SC-900(セキュリティ・コンプライアンス・ID 基礎)の難易度・勉強法と演習問題150問【無料】

合格ライン 70% / 制限時間 45分 / 収録 150問(すべて無料・登録不要)

▸ いますぐ演習をはじめる

試験概要

SC-900はMicrosoftのセキュリティ・コンプライアンス・IDに関する入門認定試験だ。クラウドセキュリティの基本概念から、Microsoft Entra(旧Azure AD)・Microsoft Defender・Microsoft Purviewといった具体的な製品群まで、幅広く浅く問われる。ITエンジニアに限らず、コンプライアンス担当・法務・管理職など非技術職の受験者も少なくない。

試験範囲は4つの領域に分かれる。セキュリティ・コンプライアンス・IDの基礎概念(10〜15%)、Microsoft Entraの機能(25〜30%)、Microsoft Defenderをはじめとするセキュリティソリューション(35〜40%)、そしてMicrosoft Purviewなどのコンプライアンスソリューション(20〜25%)。Microsoftがセキュリティ製品の名称を大幅に刷新した関係で、旧名称(Azure AD、Azure Sentinelなど)と現在の名称(Microsoft Entra ID、Microsoft Sentinel)を対応させて覚えておく必要がある。

合格するとMicrosoft Certified: Security, Compliance, and Identity Fundamentalsバッジを取得できる。有効期限はなく、一度取得すれば更新不要だ。セキュリティ方面に進みたい人がSC-200やSC-300などの上位試験を目指す前の足がかりとして使うことが多い。

難易度

難易度はFundamentalsレベルの中でやや高めという評価が多い。AZ-900やDP-900と比べて、製品名・サービス名の種類が多く、似た名称のツールを区別しながら覚える必要があるためだ。たとえばMicrosoft Defenderには複数のサービスラインナップがあり、それぞれの守備範囲を混同しやすい。

出題数は40〜60問、試験時間は45分(着席総時間は約65分)。合格スコアは700/1000だ。問題の多くは概念や用途の理解を問うもので、技術的な実装手順まで求められることはない。ただし「ゼロトラスト」「最小権限の原則」「多要素認証」といったセキュリティの考え方は、言葉だけでなく意味まで理解しておかないと本番で引っかかる。

「MicrosoftのツールがどういうシナリオでAzureのどのレイヤーを守るのか」という視点で整理すると、個別のサービス名が頭に入りやすい。製品名の暗記から入ろうとすると、途中でつらくなる。

勉強法

Microsoft Learnの「セキュリティ、コンプライアンス、ID の基礎」ラーニングパスから始める。日本語で読め、モジュールごとにナレッジチェックが用意されている。全体で10〜15時間が目安で、まずはここでサービスの名前と役割を一覧で把握することを優先する。

ラーニングパスを一周したら、弱い領域を特定して集中的に読み直す。特にMicrosoft Entra(ID管理)とMicrosoft Defender各製品の区別は間違えやすいので、表にまとめて自分で整理してみると記憶への定着が違う。セキュリティの用語は実務で聞いたことがある言葉と結びつけるとぐっと覚えやすくなる。

仕上げはこのページ下の演習問題で繰り返し確認する。間違えた問題の解説を読み、公式ページに戻って確認する往復を続ける。勉強期間は、IT経験者なら2週間前後、未経験なら1か月前後が現実的な目安だ。Microsoft Security Virtual Training Dayに参加すると受験料の無料バウチャーがもらえることがある。

よくある質問

試験は何問・何分ですか?

出題数は40〜60問、試験時間は45分です。受付・説明込みの着席時間は約65分になります。

受験料はいくらですか?

日本では12,980円(税込)が目安ですが、価格は改定されることがあります。申し込み前にPearson VUEまたはMicrosoftの認定資格ページで最新の金額を確認してください。Microsoft Security Virtual Training Dayを受講すると無料バウチャーがもらえる場合もあります。

AZ-900を先に取るべきですか?

必須ではありません。SC-900はAZ-900を前提としておらず、単独で受験できます。ただし、Azureの基本的な仕組みをまだ知らない場合は、AZ-900の内容を先に確認すると、SC-900のサービスをどのクラウド層が守っているのかが理解しやすくなります。

不合格になったら何日後に再受験できますか?

1回目の不合格後は24時間待てば再受験できます。2回目以降の失敗は14日間の待機が必要で、同一試験を12か月以内に受けられる上限は5回です。

合格スコアと有効期限を教えてください。

合格スコアは1000点満点中700点です。Fundamentals認定に有効期限はなく、一度取得すれば更新不要で永続します。

2026年時点で廃止・改訂の予定はありますか?

2026年6月時点でSC-900の廃止予定は発表されていません。なお同じ「-900」番台でもMS-900(Microsoft 365 Fundamentals)は廃止済みで、SC-900とは別の試験です。試験内容は随時更新されるため、受験前に公式の試験ページで最新の出題範囲を確認することをお勧めします。

出題ドメイン構成(収録問題の内訳)

ドメイン収録数
セキュリティ、コンプライアンス、および ID の概念19問(13%)
Microsoft Entra の機能41問(27%)
Microsoft セキュリティ ソリューションの機能56問(37%)
Microsoft コンプライアンス ソリューションの機能34問(23%)

収録問題一覧(全150問・解説つき)

  1. ある企業がクラウドサービスを採用する際、データ漏洩が発生した場合の責任範囲をクラウドプロバイダーと自社でどのように分担す…
  2. ある金融機関がクラウドのIaaS環境でシステムを運用している。セキュリティ担当者が「ゲストOSのパッチ適用」を実施しよう…
  3. ある企業のセキュリティチームが、社内ネットワーク境界での防御だけでなく、データ・アプリケーション・ID・エンドポイントな…
  4. ある組織がリモートワーク環境に移行したことで、社内ネットワーク内にいるユーザーも外部からアクセスするユーザーも同様にセキ…
  5. ある企業のセキュリティアーキテクトが、ゼロトラスト戦略を採用する際に「明示的に検証する(Verify explicitl…
  6. ある企業の情報セキュリティ担当者が、保管中の顧客データを保護するために暗号化を導入しようとしている。暗号化に使用する鍵と…
  7. ある企業がシステムに保存するユーザーパスワードのセキュリティを向上させようとしている。パスワードが漏洩した場合でも元のパ…
  8. ある企業がITガバナンスを強化するため、経営リスク管理の枠組みを整備しようとしている。具体的には、組織として守るべきルー…
  9. ある組織のセキュリティ担当者が、ユーザーがシステムにアクセスするプロセスを整理しようとしている。「ユーザーが誰であるかを…
  10. ある企業が取引先のB社システムにアクセスする際、自社のMicrosoft Entra ID(Azure AD)アカウント…
  11. ある企業がMicrosoft 365とSalesforceを併用しており、従業員がそれぞれに別々にログインしなければなら…
  12. ある組織のセキュリティ担当者が、Active Directoryなどのディレクトリサービスが果たす役割を整理しようとして…
  13. ある企業のセキュリティアーキテクトが、クラウドとオンプレミスのハイブリッド環境におけるゼロトラスト設計を検討している。ゼ…
  14. ある企業のCISOが、コンプライアンス担当部門から「規制当局の監査に備えてGRCプログラムを強化してほしい」という要請を…
  15. ある金融機関がクラウド上でSaaS型の会計システムを導入する際、データ保護の観点からセキュリティ担当者が暗号化方式を検討…
  16. ある企業のセキュリティチームが、多層防御(Defense in Depth)の考え方に基づいて複数のセキュリティ層を設計…
  17. ある組織のCISOが、GRC(ガバナンス・リスク管理・コンプライアンス)プログラムの構成要素を経営陣に説明しようとしてい…
  18. ある企業がゼロトラストアーキテクチャを導入しようとしている。ゼロトラストの原則に基づいた実装アプローチとして正しいものを…
  19. ある企業のセキュリティエンジニアが、暗号化とハッシュの適切な用途を同僚に説明しようとしている。それぞれの技術の説明として…
  20. ある企業がクラウドサービスを利用するためにMicrosoft Entra ID(旧Azure AD)を導入した。Entr…
  21. ある中規模企業がEntra IDでユーザーとグループを管理している。セキュリティグループと Microsoft 365グ…
  22. ある企業がWindows 10デバイスをEntra IDに参加させることを検討している。「Microsoft Entra…
  23. ある企業が既存のオンプレミスActive DirectoryユーザーをEntra IDと同期させたいと考えている。この目…
  24. ある企業のIT管理者が、ユーザーがパスワードを忘れた際に自分でリセットできる仕組みを導入したい。ヘルプデスクへの問い合わ…
  25. ある金融機関が、オンプレミスのActive DirectoryとEntra IDを同期するハイブリッドID環境を構築して…
  26. ある企業のセキュリティチームが、ユーザーがパスワードなしでWindowsにサインインできる仕組みを導入したい。Micro…
  27. ある企業が多要素認証(MFA)を導入しようとしている。セキュリティ担当者は「フィッシング攻撃に対して最も耐性が高い認証方…
  28. ある企業がEntra IDのセルフサービスパスワードリセット(SSPR)を展開している。SSPRで使用できる本人確認方法…
  29. ある企業のセキュリティ管理者が、リモートワーク中の社員が会社所有のデバイスから社内アプリにアクセスする際はMFAを不要と…
  30. ある組織のIT管理者が、ユーザーが会社のアプリにサインインする際に特定の条件を満たさない場合はアクセスを完全にブロックし…
  31. ある企業が条件付きアクセスポリシーを設定している。「全社員が社内基幹アプリにアクセスする際、準拠デバイス(Complia…
  32. ある企業のセキュリティアーキテクトが、Entra IDのロールとAzureのロールベースアクセス制御(RBAC)の違いに…
  33. ある企業がEntra IDの条件付きアクセスポリシーを設計している。「クラウドアプリへのアクセスをゼロトラスト原則に基づ…
  34. ある企業のグローバル管理者が、Entra ID Protection のユーザーリスクポリシーを設定した。「高リスク」と…
  35. ある企業がEntra IDのアクセスレビュー機能を導入した。四半期ごとに部門マネージャーが自分の部門メンバーのグループア…
  36. ある企業が外部パートナー企業の社員に社内のSharePointサイトへのアクセスを許可したい。パートナー社員は自社のID…
  37. ある企業がEntra ID の Privileged Identity Management(PIM)を導入した。グロー…
  38. ある企業がMicrosoft Entra ID Governanceのエンタイトルメント管理(Entitlement M…
  39. ある企業のセキュリティチームがPIM(Privileged Identity Management)のアクセスレビューを…
  40. ある企業がMicrosoft Entra ID Protection を使用してリスクベース条件付きアクセスポリシーを設…
  41. ある企業が Microsoft Authenticator アプリを使ったパスワードレス認証を導入しようとしている。Mi…
  42. ある企業がEntra IDのグループに基づいてアプリケーションのライセンスを自動割り当てる仕組みを構築したい。新入社員が…
  43. ある企業が Entra ID でユーザー管理者ロールを持つ管理者が実行できる操作について確認している。ユーザー管理者が実…
  44. ある企業がMicrosoft Entra IDの認証方法を検討している。Entra IDがサポートするパスワードレス認証…
  45. ある企業がEntra ID に登録されたエンタープライズアプリケーションの管理について検討している。「アプリの割り当て(…
  46. ある企業がMicrosoft Entra B2Cを使ったコンシューマー向けモバイルアプリの認証基盤を構築しようとしている…
  47. ある大企業のアーキテクトがEntra IDのハイブリッドID構成を検討している。パスワードハッシュSync(PHS)、パ…
  48. ある企業がEntra IDで動的グループ(Dynamic Groups)を活用したユーザー管理を導入している。動的グルー…
  49. ある企業のEntra ID管理者が、「ユーザー管理者」ロールと「パスワード管理者」ロールの違いについて調べている。パスワ…
  50. ある企業のセキュリティチームがMicrosoft Entra ID Protectionを導入した。Entra ID P…
  51. ある企業のセキュリティ管理者が、ゼロトラストセキュリティモデルを実装するために Entra ID の条件付きアクセスを使…
  52. ある大企業がグローバルにEntra IDを展開し、多数の子会社がそれぞれの Entra ID テナントを持っている。子会…
  53. ある企業がMicrosoft Entra Privileged Identity Management(PIM)を導入し…
  54. ある企業が Entra ID のMultifactor Authentication(MFA)を全社員に展開している。E…
  55. ある企業がEntra ID Governanceのエンタイトルメント管理を使って外部パートナーに一時的なプロジェクトアク…
  56. ある企業のセキュリティアーキテクトが、Microsoft Entra IDの「認証強度(Authentication S…
  57. ある企業がEntra IDのセキュリティ態勢を強化するために「セキュリティの既定値群(Security Defaults…
  58. ある企業がEntra IDでSSPR(セルフサービスパスワードリセット)と MFA を組み合わせて運用している。ユーザー…
  59. ある企業がEntra IDで「マネージドID(Managed Identity)」をAzure仮想マシンに割り当てた。マ…
  60. ある企業のIT管理者が、Entra IDのアクセスレビューを定期的に実施する理由を説明している。Entra IDのアクセ…
  61. ある企業が Azure 上の公開 Web アプリケーションを運営している。大量の偽トラフィックを送り付けてサービスを停止…
  62. ある開発チームが、Azure 仮想ネットワーク内の複数の仮想マシンに対し、同じポートフィルタリングルールをグループ単位で…
  63. ある企業のセキュリティチームが、パブリック インターネットから Azure 仮想マシンへの RDP/SSH ポートを閉じ…
  64. ある企業が Azure Key Vault を使用してアプリケーションの API キーと証明書を管理している。開発者がコ…
  65. ある企業が Microsoft Defender for Cloud を有効化し、Azure 環境のセキュリティ状態を把…
  66. ある金融機関が Azure 上で PCI DSS 準拠を証明するために、自社の Azure 環境が PCI DSS の各…
  67. ある企業が Azure 上でEコマースWebサイトを運営している。SQLインジェクション攻撃やクロスサイト スクリプティ…
  68. ある製造業の企業が Azure 仮想ネットワーク内に複数のサブネットを持ち、サブネット間のトラフィックをステートフルに検…
  69. ある企業がAzure上でWebフロントエンドとバックエンドAPIの2層構成のアプリを運営している。セキュリティチームは、…
  70. ある金融機関が Azure Key Vault を使い、HSM(ハードウェア セキュリティ モジュール)で保護された暗号…
  71. ある企業が Microsoft Defender for Cloud を使い、Azure VM・コンテナ・SQL データ…
  72. ある企業のセキュリティチームが Defender for Cloud のセキュア スコアを確認したところ、スコアを最も大…
  73. ある企業が Azure 上でマルチクラウド環境(Azure + AWS)を運用しており、AWS 上のリソースも含めてセキ…
  74. ある企業が Azure 上に本番 Web アプリを展開しており、グローバルなユーザーにコンテンツを配信している。Azur…
  75. ある企業がAzureセキュリティベースラインを使ってAzure Storageアカウントのセキュリティを強化したい。セキ…
  76. ある企業が Azure Key Vault でデータベースの接続文字列を管理している。監査要件として、誰がいつどのシーク…
  77. ある企業のセキュリティアーキテクトが、Azure 仮想ネットワーク内の複数のサブネット間および仮想ネットワーク外へのアウ…
  78. ある企業がAzure上でコンテナ化したマイクロサービスをAKS(Azure Kubernetes Service)クラス…
  79. ある企業が Azure Key Vault でマスター暗号化キーを管理し、複数の Azure サービス(Storage、…
  80. ある企業が Azure DDoS Protection Standard を有効化している。大規模なDDoS攻撃を受けた…
  81. ある企業のセキュリティ担当者が Microsoft Defender for Cloud の推奨事項を確認したところ、「…
  82. ある企業が Azure 上にWebアプリとデータベースを展開する際、ネットワークセキュリティを強化するために使用できるA…
  83. ある企業が Microsoft Defender for Cloud を導入し、Azure 環境のセキュリティ改善を進め…
  84. ある企業が Azure Key Vault を使用してシークレット、キー、証明書を管理している。Key Vault を安…
  85. ある企業が Microsoft Defender for Cloud の規制コンプライアンス ダッシュボードで ISO …
  86. ある企業が Azure 環境で DDoS 攻撃への対策を検討している。Azure DDoS Protection Sta…
  87. ある企業が Azure Firewall Premium を導入してゼロトラスト ネットワーク アーキテクチャを実現しよ…
  88. ある企業が Azure 上にハイブリッド環境を構成しており、オンプレミスのサーバーとAzure VMの両方を管理者が安全…
  89. ある中規模企業のセキュリティチームが、Azure 環境全体のログを一元収集して不審なアクティビティを監視したいと考えてい…
  90. セキュリティアナリストが Microsoft Sentinel でアラートを自動的に処理し、Teams へ通知を送信して…
  91. ある企業の IT 管理者が、Microsoft 365 メール環境でフィッシング攻撃やマルウェア添付ファイルから従業員を…
  92. ある金融機関がオンプレミスの Active Directory 環境に対するパスワードスプレー攻撃やゴールデンチケット攻…
  93. あるセキュリティチームが、Microsoft 365 環境で従業員が許可されていない SaaS アプリ(シャドー IT)…
  94. ある企業のセキュリティ運用チームが Microsoft Sentinel を導入し、Azure AD(Microsoft…
  95. あるグローバル企業のセキュリティチームが、Microsoft Sentinel で同一ユーザーによる複数国からの短時間ロ…
  96. ある企業が Microsoft Defender XDR を導入しており、エンドポイントで検出されたマルウェアインシデン…
  97. ある小売業の IT セキュリティ担当者が、Microsoft Defender ポータルで新たに検出された脅威インジケー…
  98. あるセキュリティアナリストが Microsoft Sentinel でインシデントを調査中に、同じ攻撃キャンペーンに関連…
  99. ある製造業の CISO が、ゼロデイ脆弱性を悪用した新型マルウェアについて、組織が攻撃を受ける前に脅威情報を収集し、防御…
  100. ある企業が Microsoft Defender for Endpoint を全端末に展開しており、セキュリティアナリス…
  101. あるセキュリティ運用チームが、Microsoft Sentinel に取り込んだ過去 90 日間のログを手動で検索し、ま…
  102. ある企業が Microsoft Copilot for Security を導入し、セキュリティアナリストが自然言語でイ…
  103. ある企業のセキュリティチームが、Microsoft Sentinel でフィッシングメールを検出した際に、自動的に送信元…
  104. あるセキュリティチームが Microsoft Defender for Cloud Apps を使って、組織内のユーザー…
  105. あるセキュリティアナリストが Microsoft Defender ポータルで、エンドポイントに展開された悪意のあるスク…
  106. ある企業が Microsoft Sentinel を使用しており、インシデント調査において同じ攻撃者から発生した複数のア…
  107. ある企業の SOC チームが、Microsoft Sentinel のスケジュール分析ルールで KQL クエリを設定して…
  108. ある大企業の SOC が、サプライチェーン攻撃のリスク評価のために、外部の脅威フィードから取得した悪意のある IOC(I…
  109. ある企業が Microsoft Defender XDR と Microsoft Sentinel を併用しています。セ…
  110. ある企業がインシデント対応の初動として、侵害されたユーザーアカウントに対する即時対応を検討しています。Microsoft…
  111. ある企業が Microsoft Sentinel のコストを削減しつつ、セキュリティ監視の品質を維持したいと考えています…
  112. ある企業のセキュリティチームが Microsoft Sentinel の導入を計画しています。Microsoft Sen…
  113. ある企業が Microsoft Defender XDR スイートを導入しています。Microsoft Defender…
  114. ある企業のセキュリティチームが Microsoft Defender ポータル(security.microsoft.c…
  115. ある企業が Microsoft Copilot for Security を評価しています。Microsoft Copi…
  116. ある企業が Microsoft Sentinel でのコスト最適化を検討しています。Microsoft Sentinel…
  117. ある企業のコンプライアンス担当者が、Microsoft 365 環境全体のコンプライアンス状態を一元的に把握し、規制要件…
  118. ある企業が、自社の GDPR や ISO 27001 への準拠状況をスコアとして可視化し、推奨アクションの優先度を把握し…
  119. ある医療機関が、患者の個人情報が含まれるメールや文書に自動的にラベルを付与し、暗号化や共有制限を適用したいと考えている。…
  120. ある金融機関が、規制要件として特定の財務記録を 7 年間保存し、その期間中は削除や改ざんを防止する必要がある。Micro…
  121. ある企業のセキュリティチームが、Service Trust Portal を参照しようとしている。このポータルで提供され…
  122. ある企業が、Microsoft 365 環境でどのようなデータが存在し、それがどのように分類されているかを把握するために…
  123. ある企業が、コンプライアンスマネージャーで特定の改善アクションを担当者に割り当て、実装状況を追跡したいと考えている。コン…
  124. ある多国籍企業が、EU 在住顧客の個人データを含む SharePoint Online ドキュメントが社外メールアドレス…
  125. ある法律事務所が、特定の訴訟案件に関連するメールや文書を収集・レビュー・エクスポートするための電子証拠開示(eDisco…
  126. ある金融サービス企業が、コンプライアンス担当者が Teams のチャットや SharePoint 上の通信を監視し、業界…
  127. ある企業が、退職予定の従業員が重要な知的財産ファイルを大量にダウンロードして USBドライブに保存するといったリスクを検…
  128. ある企業のコンプライアンスチームが、過去 180 日以内に発生した SharePoint ドキュメントの閲覧・ダウンロー…
  129. ある企業が、Microsoft 365 環境に存在するクレジットカード番号・社会保障番号などの機密情報がどの場所にどれだ…
  130. ある企業の法務チームが、従業員が組織外の弁護士と交わしたメールの弁護士依頼人特権(Attorney-Client Pri…
  131. ある企業が、従業員が意図せずして機密ドキュメントを Teams チャットで社外のゲストユーザーに送信することを防止したい…
  132. ある企業が Microsoft Priva を導入して、組織内の個人データの把握と個人情報保護リスクの低減を図りたいと考…
  133. ある企業が、法的保持(Legal Hold)をかけた従業員のメールボックスと OneDrive のコンテンツが、ユーザー…
  134. ある企業が Microsoft Purview レコード管理を活用して、特定のドキュメントを「規制レコード」として宣言し…
  135. ある企業がコンプライアンスマネージャーを使用して、新たに ISO/IEC 27701 フレームワークへの準拠評価を開始し…
  136. ある企業が、SharePoint Online に保存された財務レポートに「極秘」の秘密度ラベルを自動的に適用し、ドキュ…
  137. ある企業が、Microsoft Purview 情報保護のトレーニング可能な分類子(Trainable Classifi…
  138. ある企業が Microsoft Purview eDiscovery (Premium) のレビューセットを使用して、大…
  139. ある金融機関が、コンプライアンスマネージャーで NIST SP 800-53 評価を実施したところ、コンプライアンススコ…
  140. ある企業が、Microsoft Purview のアダプティブ保護(Adaptive Protection)機能をインサ…
  141. ある企業が Microsoft Purview 監査(Premium)の高度な機能を活用して、セキュリティインシデント調…
  142. ある規制業種の企業が、SharePoint Online に保存されたドキュメントが保持ポリシーによる保持期間終了後に廃…
  143. ある企業が Microsoft Purview インサイダーリスク管理を導入する際、プライバシー保護の観点から、初期調査…
  144. Microsoft Purview コンプライアンスポータルから直接アクセスできるコンプライアンス機能を 2 つ選択して…
  145. ある企業が Microsoft Purview の秘密度ラベルを Office ドキュメントとメールに適用する際にできる…
  146. ある企業が Microsoft Purview eDiscovery (Standard) と eDiscovery (…
  147. ある企業がデータライフサイクル管理として Microsoft Purview の保持ポリシーと保持ラベルの両方を検討して…
  148. ある規制業種の企業が Microsoft Purview インサイダーリスク管理のポリシーを設計している。インサイダーリ…
  149. ある企業が Microsoft Purview の DLP ポリシーをエンドポイント(Windows デバイス)に適用し…
  150. ある大企業が Microsoft Purview コンプライアンスマネージャーを使用して、GDPR と ISO/IEC …