あなたの組織は、グローバル管理者の役割に対して Microsoft Entra Privileged Identity Management (PIM) を実装しています。セキュリティポリシーでは、管理者が役割をアクティブ化する前に、業務上の正当な理由を提供し、承認を受ける必要があります。アクティブ化は最大 4 時間に制限する必要があります。これらの要件を満たすために、PIM で構成する必要がある 3 つの設定は何ですか？

AZ-500は、Azureセキュリティエンジニアの日常的なスキル、すなわちMicrosoft Entraを通じたIDとアクセスの管理、ネットワークの保護、コンピュート/ストレージ/データベースの強化、およびMicrosoft Defender for CloudとMicrosoft Sentinelを用いたセキュリティ運用の実行を検証します。対象読者は、現役のセキュリティエンジニアおよびセキュリティを専門とするAzure管理者です。この試験は実装に重点を置いており — エキスパートレベルの設計試験というよりはAZ-104に近い形式で — ドラッグ＆ドロップ、ホットエリア、多肢選択問題、およびシナリオ駆動型の項目を含む少なくとも1つのケーススタディを含め、120分で40〜60問が出題され、実践的なポータル経験が報われます。

試験範囲

Manage Identity and Access27%
27%を占める最大のドメイン。Microsoft Entra ID (ユーザー、グループ、MFA、条件付きアクセス、PIM、ID保護、B2B/B2C)、エンタープライズアプリケーション、アプリ登録、RBAC、カスタムロール。条件付きアクセスのシナリオが多めに予想されます。
Secure Networking23%
約23%。NSG、ASG、Azure Firewall、Front Door / Application GatewayのWeb Application Firewall、DDoS Protection、Private Endpoints / Private Link、Service Endpoints、Bastion。トラフィックフローのシナリオが多めです。
Secure Compute, Storage, and Databases22%
約22%。VMの強化、Azure Disk Encryption、Microsoft Defender for Servers、コンテナセキュリティ、ストレージアカウントセキュリティ (ファイアウォール、SAS、暗号化、不変性)、Key Vault、Azure SQLセキュリティ (TDE、Always Encrypted、RLS)。
Manage Security Operations28%
約28%。Microsoft Defender for Cloud (CSPM、CWPP、規制コンプライアンス)、Microsoft Sentinel (データコネクタ、分析ルール、ワークブック、KQLハンティング、自動化)、セキュリティ用Azure Policy、組み込みのセキュリティアラートとインシデント対応。

この試験で扱う Azure サービス

試験で出会うサービスと、それぞれが重要な理由。

コアサービス

Microsoft Entra IDAWS ドキュメント ↗
ユーザー、グループ、アプリ登録、Conditional Access ポリシー、MFA、ジャストインタイム昇格のための Privileged Identity Management (PIM) を備えたクラウドIDディレクトリ。
試験に出題される理由：ドメイン 1 (ID とアクセスを管理する) は Entra ID を中心に構築されており、Conditional Access、MFA の適用、PIM のアクティベーションが試験で最も頻繁に問われるトピックです。
Microsoft Entra ID ProtectionAWS ドキュメント ↗
サインインリスク、ユーザーリスク、異常な移動信号が Conditional Access ポリシーに情報を提供し、適応的なチャレンジとブロックを行うリスクベースの ID 脅威検出。
試験に出題される理由：ドメイン 1 の侵害された認証情報や危険なサインインへの対応に関する問題では、ID Protection が Azure ネイティブな信号源として挙げられます。
Microsoft Defender for CloudAWS ドキュメント ↗
クラウドネイティブな CSPM + CWPP であり、Secure Score、規制コンプライアンスダッシュボード、推奨事項、サーバー、ストレージ、SQL、コンテナー、App Service、DNS 向けの Defender プランを提供します。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、Defender for Cloud が、複数のサブスクリプションにわたる態勢管理とワークロード保護のための単一の窓口として挙げられています。
Microsoft SentinelAWS ドキュメント ↗
クラウドネイティブな SIEM および SOAR であり、データコネクタ、分析ルール (KQL 駆動)、エンティティ行動分析 (UEBA)、プレイブック (Logic Apps)、インシデントトリアージを提供します。
試験に出題される理由：ドメイン 4 では Sentinel が AZ-500 の SIEM としてテストされ、コネクタ設定、分析ルール作成、プレイブックの自動化がほぼすべての試験形式で出題されます。
Microsoft Defender XDRAWS ドキュメント ↗
Defender for Endpoint、Identity、Office 365、Cloud Apps からの信号を相互に関連付け、クロスドメインインシデントと自動調査に統合する統一 XDR ポータル。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、Defender XDR (製品間の相関) と Sentinel (SIEM) が区別され、その境界に関する知識が繰り返しテストされます。
Azure FirewallAWS ドキュメント ↗
FQDN フィルタリング、脅威インテリジェンスフィード、TLS 検査 (Premium)、IDPS、および Firewall Policy を介した集中型ルール管理を備えたマネージドなステートフル Layer-3/4/7 ファイアウォール。
試験に出題される理由：ドメイン 2 (ネットワークを保護する) では、Azure Firewall がハブスポークおよび Virtual WAN トポロジにおける送受信検査プレーンとして挙げられています。
Azure Web Application Firewall (WAF)AWS ドキュメント ↗
Application Gateway または Front Door にデプロイされる Layer-7 WAF で、OWASP Core Rule Sets、カスタムルール、ボット保護、ポリシーごとの検出/防止モードを備えています。
試験に出題される理由：ドメイン 2 とドメイン 3 の、インジェクション、スクレイピング、Layer-7 DDoS からパブリックウェブエンドポイントを保護する問題では、WAF が Azure ネイティブなエッジ防御として挙げられます。
Microsoft Defender for EndpointAWS ドキュメント ↗
Windows、macOS、Linux、iOS、Android 向けの EDR/EPP で、攻撃対象領域の縮小、自動調査と修復、脆弱性管理、脅威ハンティングを提供します。
試験に出題される理由：ドメイン 3 (コンピューティングを保護する) とドメイン 4 では、MDE が Defender for Cloud および Defender XDR にエンドポイント信号を供給するワークロードレベルの防御として登場します。

特化型サービス

Azure DDoS ProtectionAWS ドキュメント ↗
常時稼働のプラットフォーム DDoS (無料) に加え、アプリケーション層テレメトリ、コスト保護保証、迅速な対応を可能にする SRT アクセスを追加する Network および IP Protection SKU。
試験に出題される理由：ドメイン 2 では、無料の常時稼働ティアと有料の Network/IP Protection が区別され、これはパブリック向けワークロードの強化に関する繰り返し出題される試験シナリオです。
Azure BastionAWS ドキュメント ↗
パブリック IP の公開や受信 NSG ルールの開放なしに、ポータルまたはネイティブクライアントを介して VM への RDP/SSH を仲介するマネージドジャンプボックス。
試験に出題される理由：ドメイン 2 とドメイン 3 のセキュアアクセスシナリオでは、ジャンプボックスインフラやパブリック IP なしで VM 管理を行うための解答として Bastion が挙げられます。
Azure Private Link + Private EndpointAWS ドキュメント ↗
Microsoft バックボーン経由で Azure PaaS (Storage、SQL、Key Vault など) およびパートナーサービスへのプライベート IP アクセスを提供し、パブリックインターネットへの露出を排除します。
試験に出題される理由：ドメイン 2 とドメイン 3 では、サービス機能を維持しつつ PaaS からパブリックエンドポイントを削除するための規範的なパターンとして Private Endpoint がテストされます。
Azure Network Security Groups (NSGs)AWS ドキュメント ↗
サブネットまたは NIC スコープで、優先順位付けされた許可/拒否ルール、アプリケーションセキュリティグループ (ASG)、フォレンジック用の NSG フローログを備えたステートフル Layer-3/4 ACL。
試験に出題される理由：ドメイン 2 (ネットワークを保護する) では、NSG ルールの優先順位、ASG ベースのセグメンテーション、トラフィック監査のためのフローログキャプチャがほぼすべての形式でテストされます。
Microsoft Defender for Servers / Storage / SQL / ContainersAWS ドキュメント ↗
Defender for Cloud のワークロード層保護プラン — Defender for Servers (MDE 統合)、Storage (マルウェアスキャン)、SQL (脆弱性 + 脅威検出)、Containers (Kubernetes 対応ランタイム)。
試験に出題される理由：ドメイン 3 (コンピューティング、ストレージ、データベースを保護する) は、ワークロード層ごとに正しい Defender プランを選択し、そのアラートを調整することに重点が置かれています。
Microsoft Defender for IdentityAWS ドキュメント ↗
オンプレミス AD 脅威検出 — ドメインコントローラーのトラフィックから、パス・ザ・ハッシュ、パス・ザ・チケット、ゴールデンチケット、偵察、横方向移動の信号を検出します。
試験に出題される理由：ドメイン 1 とドメイン 4 のハイブリッド ID 侵害検出に関する問題では、Defender for Identity が Defender XDR に情報を供給する AD 対応脅威センサーとして挙げられます。
Microsoft Purview Information Protection + DLPAWS ドキュメント ↗
Microsoft 365、Endpoint DLP、Azure データソース全体で、機密ラベル、暗号化、データ損失防止ポリシーを提供し、検出、分類、強制を実施します。
試験に出題される理由：ドメイン 3 (コンピューティング、ストレージ、データベースを保護する) では、Purview IP + DLP が機密コンテンツのデータ分類および保存時/転送時保護層として挙げられています。
Azure Container Registry (image scanning)AWS ドキュメント ↗
Defender for Containers のイメージスキャン、コンテンツ信頼、保持ポリシー、および複数リージョンでのプルパスのための geo レプリケーションを備えたマネージドレジストリ。
試験に出題される理由：ドメイン 3 のコンテナーシナリオでは、Defender スキャンを備えた ACR が、Kubernetes/AKS イメージ配布のセキュアサプライチェーンの解答として挙げられます。

セキュリティとガバナンス

Azure Key Vault (incl. Managed HSM)AWS ドキュメント ↗
Entra 統合 RBAC、論理削除、消去保護、BYOK/HYOK フローを備えた、シークレット、証明書、ソフトウェアまたは HSM ベースのキーのマネージドストア。
試験に出題される理由：ドメイン 3 (コンピューティング、ストレージ、データベースを保護する) では、ストレージアカウント/データベース TDE 暗号化キーの管理と、顧客管理キー (CMK) パターンについて Key Vault がテストされます。
Azure Policy + Initiatives + BlueprintsAWS ドキュメント ↗
拒否/監査/deployIfNotExists 効果、イニシアティブバンドル (例: CIS、ISO 27001、NIST 800-53)、環境ベースライン用 Blueprints を備えた宣言的ガバナンス。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、Azure Policy がセキュリティベースライン、暗号化要件、大規模なタグ付けの強制メカニズムとして挙げられています。
Microsoft Defender for Cloud AppsAWS ドキュメント ↗
クラウドアクセスセキュリティブローカー (CASB) であり、シャドウ IT の検出、SaaS 態勢管理、Conditional Access App Control を介したセッション制御、情報保護統合を提供します。
試験に出題される理由：ドメイン 1 とドメイン 4 では、未承認アプリの検出や Microsoft 365 / 接続された SaaS 上でのリアルタイムセッションポリシーの適用など、SaaS 側のガバナンスのために Defender for Cloud Apps が挙げられます。
Azure Monitor + Log AnalyticsAWS ドキュメント ↗
アクティビティログ、診断設定、メトリクス、KQL を介してクエリされる Log Analytics ワークスペースを提供する統合テレメトリであり、Sentinel と Defender for Cloud がデータを取り込む基盤です。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、診断設定を中央ワークスペースにルーティングするため、および Sentinel の分析ルールに情報を提供する KQL クエリのために Azure Monitor が活用されます。

キャリアへの影響

代表的な職務

Azureセキュリティエンジニア
クラウドセキュリティエンジニア
セキュリティオペレーションエンジニア
DevSecOpsエンジニア
シニアクラウドセキュリティエンジニア
クラウドセキュリティコンサルタント
IDおよびアクセス管理エンジニア

給与範囲（米国、概算）

$110k–$150k–$205k USD 年収

この範囲は、Azureの習熟度が求められる米国拠点の中級から上級のクラウドセキュリティエンジニアを対象としています。FAANG / フィンテック / 規制産業のシニアクラウドセキュリティエンジニアは、総報酬が23万ドルを超えることがよくあります。この認定はスクリーニングシグナルであり、本番環境でのセキュリティインシデント対応経験が上限を引き上げます。

出典: levels.fyi 2025 クラウドセキュリティ / IAMエンジニア職、U.S. BLS OEWS 2024年5月 (15-1212 情報セキュリティアナリスト)、Glassdoor 2025。数値は概算であり、実際の報酬は職務、地域、経験によって異なります。

市場の需要

AZ-500は、求人情報で最も多く求められるAzureセキュリティ認定であり、Microsoftセキュリティ試験全体の中でも最も受験者数の多いものの一つです。企業がセキュリティツールをMicrosoft Defender for CloudとMicrosoft Sentinelに統合するにつれて、2024年から2026年にかけて需要が加速しています。金融サービス、医療、政府機関の契約業者、およびMicrosoftパートナーのコンサルティング会社のリクルーターは、これをAzureセキュリティ能力の典型的な証明として扱っています。AZ-104 (セキュリティに傾倒した管理者にとって最も一般的な組み合わせ)、セキュリティに傾倒したアーキテクト向けのAZ-305、ネットワークセキュリティエンジニア向けのAZ-700、そしてMicrosoftセキュリティポートフォリオを補完するSC-200 (Security Operations Analyst) およびSC-100 (Cybersecurity Architect) と自然に組み合わせることができます。

前提条件と推奨される学習パス

正式な前提条件はありません。Microsoftは、1〜2年のAzure管理経験と、ID、ネットワーク、セキュリティの原則に関する実務知識を推奨しています。AZ-104は非常に補完的であり — AZ-500の多くの問題は、Microsoft Entra、RBAC、およびコアネットワーキングに関するAzure管理者レベルの流暢さを前提としています。SC-900は、Microsoftセキュリティが初めての受験者にとって有用な概念的導入となりますが、必須ではありません。

公式のMicrosoft Learnパスは、4つのすべてのドメインを約35〜45時間でカバーしています。実践的なラボ時間は必須です。Microsoft Entra P2トライアル、Microsoft Defender for Cloudが有効化された個人用Azureサブスクリプション、および小規模なSentinelワークスペースがあれば、受験者は条件付きアクセス、PIM、セキュリティアラート、KQLハンティングクエリを練習できます。多くの受験者は、公式の模擬試験とサードパーティのビデオコースを追加で利用しています。

難易度と学習時間

AZ-500はアソシエイトティアに位置し、中程度から非常に挑戦的であると広く考えられています — 難易度はAZ-204に匹敵し、Microsoft EntraとSentinelコンテンツの深さを考慮するとAZ-104よりもかなり難しいです。以前のAzure管理者経験がある場合、8〜12週間で80〜120時間の学習時間を計画してください。そのバックグラウンドがない場合は、大幅に長くなります。試験は約120分 — ほとんどのアソシエイト試験より長い — で、多肢選択、多肢応答、ドラッグ＆ドロップ、ホットエリア、ケーススタディ形式の40〜60問が出題されます。

最も一般的なつまづきは、Microsoft Entraの高度な機能の広さです — 条件付きアクセス、PIM、ID保護、エンタイトルメント管理、アクセスレビューはそれぞれ異なる構成インターフェースを持ち、試験では微妙なシナリオの違いが問われます。Microsoft SentinelのKQLハンティングクエリと分析ルール構成も、Azure経験が管理業務のみの受験者を頻繁に驚かせます。

試験のバージョン履歴

AZ-500 (current)2024-10
最新のスキル測定項目更新。Microsoft Defender for CloudのCSPMカバレッジを拡張し、Microsoft Defender for ContainersおよびDevOpsコンテンツを追加、Sentinelの自動化フレームワークを最新化しました。Microsoftは試験コードを変更せずに、約12〜18ヶ月ごとにAZ-500を更新します。
AZ-500 (2023 refresh)2023-04
現在の4つのドメインレイアウトに再構築され、セキュリティ運用に重点が置かれるように再バランスされ、Azure ADの参照がMicrosoft Entra IDに改名され、統合されたMicrosoft Defender XDRの概念が統合されました。
AZ-500 (initial)2019-02
最初のGA。当初の概要は、Azure AD、ネットワークセキュリティグループ、Azure Security Center、およびAzure Sentinel (当時はプレビュー) に焦点を当てていました。

よくある質問

AZ-500試験の難易度はどのくらいですか？

AZ-500 (Microsoft Azure Security Engineer Associate) は、実践的な実務経験とベストプラクティスに関するしっかりとした理解を期待される、中程度の難易度の試験 Associateレベルの試験です。ほとんどの受験者は、アソシエイトレベルの試験に6〜12週間かけて80〜150時間の学習を必要とします。練習試験で合格基準を安定して上回るスコアを獲得している受験者のほとんどは、初回で合格しています。

AZ-500の学習にはどのくらいの期間を要しますか？

ほとんどの受験者は、アソシエイトレベルの試験に6〜12週間かけて80〜150時間の学習を必要とします。合格までの時間は、これまでの経験によって大きく異なります。基礎となるテクノロジーでの実践的な本番経験を持つエンジニアは通常、より少ない時間で済みますが、プラットフォームに初めて触れる受験者は、この範囲の上限を目安に計画を立てる必要があります。

AZ-500認定は価値がありますか？

AZ-500は、Azureエコシステムで認められた資格であり、雇用主、リクルーター、クライアントに検証済みの知識を示します。あなたにとって時間と費用をかける価値があるかどうかは、あなたの役割と目標によります。通常、Azureを日常的に扱っている、またはそのような役割に就きたいと考えているクラウドエンジニア、アーキテクト、コンサルタントにとって最も報われる傾向があります。

AZ-500の合格点は何点ですか？

AZ-500の合格点は700 / 1000です。試験には50問の問題が含まれており、所要時間は2 時間です。

AZ-500試験の費用はいくらですか？

AZ-500試験の受験料は$165 USDです。受験料はAzureによって設定されており、地域によって異なる場合があります。予約する前に、常にAzureの公式認定ページで現在の価格を確認してください。

AZ-500認定の有効期間はどのくらいですか？

Microsoftロールベース認定は1年後に期限切れになりますが、失効の6か月前からMicrosoft Learnで監督なしのオンライン評価を介して無料で更新できます。

AZ-500をオンラインで受験できますか？

はい。試験はオンライン（プロバイダーのセキュアブラウザを介して監督され、ほとんどの地域で24時間年中無休で利用可能）または営業時間内のピアソンVUE試験センターで対面で受験できます。どちらの形式も同じ問題、時間制限、合格点を使用します。

CertLabProのAZ-500練習試験には何問ありますか？

CertLabProでは、AZ-500の練習問題バンクで15の学習モードを提供しています。試験シミュレーションモードは、実際の試験を反映しており、2 時間で50問、合格基準は700 / 1000と同じです。ブラウズモードでは、すべてのQ&Aを静的に読むことができます。

AZ-500

Microsoft Azure Security Engineer Associate

225問の練習問題

最終確認：April 2026

試験ドメイン

Manage Identity and Access27%

Secure Networking23%

Secure Compute, Storage, and Databases22%

Manage Security Operations28%

ℹ️

試験情報

登録、料金、受験方法、ポリシー

→

📝

試験モード

50問のランダム出題
120分のカウントダウン
最後にスコア表示 (合格: 700/1000)
実際の試験をシミュレート

📘

プレイブック

シナリオ → ソリューションのパターン
試験ドメイン別にグループ化
ウェブとモバイルで完全かつ無料
純粋なリファレンス — 問題なし、採点なし

📚

練習モード

全225問
時間制限なし
各回答後に即時フィードバック
自分のペースで学習

📑

閲覧モード

全225問を1ページで
答えと解説が表示
試験前のクイックレビュー
スクロールで閲覧

🌿

Zenモード

1問ずつ
スワイプまたは矢印キー
シャッフルオプションあり
リラックスしたフラッシュカード学習

⚡

タイムアタック

60秒からスタート
正解で+10秒
不正解で-5秒
ハイスコアを目指せ

❤️

サバイバル

時間制限なし
1問間違えたら終了
連続正解を継続
正確性への挑戦

⚩

ブリッツモード

1問あたり15秒
素早い回答でスピードボーナス
ストリーク倍率 (2x, 3x...)
アーケードスタイルの速度テスト

🏃

スプリントモード

ストップウォッチ式タイマー
10/25/50問連続正解を目指す
不正解でストリークリセット
自己ベストタイムを更新

🎓

フラッシュカードモード

問題のみ表示、選択肢なし
タップで答えを表示
評価：知っていた / 一部 / 知らなかった
弱い問題がより早く再出題

📚

詰め込みモード

未出題の問題を優先
次に間違えた問題
各回答後に即時フィードバック
総カバー率を追跡

🔥

ストリークチャレンジ

時間のプレッシャーなし
最長ストリークを追跡
不正解でゼロにリセット
自己最高記録を更新

💪

ウィーケストリンク

間違えた問題のみ
各問題を3回正解で習得
習得進捗を追跡
弱点を克服

📅

SRS復習

毎日の間隔反復復習
最適な間隔で問題をスケジュール
評価：もう一度 / 難しい / 良い / 簡単
毎日の復習ストリークを積み上げよう

🛠️

ハンズオンラボ

プレーンな Terraform / OpenTofu
各ブロックの解説付き
ターミナルにコピー＆ペースト可能
試験ドメインに関連付け

📝

学習ノート

学習のための個人ノートとリソースリンク

📅

活動カレンダー

認定でフィルター

概要

試験範囲

Manage Identity and Access27%
27%を占める最大のドメイン。Microsoft Entra ID (ユーザー、グループ、MFA、条件付きアクセス、PIM、ID保護、B2B/B2C)、エンタープライズアプリケーション、アプリ登録、RBAC、カスタムロール。条件付きアクセスのシナリオが多めに予想されます。
Secure Networking23%
約23%。NSG、ASG、Azure Firewall、Front Door / Application GatewayのWeb Application Firewall、DDoS Protection、Private Endpoints / Private Link、Service Endpoints、Bastion。トラフィックフローのシナリオが多めです。
Secure Compute, Storage, and Databases22%
約22%。VMの強化、Azure Disk Encryption、Microsoft Defender for Servers、コンテナセキュリティ、ストレージアカウントセキュリティ (ファイアウォール、SAS、暗号化、不変性)、Key Vault、Azure SQLセキュリティ (TDE、Always Encrypted、RLS)。
Manage Security Operations28%
約28%。Microsoft Defender for Cloud (CSPM、CWPP、規制コンプライアンス)、Microsoft Sentinel (データコネクタ、分析ルール、ワークブック、KQLハンティング、自動化)、セキュリティ用Azure Policy、組み込みのセキュリティアラートとインシデント対応。

この試験で扱う Azure サービス

試験で出会うサービスと、それぞれが重要な理由。

コアサービス

Microsoft Entra IDAWS ドキュメント ↗
ユーザー、グループ、アプリ登録、Conditional Access ポリシー、MFA、ジャストインタイム昇格のための Privileged Identity Management (PIM) を備えたクラウドIDディレクトリ。
試験に出題される理由：ドメイン 1 (ID とアクセスを管理する) は Entra ID を中心に構築されており、Conditional Access、MFA の適用、PIM のアクティベーションが試験で最も頻繁に問われるトピックです。
Microsoft Entra ID ProtectionAWS ドキュメント ↗
サインインリスク、ユーザーリスク、異常な移動信号が Conditional Access ポリシーに情報を提供し、適応的なチャレンジとブロックを行うリスクベースの ID 脅威検出。
試験に出題される理由：ドメイン 1 の侵害された認証情報や危険なサインインへの対応に関する問題では、ID Protection が Azure ネイティブな信号源として挙げられます。
Microsoft Defender for CloudAWS ドキュメント ↗
クラウドネイティブな CSPM + CWPP であり、Secure Score、規制コンプライアンスダッシュボード、推奨事項、サーバー、ストレージ、SQL、コンテナー、App Service、DNS 向けの Defender プランを提供します。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、Defender for Cloud が、複数のサブスクリプションにわたる態勢管理とワークロード保護のための単一の窓口として挙げられています。
Microsoft SentinelAWS ドキュメント ↗
クラウドネイティブな SIEM および SOAR であり、データコネクタ、分析ルール (KQL 駆動)、エンティティ行動分析 (UEBA)、プレイブック (Logic Apps)、インシデントトリアージを提供します。
試験に出題される理由：ドメイン 4 では Sentinel が AZ-500 の SIEM としてテストされ、コネクタ設定、分析ルール作成、プレイブックの自動化がほぼすべての試験形式で出題されます。
Microsoft Defender XDRAWS ドキュメント ↗
Defender for Endpoint、Identity、Office 365、Cloud Apps からの信号を相互に関連付け、クロスドメインインシデントと自動調査に統合する統一 XDR ポータル。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、Defender XDR (製品間の相関) と Sentinel (SIEM) が区別され、その境界に関する知識が繰り返しテストされます。
Azure FirewallAWS ドキュメント ↗
FQDN フィルタリング、脅威インテリジェンスフィード、TLS 検査 (Premium)、IDPS、および Firewall Policy を介した集中型ルール管理を備えたマネージドなステートフル Layer-3/4/7 ファイアウォール。
試験に出題される理由：ドメイン 2 (ネットワークを保護する) では、Azure Firewall がハブスポークおよび Virtual WAN トポロジにおける送受信検査プレーンとして挙げられています。
Azure Web Application Firewall (WAF)AWS ドキュメント ↗
Application Gateway または Front Door にデプロイされる Layer-7 WAF で、OWASP Core Rule Sets、カスタムルール、ボット保護、ポリシーごとの検出/防止モードを備えています。
試験に出題される理由：ドメイン 2 とドメイン 3 の、インジェクション、スクレイピング、Layer-7 DDoS からパブリックウェブエンドポイントを保護する問題では、WAF が Azure ネイティブなエッジ防御として挙げられます。
Microsoft Defender for EndpointAWS ドキュメント ↗
Windows、macOS、Linux、iOS、Android 向けの EDR/EPP で、攻撃対象領域の縮小、自動調査と修復、脆弱性管理、脅威ハンティングを提供します。
試験に出題される理由：ドメイン 3 (コンピューティングを保護する) とドメイン 4 では、MDE が Defender for Cloud および Defender XDR にエンドポイント信号を供給するワークロードレベルの防御として登場します。

特化型サービス

Azure DDoS ProtectionAWS ドキュメント ↗
常時稼働のプラットフォーム DDoS (無料) に加え、アプリケーション層テレメトリ、コスト保護保証、迅速な対応を可能にする SRT アクセスを追加する Network および IP Protection SKU。
試験に出題される理由：ドメイン 2 では、無料の常時稼働ティアと有料の Network/IP Protection が区別され、これはパブリック向けワークロードの強化に関する繰り返し出題される試験シナリオです。
Azure BastionAWS ドキュメント ↗
パブリック IP の公開や受信 NSG ルールの開放なしに、ポータルまたはネイティブクライアントを介して VM への RDP/SSH を仲介するマネージドジャンプボックス。
試験に出題される理由：ドメイン 2 とドメイン 3 のセキュアアクセスシナリオでは、ジャンプボックスインフラやパブリック IP なしで VM 管理を行うための解答として Bastion が挙げられます。
Azure Private Link + Private EndpointAWS ドキュメント ↗
Microsoft バックボーン経由で Azure PaaS (Storage、SQL、Key Vault など) およびパートナーサービスへのプライベート IP アクセスを提供し、パブリックインターネットへの露出を排除します。
試験に出題される理由：ドメイン 2 とドメイン 3 では、サービス機能を維持しつつ PaaS からパブリックエンドポイントを削除するための規範的なパターンとして Private Endpoint がテストされます。
Azure Network Security Groups (NSGs)AWS ドキュメント ↗
サブネットまたは NIC スコープで、優先順位付けされた許可/拒否ルール、アプリケーションセキュリティグループ (ASG)、フォレンジック用の NSG フローログを備えたステートフル Layer-3/4 ACL。
試験に出題される理由：ドメイン 2 (ネットワークを保護する) では、NSG ルールの優先順位、ASG ベースのセグメンテーション、トラフィック監査のためのフローログキャプチャがほぼすべての形式でテストされます。
Microsoft Defender for Servers / Storage / SQL / ContainersAWS ドキュメント ↗
Defender for Cloud のワークロード層保護プラン — Defender for Servers (MDE 統合)、Storage (マルウェアスキャン)、SQL (脆弱性 + 脅威検出)、Containers (Kubernetes 対応ランタイム)。
試験に出題される理由：ドメイン 3 (コンピューティング、ストレージ、データベースを保護する) は、ワークロード層ごとに正しい Defender プランを選択し、そのアラートを調整することに重点が置かれています。
Microsoft Defender for IdentityAWS ドキュメント ↗
オンプレミス AD 脅威検出 — ドメインコントローラーのトラフィックから、パス・ザ・ハッシュ、パス・ザ・チケット、ゴールデンチケット、偵察、横方向移動の信号を検出します。
試験に出題される理由：ドメイン 1 とドメイン 4 のハイブリッド ID 侵害検出に関する問題では、Defender for Identity が Defender XDR に情報を供給する AD 対応脅威センサーとして挙げられます。
Microsoft Purview Information Protection + DLPAWS ドキュメント ↗
Microsoft 365、Endpoint DLP、Azure データソース全体で、機密ラベル、暗号化、データ損失防止ポリシーを提供し、検出、分類、強制を実施します。
試験に出題される理由：ドメイン 3 (コンピューティング、ストレージ、データベースを保護する) では、Purview IP + DLP が機密コンテンツのデータ分類および保存時/転送時保護層として挙げられています。
Azure Container Registry (image scanning)AWS ドキュメント ↗
Defender for Containers のイメージスキャン、コンテンツ信頼、保持ポリシー、および複数リージョンでのプルパスのための geo レプリケーションを備えたマネージドレジストリ。
試験に出題される理由：ドメイン 3 のコンテナーシナリオでは、Defender スキャンを備えた ACR が、Kubernetes/AKS イメージ配布のセキュアサプライチェーンの解答として挙げられます。

セキュリティとガバナンス

Azure Key Vault (incl. Managed HSM)AWS ドキュメント ↗
Entra 統合 RBAC、論理削除、消去保護、BYOK/HYOK フローを備えた、シークレット、証明書、ソフトウェアまたは HSM ベースのキーのマネージドストア。
試験に出題される理由：ドメイン 3 (コンピューティング、ストレージ、データベースを保護する) では、ストレージアカウント/データベース TDE 暗号化キーの管理と、顧客管理キー (CMK) パターンについて Key Vault がテストされます。
Azure Policy + Initiatives + BlueprintsAWS ドキュメント ↗
拒否/監査/deployIfNotExists 効果、イニシアティブバンドル (例: CIS、ISO 27001、NIST 800-53)、環境ベースライン用 Blueprints を備えた宣言的ガバナンス。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、Azure Policy がセキュリティベースライン、暗号化要件、大規模なタグ付けの強制メカニズムとして挙げられています。
Microsoft Defender for Cloud AppsAWS ドキュメント ↗
クラウドアクセスセキュリティブローカー (CASB) であり、シャドウ IT の検出、SaaS 態勢管理、Conditional Access App Control を介したセッション制御、情報保護統合を提供します。
試験に出題される理由：ドメイン 1 とドメイン 4 では、未承認アプリの検出や Microsoft 365 / 接続された SaaS 上でのリアルタイムセッションポリシーの適用など、SaaS 側のガバナンスのために Defender for Cloud Apps が挙げられます。
Azure Monitor + Log AnalyticsAWS ドキュメント ↗
アクティビティログ、診断設定、メトリクス、KQL を介してクエリされる Log Analytics ワークスペースを提供する統合テレメトリであり、Sentinel と Defender for Cloud がデータを取り込む基盤です。
試験に出題される理由：ドメイン 4 (セキュリティオペレーションを管理する) では、診断設定を中央ワークスペースにルーティングするため、および Sentinel の分析ルールに情報を提供する KQL クエリのために Azure Monitor が活用されます。

キャリアへの影響

代表的な職務

Azureセキュリティエンジニア
クラウドセキュリティエンジニア
セキュリティオペレーションエンジニア
DevSecOpsエンジニア
シニアクラウドセキュリティエンジニア
クラウドセキュリティコンサルタント
IDおよびアクセス管理エンジニア

給与範囲（米国、概算）

$110k–$150k–$205k USD 年収

市場の需要

前提条件と推奨される学習パス

難易度と学習時間

試験のバージョン履歴

AZ-500 (current)2024-10
最新のスキル測定項目更新。Microsoft Defender for CloudのCSPMカバレッジを拡張し、Microsoft Defender for ContainersおよびDevOpsコンテンツを追加、Sentinelの自動化フレームワークを最新化しました。Microsoftは試験コードを変更せずに、約12〜18ヶ月ごとにAZ-500を更新します。
AZ-500 (2023 refresh)2023-04
現在の4つのドメインレイアウトに再構築され、セキュリティ運用に重点が置かれるように再バランスされ、Azure ADの参照がMicrosoft Entra IDに改名され、統合されたMicrosoft Defender XDRの概念が統合されました。
AZ-500 (initial)2019-02
最初のGA。当初の概要は、Azure AD、ネットワークセキュリティグループ、Azure Security Center、およびAzure Sentinel (当時はプレビュー) に焦点を当てていました。

よくある質問

AZ-500試験の難易度はどのくらいですか？

AZ-500の学習にはどのくらいの期間を要しますか？

AZ-500認定は価値がありますか？

AZ-500の合格点は何点ですか？

AZ-500の合格点は700 / 1000です。試験には50問の問題が含まれており、所要時間は2 時間です。

AZ-500試験の費用はいくらですか？

AZ-500認定の有効期間はどのくらいですか？

Microsoftロールベース認定は1年後に期限切れになりますが、失効の6か月前からMicrosoft Learnで監督なしのオンライン評価を介して無料で更新できます。

AZ-500をオンラインで受験できますか？

CertLabProのAZ-500練習試験には何問ありますか？

AZ-500

試験ドメイン

試験情報

試験モード

プレイブック

練習モード

閲覧モード

Zenモード

タイムアタック

サバイバル

ブリッツモード

スプリントモード

フラッシュカードモード

詰め込みモード

ストリークチャレンジ

ウィーケストリンク

SRS復習

ハンズオンラボ

学習ノート

活動カレンダー

概要

試験範囲

この試験で扱う Azure サービス

コアサービス

特化型サービス

セキュリティとガバナンス

キャリアへの影響

代表的な職務

給与範囲（米国、概算）

市場の需要

前提条件と推奨される学習パス

難易度と学習時間

試験のバージョン履歴

よくある質問

関連学習ガイド

関連する認定資格

AZ-500

試験ドメイン

試験情報

試験モード

プレイブック

練習モード

閲覧モード

Zenモード

タイムアタック

サバイバル

ブリッツモード

スプリントモード

フラッシュカードモード

詰め込みモード

ストリークチャレンジ

ウィーケストリンク

SRS復習

ハンズオンラボ

学習ノート

活動カレンダー

概要

試験範囲

この試験で扱う Azure サービス

コアサービス

特化型サービス

セキュリティとガバナンス

キャリアへの影響

代表的な職務

給与範囲（米国、概算）

市場の需要

前提条件と推奨される学習パス

難易度と学習時間

試験のバージョン履歴

よくある質問

関連学習ガイド

関連する認定資格