AZ-500: Microsoft Azure セキュリティ技術スタディ ガイド

試験概要

• 認定資格: Microsoft Azure セキュリティ エンジニア アソシエイト
• 試験コード: AZ-500
• 対象者: Azure リソースのセキュリティを実装、管理、監視するセキュリティ エンジニア
• 必要経験: Azure 管理の実務経験、Microsoft Entra ID、コンピューティング、ネットワーク、ストレージに精通

測定スキル (2025年1月31日現在)

1. アイデンティティとアクセスのセキュリティ管理 (15-20%)

アイデンティティおよびアクセスのセキュリティ コントロールの管理

• Azure 組み込みロール割り当ての管理
• カスタム ロールの実装と管理 (Azure ロールおよび Microsoft Entra ロール)
• Microsoft Entra Permissions Management の実装と管理
• Microsoft Entra Privileged Identity Management のリソース計画と管理
• Azure リソースの多要素認証 (MFA) の実装
• クラウド リソースのための条件付きアクセス ポリシーの実装
• Microsoft Entra アプリケーション アクセスの管理

Microsoft Entra アプリケーション アクセスの管理

• エンタープライズ アプリケーションへのアクセスの管理 (OAuth 許可許可を含む)
• Microsoft Entra アプリ登録の管理
• アプリ登録の許可スコープの構成
• アプリ登録の許可同意の管理
• サービス プリンシパルの管理と使用
• マネージド ID の管理

2. ネットワークのセキュリティ (20-25%)

仮想ネットワークのセキュリティを計画および実装する

• ネットワーク セキュリティ グループ (NSG) およびアプリケーション セキュリティ グループ (ASG) の計画と実装
• Azure Virtual Network Manager を使用した仮想ネットワークの管理
• ユーザー定義ルート (UDR) の計画と実装
• 仮想ネットワーク ピアリングまたは VPN ゲートウェイの計画と実装
• Virtual WAN (セキュアな仮想ハブを含む) の計画と実装
• VPN 接続の保護 (P2S および S2S)
• ExpressRoute での暗号化の実装
• Azure リソースのファイアウォール設定の構成
• Network Watcher を使用したネットワーク セキュリティの監視

Azure リソースへのプライベート アクセスのセキュリティを計画および実装する

• 仮想ネットワーク サービス エンドポイントの計画と実装
• プライベート エンドポイントの計画と実装
• プライベート リンク サービスの計画と実装
• App Service および Functions のためのネットワーク統合の計画と実装
• App Service Environment (ASE) のためのネットワーク セキュリティ構成
• Azure SQL Managed Instance のためのネットワーク セキュリティ構成

Azure リソースへのパブリック アクセスのセキュリティを計画および実装する

• アプリケーション (App Service、API Management) への TLS の計画、実装、管理
• Azure Firewall (Firewall Manager を含む) の計画、実装、管理
• Azure Application Gateway の計画と実装
• Azure Front Door (CDN を含む) の計画と実装
• Web Application Firewall (WAF) の計画と実装
• Azure DDoS Protection Standard を使う必要性の推奨

3. コンピューティング、ストレージ、およびデータベースのセキュリティ (20-25%)

コンピューティングのための高度なセキュリティを計画および実装する

• VM へのリモート アクセスの計画と実装 (Azure Bastion、JIT)
• Azure Kubernetes Service (AKS) のネットワーク分離の構成
• AKS のセキュリティと監視の設定
• AKS 用の認証の構成
• Azure Container Instances のセキュリティ監視の構成
• Azure Container Apps のセキュリティ監視の構成
• Azure Container Registry へのアクセスの管理
• ディスク暗号化 (ADE、ホスト暗号化、機密ディスク暗号化) の構成
• Azure API Management のためのセキュリティ構成の推奨

ストレージのセキュリティを計画および実装する

• ストレージ アカウントのアクセス制御の構成
• ストレージ アカウント アクセス キーの管理
• Azure Files へのアクセスの選択と構成
• Azure Blob Storage へのアクセスの選択と構成
• データ セキュリティ脅威からの保護 (ソフト削除、バックアップ、バージョニング、不変ストレージ)
• Bring Your Own Key (BYOK) の構成
• Azure ストレージ インフラストラクチャ レベルでの二重暗号化の有効化

Azure SQL Database および SQL Managed Instance のセキュリティを計画および実装する

• Microsoft Entra データベース認証の有効化
• データベース監査の有効化
• 動的マスキングの計画と実装
• 透過的データ暗号化 (TDE) の実装
• いつ Azure SQL Database の Always Encrypted を使うべきかの推奨

4. Microsoft Defender for Cloud および Microsoft Sentinel を使用したAzureのセキュリティ (30-35%)

クラウド ガバナンス ポリシーの適用と管理を実装する

• Azure Policy でポリシーおよびイニシアチブを作成、割り当て、解釈する
• Azure Key Vault のネットワーク設定の構成
• Key Vault へのアクセスの構成 (金庫アクセス ポリシーおよび Azure RBAC)
• 証明書、シークレット、キーの管理
• キーの ローテーションの構成
• 証明書、シークレット、キーのバックアップと復元の実行
• バックアップを保護するためのセキュリティ コントロールの実装
• アセット管理のためのセキュリティ コントロールの実装

Microsoft Defender for Cloud を使用したセキュリティ ポスチャの管理

• Secure Score と Inventory を使用したセキュリティ リスクの特定と修復
• セキュリティ フレームワークに対する準拠性の評価
• コンプライアンス基準の管理
• カスタム基準の追加
• ハイブリッド クラウドおよびマルチクラウド環境 (AWS、GCP) の接続
• Microsoft Defender External Attack Surface Management の実装と使用

Microsoft Defender for Cloud を使用したセキュリティ保護の構成と管理

• ワークロード保護サービスの有効化
• Microsoft Defender for Servers、Databases、Storage の構成
• VM のエージェントレス スキャンの実装と管理
• Microsoft Defender Vulnerability Management の実装と管理
• Defender for Cloud DevOps Security (GitHub、Azure DevOps、GitLab) の接続と構成

セキュリティ監視およびオートメーション ソリューションの構成と管理

• Microsoft Defender for Cloud のセキュリティ アラートの管理と対応
• ワークフロー オートメーションの構成
• Azure Monitor で DCR を使用したネットワーク セキュリティ イベントとパフォーマンス データの監視
• Microsoft Sentinel のデータ コネクタの構成
• Microsoft Sentinel のアナリティクス ルールの有効化
• Microsoft Sentinel のオートメーションの構成

主な学習リソース

公式 Microsoft Learn パス

• アイデンティティとアクセスの管理
• プラットフォームの保護の実装
• データとアプリケーションのセキュリティ
• セキュリティ運用の管理

セキュリティ ドキュメンテーション

• Microsoft Entra ID セキュリティ
• Azure ネットワーク セキュリティ
• Azure ストレージ セキュリティ
• Microsoft Defender for Cloud
• Microsoft Sentinel
• Azure Policy

実践リソース

• Microsoft Learn での無料の実践用アセスメント
• Azure Security Center ラボ
• Microsoft Sentinel トレーニング ラボ
• Azure セキュリティのハンズオン ラボ

試験の詳細

• 合格点: 700
• 問題形式: 選択式、ケーススタディ、ドラッグアンドドロップ
• 試験時間: 120分 (非母国語話者の場合150分)
• 対応言語: 英語、日本語、中国語、韓国語、ドイツ語、フランス語、スペイン語、ポルトガル語など
• 試験料金: $165 USD (地域によって異なる)

重要なセキュリティ概念

ゼロ トラスト モデル

• 明示的な検証
• 最小特権アクセス
• 侵害を前提とする
• マイクロセグメンテーション
• セキュリティ境界としてのアイデンティティ

defense in depth

• 物理セキュリティ
• アイデンティティとアクセス
• 境界セキュリティ
• ネットワーク セキュリティ
• コンピューティング層
• アプリケーション層
• データ層

アイデンティティ セキュリティ

• 特権アイデンティティ管理 (PIM)
• 条件付きアクセス
• アイデンティティ保護
• アクセス レビュー
• エンタイトルメント管理

ネットワーク セキュリティ

• ネットワークのセグメンテーション
• DMZ の実装
• サービス エンドポイントとプライベート エンドポイント
• ネットワーク セキュリティ グループ
• アプリケーション セキュリティ グループ

データ保護

• 保管時の暗号化
• 転送中の暗号化
• キー管理
• データ分類
• データ損失防止

重要な Azure セキュリティ サービス

Microsoft Entra ID (旧Azure AD)

• 認証方法
• 条件付きアクセス ポリシー
• アイデンティティ保護
• 特権アイデンティティ管理
• アプリケーション管理

Azure Firewall

• FQDN フィルタリング
• ネットワーク ルール
• アプリケーション ルール
• 脅威情報
• Firewall Manager

Microsoft Defender for Cloud

• Secure Score
• 規制コンプライアンス
• ワークロード保護
• クラウド セキュリティ ポスチャ管理 (CSPM)
• クラウド ワークロード保護プラットフォーム (CWPP)

Microsoft Sentinel

• データ コネクタ
• アナリティクス ルール
• プレイブック (Logic Apps)
• ワークブック
• 脅威ハンティング

Azure Key Vault

• シークレット管理
• キー管理
• 証明書管理
• HSM バックのキー
• RBAC と金庫アクセス ポリシー

セキュリティのベスト プラクティス

アイデンティティ管理

• すべてのユーザーに MFA を有効化
• 特権ロールに PIM を使用
• 定期的なアクセス レビュー
• 条件付きアクセスの実装
• マネージド ID の使用

ネットワーク セキュリティ

• ハブ スポーク トポロジの実装
• サブネット レベルでの NSG の使用
• DDoS 保護の有効化
• Web アプリ用の WAF の実装
• プライベート エンドポイントの使用

データ セキュリティ

• 既定で暗号化を有効化
• カスタマー マネージド キーの使用
• データ分類の実装
• 定期的なバックアップおよび復元テスト
• ソフト削除の有効化

監視とレスポンス

• 診断ログの有効化
• セキュリティ アラートの構成
• インシデント対応の自動化
• 定期的なセキュリティ評価
• 脅威ハンティング活動

認定のパス

• 前提条件: Azure Fundamentals (AZ-900) が推奨されます
• 更新: Microsoft Learnを通じて12か月ごとに必須
• 関連資格:
  • Azure 管理者アソシエイト (AZ-104)
  • Azure ソリューション アーキテクト エキスパート (AZ-305)
  • セキュリティ オペレーション アナリスト (SC-200)

コンプライアンスとガバナンス

• Azure Policy vs RBAC
• 規制コンプライアンスのダッシュボード
• Azure Blueprints
• リソース ロック
• 管理グループ
• コスト管理とタグ