フォーム読み込み中
(2020年4月28日掲載)
ソフトバンク クラウドSEの小川潤です。入社して早一年が経ち、さまざまな業務に慣れてきました!今回はAZ-500と呼ばれるAzureのセキュリティ資格を取得してきましたので、AZ-500についてと、資格取得に向けた勉強方法についてご紹介いたします!
どれだけAzureを理解しているかを客観的に測りたいときはありませんか?
どれだけAzureを熟知しているかを証明したいと思ったことはありませんか?
そんなときには、MCP(Microsoft Certified Professional)の取得をお勧めいたします!
MCPって何?という方は、「これで安心!MCP!(申し込み編)」を参照ください。MCP受験方法から試験対策などが記載されており非常に有益な記事となっております!
Microsoftの認定資格は、下記のようにロール別(開発者・管理者・ソリューションアーキテクト・セキュリティなど)になっており、役割に合わせて受験できます。そのほかのクラウドベンダ資格に比べると、MCP資格試験は試験内容の変更・拡充が頻繁になされております。Microsoftの認定資格への力の入れようが伺えますね!
それでは本題に移っていきましょう。AZ-500については、公式Webサイトでは、以下のように述べられています。
“この試験では、ID とアクセスの管理、プラットフォーム保護の実装、セキュリティ運用の管理、データとアプリケーションの安全確保という技術的タスクを遂行する能力を評価します。”
(引用元: AZ-500: Microsoft Azure Security Technologies)
つまるところ、試験の名の通りAzureのセキュリティサービスの理解を問われる試験ということですね。では、試験の概要をみていきましょう。
試験の基本情報は以下の通りとなります。
項目 | 内容 |
---|---|
試験時間 | 150分 |
問題数 | 40~60問程度
|
合格点 | 700点(1000点満点) |
試験形式 | 筆記/ラボ(実技) |
現在、AZ-500ではラボと呼ばれるAzureポータルを実際に操作する実技問題が実装されています。しかし、小川が受験した際には、ラボが存在しておりませんでした。そのため、本ブログではラボ問題についてはアドバイスできませんので、ご了承ください。
問題形式は以下のようになっております。
筆記試験内容 | 内容と一言コメント |
---|---|
4択問題 | オーソドックスな適切な回答を選ぶ問題形式。各選択肢を吟味すると、明らかに問題文の要件・内容を満たさない選択肢を消去できるため、焦らずに解きましょう。 |
2択問題 | とあるケースについて、提案されているAzureプロダクト・サービスが要件を満たすか、満たさないかが問われる2択問題。一つのケースにつき数題出題され、一度回答を提出すると回答内容を修正できません。Azureプロダクト・サービスの深い理解が問われます。
|
空所補充 | ソースコードや文章の一部が空所となっており、問題文の内容を満たすように正しい回答を選ぶ形式。特に、ソースコードの空所補充問題については、実環境での操作をしていないと全く解けないので注意してください。 |
シナリオ問題 | とある架空の会社が抱える問題を解決するシナリオ問題。技術的要件やセキュリティ要件を満たすサービスやプロダクトの組み合わせを選択肢の中より選択します。一言でいえば、セキュリティに関する総合問題となっています。まずは選択肢を読み、問題文より該当する箇所を熟読すると無駄なく解けます。 |
実際の試験画面のサンプルは公式Webサイトに記載されているのでご確認ください。
(参考: マイクロソフト認定資格試験への登録)
AZ-500の出題範囲は、以下の通りとなっております。なお、小項目については公式Webサイトを参照ください。
出題分野 | 具体的に問われる内容 | 出題率 |
---|---|---|
IDとアクセスの管理 | ワークロード向けAzure Active Directoryを設定する Azure AD Privileged Identity Managementを設定する Azureテナントのセキュリティを設定する | 20-25% |
プラットフォーム保護の実装 | ネットワークセキュリティを実装する
ホストセキュリティを実装する コンテナのセキュリティを実装する サブスクリプションセキュリティを実装する Azureリソースを管理するためのセキュリティを設定する | 35-40% |
セキュリティ運用の管理 | セキュリティサービスを設定する セキュリティポリシーを設定する セキュリティアラートを設定する | 15-20% |
データおよびアプリケーションの保護 | データを管理するためのセキュリティポリシーを設定する データインフラストラクチャのセキュリティを設定する 保存データの暗号化を設定する アプリケーションセキュリティを設定する Azure Key Vaultを設定および管理する | 30-35% |
(参考: AZ-500公式アウトライン)
私が受けた際(2019年12月末)の問題数は44問でした。問題数は受ける問題セットによって前後するようです。上述の通りですが、Azureポータルを利用した実技試験はありませんでした。
AZ-500の試験範囲通りですが、Azureセキュリティについての深い理解が問われる試験でした。AzureAD、ポリシー定義やAzure Monitorなどのセキュリティに関する問題が多々出題されました。また、仮想マシン、仮想ネットワークやネットワークセキュリティグループなどAzure環境の構成をセキュアにデザインする方法についても問われました。
AZ-500では、Azureセキュリティサービスやプロダクト仕様の隅々まで問われるため、他のMCP資格とは一線を画しており、難易度は高めです。セキュリティの実装手順やネットワーク構成上の注意点など、Azureのセキュリティ関連サービスの実装経験がないと答えられない問題が多数あります。
ここまで読み進め、少し不安になってきた方もいるかもしれませんが、大丈夫です!
以下に述べる試験対策を実践し、また小川がまとめたセキュリティラーニングパスをこなせば、合格が見えてきます!
Techblogの過去の記事「これで安心!MCP!(申し込み編)」 と重複しますが、
また、関連するMCP資格試験の受験をお勧めいたします。特に、AZ-103(参照:Microsoft Azure Administrator)を優先して取得することを強くお勧めします。AZ-103ではIaaSやPaaSが試験範囲となっており、これらの一部がAZ-500の試験範囲とオーバーラップしています。そのためAZ-103の対策を行っておくことで、AZ-500の学習を容易に進められるでしょう。
残念なことに、現在Micrososft LearnにはAZ-500のラーニングパスが作られておらず、効率的に勉強する方法がありません。そこで、私なりにセキュリティラーニングパスを作成したのでぜひ参考にしてください。
※サービスやプロダクトの説明については省いております。
※ドキュメントを読み込みながら、「チュートリアル」章に記載されている実環境での操作手順を再現してみてください。
※本ラーニングパスでも、カバーしきれない試験範囲があります。公式のアウトラインを確認し、適宜ご自分で対策を進めてください。
この先に進む前に、以下のMicrosoft Learnに取り組むことを強くお勧めいたします。Azureのセキュリティの概観を短時間で学べ、この後に書かれている内容をより深く理解できるようになります。
Azure におけるセキュリティ、責任、信頼
Azure でのセキュリティのための設計
Azureでのセキュリティのための設計思想については、おおむねご理解いただけたでしょうか。それでは、次に進んでいきましょう。
この出題範囲では主にAzure ADの設定について問われます。また、Azureテナントのセキュリティを構成できるかも問われます。
手始めにAzure Active Directory の基礎のドキュメントを全体的に読んでみましょう。Azure ADの設定法などが詳細に書かれています。また、多要素認証を実装するなど、手を動かしながらAzure AD 条件付きアクセスのドキュメントを読み込むことを強くお勧めいたします。
ドキュメントを読み込んだ後は、以下のMicrosoft Learnに取り組んでみましょう。
(1)Azure AD Identity Protection
まず、Azureアカウントのセキュリティ保護についてまとめた資料(Azure AD Identity Protection のドキュメント)を一読しておきましょう。
(2)リスクの種類とレベル
Azureでは、あらかじめセキュリティリスクの種類やレベルが設定されています(参考: Azure Active Directory リスク検出)。このリスクレベルにあわせて、アクション(MFA要求・ブロック)を設定できます。
(3)Azureポリシー
Azureポリシーやイニシアティブの定義も、よく理解しておきましょう。Azureポリシーの設定を行えるようになると、セキュリティベースラインを担保できるようになります。ぜひ、Azureポリシーの設定ができるようになりましょう。
(4)ハイブリッドID
Azure AD Connectについては、オンプレミス側とAzure側でどのような手続きを行うかをしっかりと理解しましょう。
Privileged Identity Management(PIM)については、公式ドキュメント(Privileged Identity Management とは?)を確認してください。次に、Just-In-Time アクセスとは何かなどPIMをデプロイしながら理解してください。さらに、ユーザに一時的な特権ロールを付与できることを実際に手を動かして確認し、またこのユーザでログインを試みてください。
仮想マシンやネットワークなどのプロダクトを保護する知識が問われます。
仮想マシンのセキュリティラーニングパス(Azure で仮想マシンのホスト セキュリティを実装する)は、全てやり通しましょう。
また、仮想マシンの拡張機能を利用して、仮想マシンのセキュリティ管理を行う方法も確認しておきましょう。
(参考: Azure 仮想マシンの拡張機能とその機能)
(1)仮想ネットワークの基礎を学ぶ
仮想ネットワークの構成をよりセキュアにする方法を勉強しましょう。仮想ネットワークの作成はもとより、VPNの接続やVNetピアリングの作成などは実際に手を動かして確かめてみましょう。
(2)DockerやKubernetesのネットワーク設定について学ぶ
念のため、DockerやKubernetesのネットワーク設定についてもチェックしておきましょう。
(参考: Azure Kubernetes サービス (AKS) におけるネットワーク)
単純な仮想マシンとはどのような点でネットワーク構成が異なるかを押さえておきましょう。
仮想マシンや仮想ネットワークの通信を制御するNSGは、ネットワークセキュリティの要です。Microsoft Learnの内容は一通り理解した上で、実際に自分で実装してみてください。
NSG自体はコピーできるため、ほかのリソース設定時に流用できます。しかし、NSG内に設定したセキュリティ規則は流用できませんので、注意してください。
Azure Firewallについては、構成の仕方を理解しておけば問題ないでしょう。
Azure Firewallをデプロイ中に設定した項目については、よく覚えておくとよいでしょう。
アプリケーションセキュリティについては、Azure Web Appの概要で勉強しておきましょう。特に、アプリをAzure ADに登録する方法はご自分の手で再現してください。
(参考: アプリを Azure AD に追加する方法と理由)
コンテナー管理の公式ドキュメント(Azure Container Registry のドキュメント)を読んでみましょう。
特に、操作方法ガイドに記載されている「セキュリティと認証」のドキュメントを確認しておくとよいでしょう。
時間があるようでしたら、コンテナーの作成法についても理解しておきましょう。
(参考: Azure Container Registry を使用してコンテナー イメージをビルドして保存する)
この分野では、Azure MonitorやAzure Security Centerについて問われます。
Azure Monitorで収集できるデータについて押さえておきましょう。メトリックとは何か、アラートを設定するなど、一度手を動かして設定してみましょう。
ログ クエリについても一通り覚えておくとよいでしょう。
Log Analyticsワークスペースの作成やログの検索、さらにアラートルールの作成を一通り実施してみてください。
上記以外のチュートリアルについても、全てやり通してください。
Azure Security Center の公式ドキュメント(Azure Security Center)の内容はそこまで長くないため、じっくりと上から読まれることをお勧めします。また、以下のMicrosoft Learnにぜひチャレンジしてください。
データの暗号化やアクセスキーなどアクセス管理(Azure Key Vaultの設定)が問われます。
(1)セキュリティポリシーの策定
まず、データを管理するためのセキュリティポリシーを構成してみましょう。
データを漫然と管理するのではなく、一定のベースラインを策定して管理していきましょう。
(2)データベースの認証
データベース認証に関する公式ドキュメント(データベース セキュリティに関するベスト プラクティス)をよく読みこみましょう。
(3)データ暗号化
データの暗号化に関する公式ドキュメント(データ セキュリティと暗号化のベスト プラクティス)をよく読みこむことをおすすめします。
ここまでの内容の復習として、以下のMicrosoft Learnに取り組みましょう。
Azure Key Vaultは、Azure上に構築するサービスをセキュアに管理するためのサービスです。Key Vaultを使いこなすことで、よりセキュアなAzure環境を構築できます。
(1)Azure Key Vaultを構成する
Azure Key Vaultの管理権限の割り当てはRBAC(参考: Azure リソースのロールベースのアクセス制御 (RBAC) の概要)を利用します。また、Azure Key Vault内に格納されたリソースへのアクセス許可は、アクセスポリシーで構成します。このことに気を付けながら、Azure Key Vaultを構成しましょう。
(2)Azure Key Vaultを使用する
Azure Key Vaultを使用してキーの作成や保存をしてみましょう。
以下のMicrosoft Learnに取り組み、Azure Key Vaultを使用してトークンや証明書などのシークレットを安全に格納してみましょう。
長丁場となりましたが、お疲れ様でした。ここまでの内容を一通り理解していると、Azureのセキュリティについて概ね理解できたと言ってよいと思います。
本記事の内容が、これからAZ-500を受験する方に少しでも貢献できましたら幸いです。
皆さまのAZ-500合格をお祈りしております。
Microsoft Azureは、Microsoftが提供するパブリッククラウドプラットフォームです。コンピューティングからデータ保存、アプリケーションなどのリソースを、必要な時に必要な量だけ従量課金で利用することができます。
条件に該当するページがございません