Microsoft SC-900を30分で：セキュリティ/コンプライアンスの基礎入門

SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — はMicrosoftのセキュリティ認定資格の中で最も簡単であり、それがセールスポイントでもあり、限界でもあります。費用は99ドルで、Microsoft 365やAzureを少しでも扱ったことがあれば、約10時間で準備できます。出題される問題は概念的です。これとは何かを定義し、あれとこれを一致させ、どのMicrosoft製品がどの問題を解決するかを特定するような内容です。

もしあなたが技術的なセキュリティ担当者であれば、おそらくこの先を読むのをやめて、代わりにSC-200またはAZ-500を受験する方が良いでしょう。SC-900はあなたを対象としていません。これは、Microsoftのセキュリティスタックについて、実装者でなくとも信頼性を持って話す必要のある監査人、コンプライアンスアナリスト、セールスエンジニア、プロジェクトマネージャー、アカウントエグゼクティブを対象としています。

試験内容

現在のSC-900の試験ブループリントは、以下の4つのドメインをカバーしています。

• セキュリティ、コンプライアンス、アイデンティティの概念 (~10–15%)：基本的な内容 — 多層防御、共同責任、ゼロトラスト、保存時および転送時の暗号化、一般的なコンプライアンスフレームワーク（GDPR、HIPAA、ISO 27001など、名称認識レベル）。
• Microsoft Entraの機能 (~25–30%)：Entra ID（リブランドされたAzure AD）、認証方法、MFA、条件付きアクセス、IDガバナンス、External Identities、PIM（用語レベル）。
• Microsoftセキュリティソリューション (~25–30%)：Defender for Cloud、Defender for Endpoint、Defender for Office 365、Defender for Identity、Sentinel — それぞれが何をするのか、設定方法ではなく。さらに、Azure DDoS protection、Azure Firewall、NSG、Key Vaultが機能レベルの教材として含まれます。
• Microsoftコンプライアンスソリューション (~25–30%)：Purview（2022年以降のコンプライアンスツールの総称）、Information Protection、Data Loss Prevention、Insider Risk Management、eDiscovery、Compliance Manager、Service Trust Portal。

試験は40〜60問、60分で、多肢選択および複数選択形式です。ケーススタディ、ラボ、ドラッグ＆ドロップシーケンスはありません。合格点は1000点中700点です。Pearson VUE OnVUEを介したオンライン受験、または会場での受験を選択できます。

定価は99米ドル（地域によっては約50ドルまで下がります）。有効期間は1年で、25問のオンラインアセスメントを通じて無料で更新できます。Microsoftのファンダメンタルズ認定資格の更新プロセスは、本当に簡単です。

SC-900の対象者

この認定資格が役立つ3つの対象者層は次のとおりです。

セキュリティ関連職種の非技術系ロール。 GRCアナリスト、コンプライアンス担当者、内部監査人、ベンダーのセキュリティ主張を検証する必要のある調達担当者など。SC-900は、Microsoft 365のセキュリティレビューを読み、記載されているコントロールが実質的なものかマーケティング的なものかを判断するための語彙を提供します。

Microsoftパートナーのプリセールスおよびアカウントチーム。 これが最も大きな対象層です。Microsoft Solutions Partnerのステータスには認定された従業員が必要であり、SC-900はパートナーティアの最低要件にカウントされます。「Defender for EndpointとDefender for Cloud Appsの違いは何ですか？」に答えられるセールスエンジニアは、曖昧な返答をするセールスエンジニアよりも多くの取引を成立させます。

出発点として利用するキャリアチェンジャー。 無関係な分野からITやセキュリティに移行する場合、SC-900は、まだ準備ができていないロールベースの試験に165ドルを費やすことなく、真剣さを示すための低リスクな方法です。AZ-900と合わせて198ドルで、2つの認定資格を持つ「私は初心者だが、ただの見物人ではない」という立派なアピールになります。

スキップすべき人

もしあなたが既にセキュリティエンジニア、SOCアナリスト、ID管理者、またはセキュリティ責任を持つクラウドエンジニアであれば、SC-900はスキップすべきです。その内容はロールベースの試験の最初の章に過ぎません。何も学ぶことはなく、99ドルを費やすだけで、上級セキュリティ職の履歴書では埋め合わせのように見えます。

技術的なキャリアパスの場合、代替案は次のとおりです。

• SOCアナリストトラック：SC-200 (Security Operations Analyst Associate)、165ドル、SentinelとDefenderの実践的な内容。
• クラウドセキュリティエンジニアトラック：AZ-500 (Azure Security Engineer Associate)、165ドル、Azure全体の構成に重点。
• ID管理者トラック：SC-300 (Identity and Access Administrator Associate)、165ドル、Entra IDに特化。
• セキュリティアーキテクトトラック：SC-100 (Cybersecurity Architect Expert)、165ドル、上記のいずれかを前提条件とする。

ロールベースの試験は、SC-900がカバーする内容すべてに加え、実際の実装までをカバーしています。ロールベースの経験がある場合にファンダメンタルズをスキップすることは、近道ではなく、正しい判断です。

準備時間（現実的な数値）

背景	時間	期間
日常的にM365 / Azureセキュリティを扱っている	5–8	週末1回
IT全般の経験あり、Microsoft製品に時々触れる程度	10–15	1–2週間
Microsoftクラウドを初めて利用する	20–30	3–4週間
IT経験のないキャリアチェンジャー	40–60	6–8週間

Microsoft Learnの公式SC-900学習パスは無料で最新のものであり、ほとんどの受験者にとって唯一必要なリソースです。John Savill氏のYouTubeには、聴覚学習者にとって役立つSC-900の学習要点まとめがあります。15ドル以下のUdemy有料コースを除き、それらはスキップしてください。公式コンテンツで十分に網羅されています。

最大のつまずきポイントは製品名です。Microsoftは2020年から2024年の間にセキュリティ製品の半分近くを改名しました。Azure ADはEntra IDに、Microsoft Cloud App SecurityはDefender for Cloud Appsになりました。コンプライアンスツールはPurviewの下に統合されました。試験では現在の名称が問われますが、多くの古い学習資料では旧名称が使われています。2022年版のSC-900ガイドを読んでいる場合は、試験前にすべての製品名をlearn.microsoft.comと照合してください。

給与への影響

給与への直接的な影響はありません。SC-900は給与を直接変動させるものではありません。これはスキル認定ではなく、語彙認定です。levels.fyiにはそのための項目がなく、BLS（米国労働統計局）も追跡していません。しかし、次のことは期待できます。

• 「Microsoft認定資格優遇」と記載されている求人情報で、エントリーレベルのセキュリティまたはコンプライアンス職のHRフィルターを通過するのに役立つかもしれません。
• Microsoftの資格がコミッションティアに直接影響するパートナー側のセールスエンジニアの履歴書を強化します。
• 給与への明確な影響があるSC-200またはAZ-500への足がかりとなります（情報セキュリティアナリスト、BLS OEWS 2024年5月：中央値約12万4千ドル、90パーセンタイル約18万2千ドル — ただし、これはロールベースのパスに対するものであり、SC-900単体ではありません）。

もし給与アップが目標であれば、SC-900だけでは達成できません。しかし、Microsoftのセキュリティに関する会話に知的に参加することが目標であれば、間違いなく役立つでしょう。

受験すべきか？

SC-900を受験すべきなのは、次の場合です。

• Microsoftセキュリティについて信頼性を持って話す必要がある非技術系の職務に就いている場合。
• Microsoftパートナーに所属しており、その認定資格がパートナーティアやコミッション体系に影響する場合。
• IT/セキュリティの経験が全くなく、ロールベースのパスに進む前に99ドルの最初の資格を取得したい場合。

SC-900をスキップすべきなのは、次の場合です。

• SC-200、AZ-500、またはSC-300を受験するのに十分な技術力がある場合 — そちらから始めるべきです。
• Microsoft製品を扱う企業で働いていない、または販売していない場合。この認定資格はベンダー固有のものであり、AWSやGoogle Cloudの組織では意味を持ちません。
• 給与アップを追求している場合。SC-900はそれを実現しません。

SC-900があなたに合っている場合は、CertLabProでSC-900の練習問題を探すか、制限時間付き試験を開始してください。試験パターンは「製品と問題を一致させる」という内容が多く、現実的な問題に対して繰り返し学習することが、多くの人がつまずくMicrosoftの製品命名規則を確実に習得する最速の方法です。