AZ-500（Microsoft Azure Security Technologies)受験体験記

2.AZ-500(Microsoft Azure Security Technologies)とは

2.1 ざっくりと何が問われるのか

それでは本題に移っていきましょう。AZ-500については、公式Webサイトでは、以下のように述べられています。

(引用元: AZ-500: Microsoft Azure Security Technologies)
つまるところ、試験の名の通りAzureのセキュリティサービスの理解を問われる試験ということですね。では、試験の概要をみていきましょう。

2.2 試験形式

試験の基本情報は以下の通りとなります。

現在、AZ-500ではラボと呼ばれるAzureポータルを実際に操作する実技問題が実装されています。しかし、小川が受験した際には、ラボが存在しておりませんでした。そのため、本ブログではラボ問題についてはアドバイスできませんので、ご了承ください。

問題形式は以下のようになっております。

実際の試験画面のサンプルは公式Webサイトに記載されているのでご確認ください。
(参考: マイクロソフト認定資格試験への登録)

2.3 出題範囲

AZ-500の出題範囲は、以下の通りとなっております。なお、小項目については公式Webサイトを参照ください。

(参考: AZ-500公式アウトライン)

3.全体的な所感

3.1 問題数について

私が受けた際(2019年12月末)の問題数は44問でした。問題数は受ける問題セットによって前後するようです。上述の通りですが、Azureポータルを利用した実技試験はありませんでした。

3.2 問題内容について

AZ-500の試験範囲通りですが、Azureセキュリティについての深い理解が問われる試験でした。AzureAD、ポリシー定義やAzure Monitorなどのセキュリティに関する問題が多々出題されました。また、仮想マシン、仮想ネットワークやネットワークセキュリティグループなどAzure環境の構成をセキュアにデザインする方法についても問われました。

3.3 個人的に思うAZ-500の難易度

AZ-500では、Azureセキュリティサービスやプロダクト仕様の隅々まで問われるため、他のMCP資格とは一線を画しており、難易度は高めです。セキュリティの実装手順やネットワーク構成上の注意点など、Azureのセキュリティ関連サービスの実装経験がないと答えられない問題が多数あります。

ここまで読み進め、少し不安になってきた方もいるかもしれませんが、大丈夫です！
以下に述べる試験対策を実践し、また小川がまとめたセキュリティラーニングパスをこなせば、合格が見えてきます！

4.AZ-500試験対策について

Techblogの過去の記事「これで安心！MCP！(申し込み編)」 と重複しますが、

• 試験範囲に関わりがありそうなプロダクトのドキュメントを読み込む
• Microsoft Learnをやりこむ
• ドキュメントを読みながらAzureポータルを触る
  などに取り組むことが合格への近道だと思います。とにもかくも習うより慣れろ、です。

また、関連するMCP資格試験の受験をお勧めいたします。特に、AZ-103(参照:Microsoft Azure Administrator)を優先して取得することを強くお勧めします。AZ-103ではIaaSやPaaSが試験範囲となっており、これらの一部がAZ-500の試験範囲とオーバーラップしています。そのためAZ-103の対策を行っておくことで、AZ-500の学習を容易に進められるでしょう。

5.セキュリティラーニングパス

残念なことに、現在Micrososft LearnにはAZ-500のラーニングパスが作られておらず、効率的に勉強する方法がありません。そこで、私なりにセキュリティラーニングパスを作成したのでぜひ参考にしてください。

※サービスやプロダクトの説明については省いております。
※ドキュメントを読み込みながら、「チュートリアル」章に記載されている実環境での操作手順を再現してみてください。
※本ラーニングパスでも、カバーしきれない試験範囲があります。公式のアウトラインを確認し、適宜ご自分で対策を進めてください。

5.1 Azureでのセキュリティのための設計思想について学ぶ

この先に進む前に、以下のMicrosoft Learnに取り組むことを強くお勧めいたします。Azureのセキュリティの概観を短時間で学べ、この後に書かれている内容をより深く理解できるようになります。

Azure におけるセキュリティ、責任、信頼
Azure でのセキュリティのための設計

Azureでのセキュリティのための設計思想については、おおむねご理解いただけたでしょうか。それでは、次に進んでいきましょう。

5.2 IDおよびアクセスの管理(出題ウェイト:20-25%)

この出題範囲では主にAzure ADの設定について問われます。また、Azureテナントのセキュリティを構成できるかも問われます。

5.2.1 Azure AD

手始めにAzure Active Directory の基礎のドキュメントを全体的に読んでみましょう。Azure ADの設定法などが詳細に書かれています。また、多要素認証を実装するなど、手を動かしながらAzure AD 条件付きアクセスのドキュメントを読み込むことを強くお勧めいたします。

ドキュメントを読み込んだ後は、以下のMicrosoft Learnに取り組んでみましょう。

• Azure Active Directory のユーザーとグループの管理
• 多要素認証によるセキュリティで Azure Active Directory ユーザーを保護する
• Azure Active Directory のパスワード リセットのセルフサービスを使用して、ユーザーがパスワードをリセットできるようにする

5.2.2 Azureテナントのセキュリティ

(1)Azure AD Identity Protection
まず、Azureアカウントのセキュリティ保護についてまとめた資料(Azure AD Identity Protection のドキュメント)を一読しておきましょう。

(2)リスクの種類とレベル
Azureでは、あらかじめセキュリティリスクの種類やレベルが設定されています(参考: Azure Active Directory リスク検出)。このリスクレベルにあわせて、アクション(MFA要求・ブロック)を設定できます。

(3)Azureポリシー
Azureポリシーやイニシアティブの定義も、よく理解しておきましょう。Azureポリシーの設定を行えるようになると、セキュリティベースラインを担保できるようになります。ぜひ、Azureポリシーの設定ができるようになりましょう。

• Azure Policy のドキュメント
• ポリシー定義の構造の詳細
• 効果のしくみを理解する
• Azure Policy でインフラストラクチャの標準を適用して監視する

(4)ハイブリッドID
Azure AD Connectについては、オンプレミス側とAzure側でどのような手続きを行うかをしっかりと理解しましょう。

• オンプレミス AD と Azure の統合 - Azure Architecture Center
• Azure AD Connect:アカウントとアクセス許可
  パススルー認証やSSOなどのハイブリッドIDについての概要も確認しておくとよいでしょう。
  (参考: ハイブリッド ID のドキュメント)

5.2.3 Azure AD Privileged Identity Management

Privileged Identity Management(PIM)については、公式ドキュメント(Privileged Identity Management とは?)を確認してください。次に、Just-In-Time アクセスとは何かなどPIMをデプロイしながら理解してください。さらに、ユーザに一時的な特権ロールを付与できることを実際に手を動かして確認し、またこのユーザでログインを試みてください。

5.3 プラットフォーム保護の実装(出題ウェイト:35-40%)

仮想マシンやネットワークなどのプロダクトを保護する知識が問われます。

5.3.1仮想マシンセキュリティの実装

仮想マシンのセキュリティラーニングパス(Azure で仮想マシンのホスト セキュリティを実装する)は、全てやり通しましょう。
また、仮想マシンの拡張機能を利用して、仮想マシンのセキュリティ管理を行う方法も確認しておきましょう。
(参考: Azure 仮想マシンの拡張機能とその機能)

5.3.2 ネットワークセキュリティの実装

(1)仮想ネットワークの基礎を学ぶ
　仮想ネットワークの構成をよりセキュアにする方法を勉強しましょう。仮想ネットワークの作成はもとより、VPNの接続やVNetピアリングの作成などは実際に手を動かして確かめてみましょう。

• VPN Gateway のドキュメント
• Azure 仮想ネットワーク ピアリングの作成、変更、削除
• 仮想マシンのネットワークを構成する

(2)DockerやKubernetesのネットワーク設定について学ぶ
念のため、DockerやKubernetesのネットワーク設定についてもチェックしておきましょう。
(参考: Azure Kubernetes サービス (AKS) におけるネットワーク)
単純な仮想マシンとはどのような点でネットワーク構成が異なるかを押さえておきましょう。

5.3.3 ネットワークセキュリティグループ(NSG)の設定

仮想マシンや仮想ネットワークの通信を制御するNSGは、ネットワークセキュリティの要です。Microsoft Learnの内容は一通り理解した上で、実際に自分で実装してみてください。

• Azure セキュリティ グループの概要
• ネットワーク セキュリティ グループとサービス エンドポイントを使うことで Azure リソースへのアクセスをセキュリティで保護し、分離する

NSG自体はコピーできるため、ほかのリソース設定時に流用できます。しかし、NSG内に設定したセキュリティ規則は流用できませんので、注意してください。

5.3.4 Azure Firewall

Azure Firewallについては、構成の仕方を理解しておけば問題ないでしょう。

• チュートリアル:Azure portal を使用して Azure Firewall のデプロイと構成を行う

Azure Firewallをデプロイ中に設定した項目については、よく覚えておくとよいでしょう。

5.3.5 アプリケーションセキュリティ

アプリケーションセキュリティについては、Azure Web Appの概要で勉強しておきましょう。特に、アプリをAzure ADに登録する方法はご自分の手で再現してください。
(参考: アプリを Azure AD に追加する方法と理由)

5.3.6 Azure Container Registryサービス

コンテナー管理の公式ドキュメント(Azure Container Registry のドキュメント)を読んでみましょう。
特に、操作方法ガイドに記載されている「セキュリティと認証」のドキュメントを確認しておくとよいでしょう。
時間があるようでしたら、コンテナーの作成法についても理解しておきましょう。
(参考: Azure Container Registry を使用してコンテナー イメージをビルドして保存する)

5.4 セキュリティオペレーションの管理(出題ウェイト:15-20%)

この分野では、Azure MonitorやAzure Security Centerについて問われます。

5.4.1 Azure Monitor

Azure Monitorで収集できるデータについて押さえておきましょう。メトリックとは何か、アラートを設定するなど、一度手を動かして設定してみましょう。

• Azure Monitor を使用して Azure 仮想マシンからデータを収集する
• Azure でのアラートと通知監視の概要
• Azure Monitor ログを使用して Azure インフラストラクチャを分析する

ログ クエリについても一通り覚えておくとよいでしょう。

• Azure Monitor のログ クエリの概要

5.4.2 Log Analytics

Log Analyticsワークスペースの作成やログの検索、さらにアラートルールの作成を一通り実施してみてください。

• Log Analytics エージェントの概要
• チュートリアル - Azure Monitor でのメトリック グラフの作成

上記以外のチュートリアルについても、全てやり通してください。

5.4.3 Azure Security Center

Azure Security Center の公式ドキュメント(Azure Security Center)の内容はそこまで長くないため、じっくりと上から読まれることをお勧めします。また、以下のMicrosoft Learnにぜひチャレンジしてください。

• Azure Security Center を使用したセキュリティ上の脅威の検出
• Azure Security Center を使用してセキュリティ上の脅威を解決する
• Azure Security Center を使用して、ブルート フォースおよびマルウェア攻撃からサーバーと VM を保護する

5.5 データおよびアプリケーションの安全を確保する(出題ウェイト:30-35%)

データの暗号化やアクセスキーなどアクセス管理(Azure Key Vaultの設定)が問われます。

5.5.1 データ暗号化

(1)セキュリティポリシーの策定
まず、データを管理するためのセキュリティポリシーを構成してみましょう。

• データを管理するためのセキュリティ ポリシーを構成する

データを漫然と管理するのではなく、一定のベースラインを策定して管理していきましょう。

(2)データベースの認証
データベース認証に関する公式ドキュメント(データベース セキュリティに関するベスト プラクティス)をよく読みこみましょう。

(3)データ暗号化
データの暗号化に関する公式ドキュメント(データ セキュリティと暗号化のベスト プラクティス)をよく読みこむことをおすすめします。

ここまでの内容の復習として、以下のMicrosoft Learnに取り組みましょう。

• Azure Storage アカウントをセキュリティで保護する
• Azure SQL Database のセキュリティ保護

5.5.2 Azure Key Vault

Azure Key Vaultは、Azure上に構築するサービスをセキュアに管理するためのサービスです。Key Vaultを使いこなすことで、よりセキュアなAzure環境を構築できます。

(1)Azure Key Vaultを構成する
Azure Key Vaultの管理権限の割り当てはRBAC(参考: Azure リソースのロールベースのアクセス制御 (RBAC) の概要)を利用します。また、Azure Key Vault内に格納されたリソースへのアクセス許可は、アクセスポリシーで構成します。このことに気を付けながら、Azure Key Vaultを構成しましょう。

• Azure Key Vault の概要 - Azure Key Vault
• Azure portal を使用して Key Vault との間でシークレットの設定と取得を行う

(2)Azure Key Vaultを使用する
Azure Key Vaultを使用してキーの作成や保存をしてみましょう。

• Azure Disk Encryption 用のキー コンテナーの作成と構成
• Windows VM 用の Azure Disk Encryption を有効にする
• Linux VM に対する Azure Disk Encryption を有効にする
• Azure Storage の接続文字列を構成する
• Always Encrypted の列マスター キーを作成して保存する - SQL Server

以下のMicrosoft Learnに取り組み、Azure Key Vaultを使用してトークンや証明書などのシークレットを安全に格納してみましょう。

• Azure Key Vault でのシークレットの構成と管理
• Azure Key Vault を使用してサーバー アプリのシークレットを管理する

6. 最後に

長丁場となりましたが、お疲れ様でした。ここまでの内容を一通り理解していると、Azureのセキュリティについて概ね理解できたと言ってよいと思います。
本記事の内容が、これからAZ-500を受験する方に少しでも貢献できましたら幸いです。
皆さまのAZ-500合格をお祈りしております。

関連サービス