SC-200 vs AZ-500: どのMicrosoftセキュリティ認定資格を最初に取得すべきか?
AZ-500はAzureセキュリティを構成するクラウドエンジニア向け。SC-200はSentinel内で働くSOCアナリスト向け。あなたの仕事に実際に合うのはどちらか、ここで解説します。
Microsoftのセキュリティ認定資格を1つ選ばなければならず、どれにすべきか分からない場合、手短に言うと次のようになります。Azureリソースを構築および構成するならAZ-500、アラートを調査し脅威ハンティングを行うならSC-200です。どちらも165ドルで、ロールベースのアソシエイトレベルであり、どちらもそれなりに難しいです。両者はID、ネットワーク、Sentinelなど重複する領域をカバーしていますが、それぞれが対応する日常業務は全く異なります。間違った方を選ぶと、他人の仕事のために勉強することになります。
この質問をよく受けるため、一行で済ませるのではなく、完全な記事として扱う価値があると考えました。
AZ-500とは
AZ-500 — Microsoft Certified: Azure Security Engineer Associate — は、Azure全体でセキュリティコントロールを実装する能力をテストします。現在のブループリントは、おおよそ次のように分けられます。
- IDとアクセス管理(約25~30%):Entra ID、Conditional Access、PIM、マネージドID、MFA構成。
- ネットワークの保護(約20~25%):NSG、ASG、Azure Firewall、Front Door / App Gateway上のWAF、プライベートエンドポイント、DDoS保護。
- コンピューティング、ストレージ、データベースの保護(約20~25%):Defender for Cloud、ディスク暗号化、ストレージの強化、Key Vault、SQL TDE / Always Encrypted。
- セキュリティ運用管理(約25~30%):Sentinelの基本、Defender for Cloudのセキュアスコア、Azure Policy、規制コンプライアンスダッシュボード。
広範な内容です。多肢選択式の問題でも実務的な感覚があり、試験冒頭のケーススタディでは、架空の企業の環境を実際に分析するような形で進める必要があります。KQLは軽く、Sentinelも軽く扱われます。中心となるのは「Azureリソースをセキュアに構成する」ことです。
SC-200とは
SC-200 — Microsoft Certified: Security Operations Analyst Associate — は、Microsoftのセキュリティスタックを日々運用する能力をテストします。現在のブループリントは次の通りです。
- Microsoft Defender XDRを使用した脅威の軽減(約25~30%):Defender for Endpoint、Office 365、Cloud Apps、Identity。調査、トリアージ、対応。
- Defender for Cloudを使用した脅威の軽減(約15~20%):アナリストの視点からのクラウドワークロード保護、セキュアスコア、規制コンプライアンス。
- Microsoft Sentinelを使用した脅威の軽減(約50~55%):データコネクタ、分析ルール、ハンティングクエリ、ワークブック、プレイブック、SOAR、KQL — KQLが非常に重要です。
試験の中心はSentinelです。試験当日までにKQLを流暢に書いたり読んだりできなければ、苦戦するでしょう。ケーススタディでは、クエリが提示されその結果を問われたり、シナリオが提示されそれを絞り込むためにどのKQL演算子を使用するかを問われたりすることがよくあります。
ロールマッピング
これは、マーケティングページにはっきりとは書かれていない部分です。
| あなたの役職が... | まずこれを受験 |
|---|---|
| クラウドエンジニア / DevOpsエンジニア / プラットフォームエンジニア | AZ-500 |
| セキュリティエンジニア(構成重視) | AZ-500 |
| 専門性を高めたいAzure管理者 | AZ-500 |
| SOCアナリスト / Tier 1~2アナリスト | SC-200 |
| スレットハンター / 検出エンジニア | SC-200 |
| インシデントレスポンダー | SC-200 |
| ジェネラリストIT / 将来的には両方取得したい | まずAZ-500 |
| セキュリティへのキャリアチェンジ | SC-200(ジュニアレベルでの需要が高い) |
ほとんどのクラウドロールでAZ-500が最初に推奨されるのは、純粋なセキュリティ専門家ではない人でも実際に知っておくべき多くの領域をカバーしているためです。セキュリティに関する質問に時々対応するクラウドエンジニアであれば、AZ-500は日常業務のスキルを向上させます。SC-200は、ほとんど毎日Sentinelに接している場合にのみ役立ちます。
難易度:おおよそ同じ、ただし形が異なる
どちらの試験も、問題数は40~60問、試験時間は100分、定価は165米ドルです(一部の市場では地域価格により約80ドルに下がります)。どちらも30問のオンライン評価を通じて1年間の無料更新が可能です。どちらもケーススタディに加え、標準的な多肢選択式 / 複数選択式 / ドラッグ&ドロップ形式を使用します。
異なる点:
AZ-500はより広範、SC-200はより深い。 AZ-500は、ID、ネットワーク、コンピューティング、ストレージ、運用など、多くのことについて少しずつ知ることを求めます。SC-200は、SentinelとDefenderスイートについて特に深く知ることを求めます。
KQLがSC-200の差別化要因。 AZ-500ではKQLクエリを読み、その出力を理解することを求められます。SC-200では、クエリを書き、最適化し、デバッグすることを求められます。KQLを一度も使用したことがない場合、SC-200は驚きとなるでしょう。
AZ-500はより多くのID関連コンテンツを持つ。 Conditional Access、PIM、External Identities、Identity Protection — AZ-500の最初の25~30%はID関連の比重が高いです。SC-200もIDに触れますが、主にDefender for Identityのアラートの観点からです。
合格率はMicrosoftから公表されていませんが、準備された受験者の初回受験では、どちらも60~70%の範囲にあると伝えられています。SC-200ではKQLセクションで、AZ-500ではケーススタディでほとんどの人が失点します。
準備時間
| バックグラウンド | AZ-500 | SC-200 |
|---|---|---|
| Azure経験のあるセキュリティエンジニア | 40~60時間 | 50~80時間 |
| ジェネラリストAzureエンジニア | 80~100時間 | 100~130時間 |
| SOCアナリスト(Microsoftスタック) | 80~100時間 | 50~80時間 |
| Azure初心者 | 150時間以上 | 180時間以上 |
SC-200は、ほとんどの受験者にとってKQLのスキルをゼロから構築する必要があるため、準備時間がわずかに長くなる傾向があります。KQLや同様の構文を持つ他のクエリ言語(Splunk SPLはかなりうまく転用できます)に既に堪能な場合は、20~30時間短縮できます。
どちらの試験に対しても、Microsoft Learnの公式パスは無料で最新です。John SavillのYouTubeチャンネルには、両方の試験対策動画があります。特にSC-200については、Rod Trentによる「KQL from scratch」がSentinelコンテンツの定番の無料リソースです。AZ-500については、無料のAzureサブスクリプションを立ち上げ、Conditional Access、PIM、Defender for Cloud、Key Vaultを自分で操作してみることは必須です。ポータルレベルの知識なしでは、ケーススタディの問題に答えることはほぼ不可能です。
給与への影響
どちらの認定資格も、明確なA/Bテストのように直接給与を変動させるわけではありません。どちらも面接の機会を広げます。BLS OEWSの2024年5月データによると、情報セキュリティアナリスト(15-1212)の中央値は約12.4万ドル、90パーセンタイルは約18.2万ドルです。Microsoft系のセキュリティ職は、この範囲の上半分に集中しています。
levels.fyi 2025~2026年のデータ:
- Microsoft L62 セキュリティエンジニアの総報酬額 約23万ドル。
- AWS L5 セキュリティスペシャリストの総報酬額 約24.5万ドル。
- 中堅非FAANG企業のセキュリティエンジニア職(Capital One、Stripe、Atlassianなど)は、通常17万~22万ドルの基本給。
成熟したSOCを持つ大企業(銀行、ヘルスケア、連邦政府請負業者など)のSC-200取得者は、24時間365日体制のSOCロールにはシフト手当が含まれるため、給与中央値を超えることがよくあります。AZ-500取得者は、標準的なクラウドエンジニアリングの給与帯に偏る傾向があります。
2026年に最も高給となる傾向がある認定資格の組み合わせは、AZ-500 + SC-200 + AZ-104です。これは、Azureの構成、セキュリティ確保、および対応の運用ができることを示します。これら3つをすべて取得するには、6~9ヶ月で約200時間かかり、ほとんどのMicrosoftスタック採用企業の履歴書フィルタを通過させることができます。
私ならどうするか
クラウドエンジニアリングまたはジェネラリストITのバックグラウンドから始めるなら、まずAZ-500を受験してください。これはより広範で、プラットフォームとしてのAzureについてより多くを教えてくれますし、Microsoftセキュリティスキルを求めるほとんどの仕事では、SC-200よりもAZ-500が明示的に求められることが多いです。
SOCまたはアナリストの道から始めるなら(すでに何らかのSIEMでクエリを実行し、毎日アラートを調査している場合)、まずSC-200を受験してください。AZ-500の構成重視のコンテンツは、まだ必要ない回り道のように感じるでしょう。
最終的に両方を取得するつもりなら、順番よりも受験間隔の方が重要です。6ヶ月以上間隔を空けないでください。IDとSentinelの基本に関する重複部分は、連続して準備を進めることで報われます。
準備ができたら、CertLabProでAZ-500の練習問題集を閲覧する、SC-200の模擬試験を開始する、または両方を利用してください。Microsoftのケーススタディ形式は独特であり、時間的プレッシャーの下でのパターン認識は、リアルな問題演習から最も恩恵を受ける部分です。