Microsoft Security Operations Analyst
225問の練習問題
最終確認:April 2026
学習のための個人ノートとリソースリンク
認定でフィルター
Microsoft Security Operations Analyst (SC-200) は、Microsoft Sentinel、Microsoft Defender XDR、および Microsoft Defender for Cloud を使用して脅威を捜索し、アラートをトリアージし、インシデントに対応する SOC アナリストの実践的なスキルを検証する、アソシエイトレベルのロールベース試験です。対象者は、ゼネラリストではなく、現役のSOCアナリストおよびインシデントレスポンダーであり、KQLクエリ、分析ルール、自動化プレイブック、攻撃対象領域の削減、およびエンドポイント、ID、メール、クラウドワークロードにわたる製品横断的な調査に関するシナリオ重視の質問で、それが反映されています。SC-200 は、ティア1〜2のアナリスト向けの標準的な Microsoft スタック資格情報であり、企業 SOC の求人において推奨または必須としてリストされることが増えています。
Microsoft Sentinel (ワークスペース、データコネクタ、ウォッチリスト、脅威インテリジェンス) および Defender XDR (ロールベースアクセス、アラートとインシデント設定、カスタム検出) の構成。試験の約25%を占めます。どのコネクタがどのデータを取り込み、Sentinel と Defender XDR が統合ポータルを介してどのように統合されるかについて、具体的な知識が求められます。
Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、および Defender for Cloud での検出のチューニング。Sentinel でのカスタム分析ルール (スケジュール済み、NRT、Fusion、MLベース)。試験の約20%を占める — 最もKQLに重点を置いたドメインです。
最大のドメイン (30%)。Defender XDR と Sentinel 全体でのトリアージと調査、プレイブック (Logic Apps) を使用した自動化、SOC ワークフロー向けの Microsoft Security Copilot、およびアラートの相関付けからクローズ、インシデント後のレビューまでのエンドツーエンドのインシデントライフサイクル。
高度なハンティングスキーマ全体での KQL を使用した脅威ハンティング、組み込みクエリとブックマークを使用したプロアクティブなハンティング、MITRE ATT&CK マッピング、および脅威インテリジェンスの統合。試験の約25%を占めます。
試験で出会うサービスと、それぞれが重要な理由。
Azure 上に構築されたクラウドネイティブな SIEM および SOAR であり、環境全体からテレメトリを取り込み、KQL で脅威を探索し、自動化ルールとプレイブックを介して対応をオーケストレーションします。
試験に出題される理由: ドメイン 1 (セキュリティ運用環境の管理) は Sentinel を SIEM/SOAR の中核としており、データコネクタ、ワークスペース、コンテンツハブに関する問題が出題されます。
エンドポイント、ID、メール、クラウドアプリ、データにわたるシグナルを単一のインシデントキューとグラフに相関させる、侵害前および侵害後を統合した防御スイートです。
試験に出題される理由: ドメイン 3 (インシデント対応の管理) は、Defender XDR をクロスワークロードのインシデント調査サーフェスとしており、インシデントのマージ、証拠、グラフハンティングが問われます。
攻撃表面の削減、次世代アンチマルウェア、自動調査、ライブレスポンス、および Windows、macOS、Linux、iOS、Android 全体にわたる高度なハンティングを備えたエンタープライズ EDR です。
試験に出題される理由: ドメイン 4 (セキュリティ脅威の管理) では、Defender for Endpoint がデバイスに常駐する脅威検出、隔離、フォレンジック収集のための EDR 層として挙げられています。
Azure、AWS、GCP 全体にわたるセキュリティ態勢管理 (CSPM) とワークロード保護 (CWP) を提供し、推奨事項とランタイムアラートを Defender XDR に表示する CNAPP です。
試験に出題される理由: ドメイン 2 (保護と検出の構成) では、CWP プランの有効化と CSPM の修復がテストされ、Defender for Cloud がマルチクラウドワークロードアラートの指定された制御です。
Microsoft 365 のメールボックス、Teams、SharePoint、OneDrive を、Safe Links、Safe Attachments、および Attack Simulation Training を介してフィッシング、BEC、悪意のある添付ファイルから保護します。
試験に出題される理由: ドメイン 2 とドメイン 4 はメール/コラボレーションの脅威をカバーしており、Defender for Office 365 は SOC アナリストがトリアージする脅威エクスプローラーのクエリとポリシー制御を提供します。
オンプレミスの Active Directory の脅威検出であり、ドメインコントローラーのトラフィックから偵察、横方向の移動、Kerberos 悪用、ドメイン支配を検出します。
試験に出題される理由: ドメイン 4 はハイブリッド ID の脅威をカバーしており、Defender for Identity はインシデントを Defender XDR に供給する、AD に焦点を当てた検出層として挙げられています。
シャドウ IT を検出し、リバースプロキシを介してセッション制御を適用し、API コネクタとポリシーエンジンで承認済み SaaS を保護する CASB (Cloud Access Security Broker) です。
試験に出題される理由: ドメイン 2 は SaaS の脅威シナリオを扱っており、Defender for Cloud Apps はシャドウ IT の検出と条件付きアクセスアプリ制御のための指定された制御です。
エージェントレスの OT/IoT ネットワーク監視 (旧称 CyberX) と、産業用およびエンタープライズ IoT セグメントでの異常な動作を検出するデバイスビルダーエージェントです。
試験に出題される理由: ドメイン 4 は OT/IoT の脅威シナリオをカバーしており、Defender for IoT は Purdue モデルの可視性と ICS 対応検出のための指定されたプラットフォームです。
Log Analytics、Sentinel、Defender の高度なハンティングのための読み取り専用クエリ言語であり、スキーマ化されたイベントテーブルに対するパイプとフィルターの構文で、アドホックおよびスケジュールされた調査に使用されます。
試験に出題される理由: すべてのドメインで KQL の流暢さが前提とされており、ドメイン 3 のインシデント調査とドメイン 4 の脅威ハンティングでは、候補者が KQL クエリを読み書きできることが求められます。
KQL クエリと組み込みテンプレートを Sentinel 内のアラートとインシデントに変換する、スケジュール済み、NRT、Microsoft、ML 行動、および Fusion のルールタイプです。
試験に出題される理由: ドメイン 2 では、検出を構成する際に、分析ルールタイプ、重大度チューニング、およびインシデントグループ化ロジックが明示的にテストされます。
インシデント、アラート、またはアナリストのアクションによってトリガーされる Logic Apps ワークフローであり、エンリッチメント、チケット作成、アカウント無効化、およびホストの封じ込めを自動化します。
試験に出題される理由: ドメイン 3 は SOAR 自動化をカバーしており、プレイブックは自動応答と自動化ルールに紐づくヒューマンインザループ承認のための指定された解答です。
Azure Monitor Workbooks 上に構築されたカスタマイズ可能なダッシュボードであり、1 つまたは複数のワークスペースにわたって Sentinel データ、MITRE カバレッジ、アナリスト KPI を視覚化します。
試験に出題される理由: ドメイン 1 では SOC レポート作成と MITRE カバレッジの可視化がテストされ、ワークブックはアナリストおよびリーダーレベルのレポート作成のための指定されたテレメトリサーフェスを提供します。
VIP ユーザー、退職者、IOC フィード、アセットティアなどのキュレーションされた参照データであり、_GetWatchlist KQL オペレーターを介して分析ルールやハンティングクエリに結合されます。
試験に出題される理由: ドメイン 2 では、特定の資産に検出範囲を限定したり、ベースラインルールからのノイズを除外したりする際にウォッチリストが引用されます。
敵対的インフラストラクチャ、インジケーター、記事を TI コネクタを介して Defender XDR および Sentinel にマッピングする脅威インテリジェンスポータル (旧称 RiskIQ) です。
試験に出題される理由: ドメイン 4 では IOC の取り込みと敵対者属性付けがテストされ、Defender TI はキュレーションされたインジケーターフィードと脅威アクタープロファイルのための指定されたソースです。
組織に帰属するインターネットに公開された資産 (ドメイン、ホスト、証明書、IP ブロック) を継続的に検出し、外部から観測可能なリスクを可視化します。
試験に出題される理由: ドメイン 4 は外部攻撃対象領域のシナリオをカバーしており、Defender EASM は管理対象外のシャドウアセット検出のための指定されたツールです。
Defender for Endpoint 環境に対するリスクベースの脆弱性評価であり、CVE インベントリ、セキュリティベースラインスコアリング、ソフトウェアインベントリ、および修復要求ワークフローを備えています。
試験に出題される理由: ドメイン 4 は脆弱性の優先順位付けと修復追跡を扱っており、Defender VM はチケット管理のために Intune と統合された指定されたワークロードです。
ユーザーとワークロードを認証し、インシデント時に Sentinel と Defender XDR が相関させるサインイン、監査、ID 保護のシグナルを発行するクラウド ID プロバイダーです。
試験に出題される理由: ドメイン 3 のインシデントスコープは、Entra ID からのユーザー、サインイン、リスクのシグナルに繰り返し焦点を当てており、アナリストはこれらのログを読み取り、パスワードリセット/セッション取り消しなどの封じ込めアクションを適用する必要があります。
Sentinel の基盤となるテレメトリパイプラインと KQL を使用した Log Analytics ワークスペースであり、データ収集ルール、カスタムログ、および保持ポリシーはすべてこの層を介して処理されます。
試験に出題される理由: ドメイン 1 ではワークスペースアーキテクチャ、ログ取り込み、およびデータ所在性がテストされ、Sentinel 固有の機能は Azure Monitor / Log Analytics の基礎の上に構築されています。
MSSP または中央 SOC が委任された RBAC を使用して、顧客テナント間で Sentinel ワークスペース、Defender for Cloud、および Azure リソースを管理できるようにするクロステナント管理プレーンです。
試験に出題される理由: ドメイン 1 はマルチテナント SOC シナリオをカバーしており、Lighthouse は MSSP スタイルのクロステナント Sentinel アクセスのための指定されたプラットフォームです。
Defender for Cloud 内に組み込まれたコンプライアンス態勢エンジンであり、推奨事項をフレームワーク (CIS、ISO 27001、NIST 800-53、PCI DSS) にマッピングし、時間の経過とともに修復を追跡します。
試験に出題される理由: ドメイン 1 は SOC マネージャーの責任としてコンプライアンス態勢を提示しており、Defender for Cloud Regulatory Compliance はアナリストとリーダーが参照する指定されたダッシュボードです。
$85k–$120k–$165k USD 年収
この範囲は、米国を拠点とするSOCアナリスト、検出エンジニアリング、およびSentinelに特化した職務をカバーしています。ティア1アナリストや非沿岸地域の市場では低めになる傾向があり、大企業やMSSPのシニア検出エンジニアや脅威ハンターでは高めになる傾向があります。SC-200 の資格取得単独で給与が上がるわけではなく、実証された KQL の流暢さと以前のインシデント対応経験がより大きな要因となります。
出典: 米国労働統計局 OEWS 2024年5月 (15-1212 information security analysts, median ~$120k)、levels.fyi 2025年~2026年 security-engineering and SOC roles、(ISC)² Cybersecurity Workforce Study 2024。数値は概算であり、実際の報酬は職務、地域、経験によって異なります。
Microsoft Sentinel と Defender XDR は、既存の Microsoft 365 および Azure の基盤の上に自然にフィットするため、中規模市場および企業の SOC の大部分で展開されており、これにより SC-200 は最も広く認知されている SOC アナリスト認定の1つとなっています。採用担当者は、ティア1およびティア2アナリスト、検出エンジニアリング、Sentinelの実装関連の職務に対するスクリーニングシグナルとしてこれを使用し、MSSP はマネージドサービスとして Sentinel を運用するエンジニアにとって推奨される資格情報として頻繁にリストしています。(ISC)² の人材データは、2024年から2026年にかけてセキュリティ運用人材に対する永続的な未充足の需要があることを示しており、キャリアの初期段階でも SC-200 取得者は魅力的です。SC-200 を AZ-500 または SC-300 と組み合わせることで、シニア SOC および ID に焦点を当てた検出職務の履歴書が著しく強化されます。
必須の前提条件はありませんが、Microsoft は SC-200 をセキュリティ運用アナリストとしての実務経験(つまり、アラートのトリアージ、KQL クエリ、および本番テナントにおける Microsoft Sentinel、Defender XDR、または Defender for Cloud のいずれかへの実際の接触)を前提とするロールベースの試験と位置付けています。SOC 経験のない候補者は、初回受験で不合格になることが常です。
推奨される準備経路は、まず SC-900 (Microsoft セキュリティスタック全体の共通語彙のため)、次に Sentinel ワークスペースと Defender ポータルでの3〜6ヶ月の実践的な作業です。Microsoft 365 開発者テナントと Azure 無料アカウント上に構築された個人ラボでも、コネクタのセットアップ、分析ルール、KQL ハンティングの練習には十分です。Microsoft Learn は、試験シナリオと密接に連携した組み込みラボを含む18〜25時間の無料学習パスを提供しています。これを公式の練習アセスメントと KQL パターン認識のためのサードパーティ製問題集と組み合わせることが、最も効率的なルートです。
SC-200 は Microsoft のアソシエイトレベルの基準では中程度です。KQL の具体性においては AZ-500 よりも難しく、範囲においては SC-100 よりも容易です。SOC の経験がある場合は6〜10週間にわたって60〜100時間の学習を計画し、全く経験がない場合は100〜150時間を計画してください。試験時間は100〜120分で、多肢選択、複数応答、ドラッグ&ドロップ、ケーススタディ形式を含む約40〜60問が出題されます。合格点は Microsoft のスケールモデルで1000点中700点です。
二つの大きな障害は KQL の流暢さと製品の広さです。KQL クエリは試験に直接登場します — キーワードを認識するだけでなく、Sentinel と Defender の高度なハンティングスキーマに対するクエリを読み、推論する必要があります。製品の広さが問題となるのは、Defender ファミリーがエンドポイント、ID、Office 365、クラウドアプリ、クラウドワークロードにまたがり、それぞれが Sentinel との独自のポータルのニュアンスと統合のストーリーを持っているからです。実践的なラボをスキップし、ビデオコースだけに頼る候補者は、ケーススタディで壁にぶつかる傾向があります。
2021年4月に一般提供開始。Defender の Defender XDR への統合、Azure AD の Entra ID への名称変更、Microsoft Security Copilot の追加、および統一された Defender + Sentinel ポータルエクスペリエンスを反映するため、目標は複数回更新されています。ロールベースの資格情報は合格から1年後に失効します。Microsoft Learn での監督なしのオンラインアセスメントにより無料で更新できます。
SC-200 (Microsoft Security Operations Analyst) は、実践的な実務経験とベストプラクティスに関するしっかりとした理解を期待される、中程度の難易度の試験 Associateレベルの試験です。ほとんどの受験者は、アソシエイトレベルの試験に6〜12週間かけて80〜150時間の学習を必要とします。 練習試験で合格基準を安定して上回るスコアを獲得している受験者のほとんどは、初回で合格しています。
ほとんどの受験者は、アソシエイトレベルの試験に6〜12週間かけて80〜150時間の学習を必要とします。 合格までの時間は、これまでの経験によって大きく異なります。基礎となるテクノロジーでの実践的な本番経験を持つエンジニアは通常、より少ない時間で済みますが、プラットフォームに初めて触れる受験者は、この範囲の上限を目安に計画を立てる必要があります。
SC-200は、Microsoftエコシステムで認められた資格であり、雇用主、リクルーター、クライアントに検証済みの知識を示します。あなたにとって時間と費用をかける価値があるかどうかは、あなたの役割と目標によります。通常、Microsoftを日常的に扱っている、またはそのような役割に就きたいと考えているクラウドエンジニア、アーキテクト、コンサルタントにとって最も報われる傾向があります。
SC-200の合格点は700 / 1000です。試験には50問の問題が含まれており、所要時間は2 時間です。
SC-200試験の受験料は$165 USDです。受験料はMicrosoftによって設定されており、地域によって異なる場合があります。予約する前に、常にMicrosoftの公式認定ページで現在の価格を確認してください。
Microsoftロールベース認定は1年後に期限切れになりますが、失効の6か月前からMicrosoft Learnで監督なしのオンライン評価を介して無料で更新できます。
はい。試験はオンライン(プロバイダーのセキュアブラウザを介して監督され、ほとんどの地域で24時間年中無休で利用可能)または営業時間内のピアソンVUE試験センターで対面で受験できます。どちらの形式も同じ問題、時間制限、合格点を使用します。
CertLabProでは、SC-200の練習問題バンクで15の学習モードを提供しています。試験シミュレーションモードは、実際の試験を反映しており、2 時間で50問、合格基準は700 / 1000と同じです。ブラウズモードでは、すべてのQ&Aを静的に読むことができます。