environment (ASE) のネットワーク セキュリティ構成を計画して実装する
Azure SQL Managed Instance のネットワーク セキュリティ構成を計画して実装する
Azure リソースへのパブリック アクセスのセキュリティを計画して実装する
Azure App Service や API Management を含め、アプリケーションへのトランスポート層セキュリティ (TLS) を計画して実装する
Azure Firewall Manager とファイアウォール ポリシーを含めて Azure Firewall を計画、実装、管理する
Azure Application Gateway を計画して実装する
Content Delivery Network (CDN) を含めて Azure Front Door を計画して実装する
Web Application Firewall (WAF) を計画して実装する
どのようなときに Azure DDoS Protection Standard を使用するかを推奨する
コンピューティング、ストレージ、データベースのセキュリティ保護 (20 - 25%)
コンピューティングの高度なセキュリティを計画して実装する
Azure Bastion や Just-In-Time (JIT) を含む仮想マシンへのリモート アクセスを計画して実装する
Azure Kubernetes Service (AKS) のネットワーク分離を構成する
AKS のセキュリティ保護と監視を行う
AKS の認証を構成する
Azure Container Instances (ACI) のセキュリティ監視を構成する
Azure Container Apps (ACA) のセキュリティ監視を構成する
Azure Container Registry (ACR) へのアクセスを管理する
Azure Disk Encryption (ADE)、ホストでの暗号化、機密ディスク暗号化を含む、ディスク暗号化を構成する
Azure API Management のセキュリティ構成を推奨する
ストレージのセキュリティを計画して実装する
ストレージ アカウントのアクセス制御を構成する
ストレージ アカウント アクセス キーを管理する
Azure Files にアクセスするための適切な方法を選択して構成する
Azure Blob Storage にアクセスするための適切な方法を選択して構成する
論理的な削除、バックアップ、バージョン管理、不変ストレージなど、データ セキュリティの脅威から保護するための適切な方法を選択して構成する
Bring Your Own Key (BYOK) を構成する
Azure Storage インフラストラクチャ レベルで二重暗号化を有効にする
Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する
Microsoft Entra データベース認証を有効にする
データベース監査を有効にする
動的マスクを計画して実装する
Transparent Data Encryption (TDE) を実装する
どのようなときに Azure SQL Database Always Encrypted を使用するかを推奨する
Microsoft Defender for Cloud と Microsoft Sentinel を使用して Azure をセキュリティで保護する (30 - 35%)
クラウド ガバナンス ポリシーの実施を実装して管理する
Azure Policy でポリシーとイニシアティブを作成、割り当て、解釈する
Azure Key Vault のネットワーク設定を構成する
コンテナー アクセス ポリシーや Azure ロール ベース アクセス制御を含めて Key Vault へのアクセスを構成する
証明書、シークレット、キーを管理する
キーのローテーションを構成する
認定資格書、シークレット、キーのバックアップと回復を実行する
バックアップを保護するためにセキュリティ コントロールを実装する
アセット管理のセキュリティ コントロールを実装する
Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する
Microsoft Defender for Cloud セキュア スコアとインベントリを使用して、セキュリティ リスクを特定して修復する
Microsoft Defender for Cloud を使用してセキュリティ フレームワークに対するコンプライアンスを評価する
Microsoft Defender for Cloud のコンプライアンス基準を管理する
Microsoft Defender for Cloud にカスタム基準を追加する
アマゾン ウェブ サービス (AWS) や Google Cloud Platform (GCP) を含め、ハイブリッド クラウド環境とマルチ クラウド環境を Microsoft Defender for Cloud に接続する
Microsoft Defender 外部攻撃面管理 (EASM) を実装して使用する
Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する
Microsoft Defender for Cloud のワークロード保護サービスを有効にする
Microsoft Defender for Servers、Microsoft Defender for Databases、Microsoft Defender for Storage を構成する
Microsoft Defender for Servers で仮想マシンのエージェントレス スキャンを実装して管理する
Azure 仮想マシンのMicrosoft Defender 脆弱性の管理を実装して管理する
GitHub、Azure DevOps、GitLab を含め、Microsoft Defender for Cloud Devops Security に接続して設定を構成する
セキュリティ監視とオートメーション ソリューションを構成して管理する
Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う
Microsoft Defender for Cloud を使用してワークフローの自動化を構成する
Azure Monitor でデータ収集ルール (DCR) を構成し、ネットワーク セキュリティ イベントとパフォーマンス データを監視する
Microsoft Sentinel でデータ コネクタを構成する
Microsoft Sentinel で分析ルールを有効にする
Microsoft Sentinel でオートメーションを構成する
学習リソース
試験を受ける前に、トレーニングを行い、実践的な経験を積むことをお勧めします。 自己学習のオプションとクラスルーム トレーニングのほか、ドキュメント、コミュニティ サイト、ビデオへのリンクも提供しています。
ログの変更
次の表は、評価されるスキルの現在のバージョンと以前のバージョン間の変更をまとめたものです。 機能グループは太字の書体で示され、各グループの目標がその後に続きます。 表は、この試験で評価されるスキルの以前と現在のバージョンを比較したもので、3 番目の列は変更の程度を示しています。
| 2025 年 1 月 31 日より前のスキル領域 | 2025 年 1 月 31 日時点のスキル領域 | Change |
|---|---|---|
| 視聴者プロフィール | メジャー | |
| ID とアクセスを管理する | ID およびアクセス管理をセキュリティで保護 | 試験範囲の減少率 |
| Microsoft Entra ID を管理する | 削除済み | |
| Microsoft Entra 認証を管理する | 削除済み | |
| Microsoft Entra 認可を管理する | ID およびアクセス管理のセキュリティ制御を管理する | メジャー |
| Microsoft Entra アプリケーション アクセスを管理する | Microsoft Entra アプリケーション アクセスを管理する | Minor |
| ネットワークのセキュリティ保護 | ネットワークのセキュリティ保護 | 試験範囲の増加率 |
| 仮想ネットワークのセキュリティを計画して実装する | 仮想ネットワークのセキュリティを計画して実装する | Minor |
| コンピューティング、ストレージ、データベースをセキュリティで保護する | コンピューティング、ストレージ、データベースをセキュリティで保護する | 変更なし |
| コンピューティングの高度なセキュリティを計画して実装する | コンピューティングの高度なセキュリティを計画して実装する | Minor |
| ストレージのセキュリティを計画して実装する | ストレージのセキュリティを計画して実装する | メジャー |
| Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する | Azure SQL Database と Azure SQL Managed Instance のセキュリティを計画して実装する | メジャー |
| セキュリティ オペレーションを管理する | Microsoft Defender for Cloud と Microsoft Sentinel を使用して Azure をセキュリティで保護 | 試験範囲の増加率 |
| セキュリティのガバナンスを計画、実装、管理する | クラウド ガバナンス ポリシーの実施を実装して管理する | メジャー |
| Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する | Microsoft Defender for Cloud を使用してセキュリティ態勢を管理する | Minor |
| Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する | Microsoft Defender for Cloud を使用して脅威に対する保護を構成して管理する | メジャー |
| セキュリティ監視とオートメーション ソリューションを構成して管理する | セキュリティ監視とオートメーション ソリューションを構成して管理する | Minor |