Microsoft Security (SC-900) 合格体験記

はじめに

私は普段、海外グループ会社のセキュリティ強化のプロジェクトに従事しており、
このたび、2025年8月に Microsoft Certified: Security, Compliance, and Identity Fundamentals (以下、SC-900) という、Microsoft 365 (以下、M365) 関連のセキュリティ入門資格に合格しました。

本記事では、どのようにSC-900を学び、試験に臨んだかをまとめています。
これから受験を考えている方や、M365のセキュリティ分野を基礎から学びたい方の参考になれば幸いです。

SC-900 とは

• 概要：SC-900は、Microsoft認定資格の一つで、セキュリティ、コンプライアンス、IDの基礎知識を体系的に学べる入門試験です。特にMicrosoft 365やAzureにおけるセキュリティ機能の全体像を把握するのに適しています。
• 受験費用：税込み価格　13,398円　（単価：12,180円 ＋ 消費税：1,218円）※2025年8月時点
• 受験会場：テストセンター（CBT方式）

取得理由

私は以前、M365のセキュリティの運用業務に従事しており、M365のID管理、条件付きアクセス、多要素認証、国制限ポリシーの設定などを担当してきました。その経験を資格という形で可視化しようと思ったのが受験のきっかけです。
加えて、本試験の勉強を通して、業務では触れていなかった分野のAzure関連のセキュリティや、コンプライアンス領域についての理解が深まったというメリットも感じています。

受験をおススメする方

• M365やAzureに関連するセキュリティ運用・導入業務に携わっている方
• これからMicrosoftのセキュリティ分野でキャリアを始めたい方

合格結果の参照方法

• 合格基準： 1,000点満点中700点以上
• 結果：　　 9割超の得点で合格
  

通常、試験終了後はテストセンターでスコアレポートが印刷されますが、私の場合はエラーで印刷されず、後日オンラインで確認しました。
テストレポートと正式な合格証はそれぞれ別のサイトから参照します。

• Microsoft公式マイページ：試験結果ページから正式な合格証明書を確認可能
• Pearson VUE マイページ：各分野の正答率や総得点が記載された詳細スコアレポートを確認可能
  ※ Pearson VUE から申し込んだ場合

私の場合試験結果の反映が遅れており不安でしたが、後日確認したPearsonのスコアレポートには、試験後48時間以内には試験結果が反映される と記載されていたので、48時間以上経過しても反映されないようでしたら、サポートセンターに問い合わせても問題ないかと思います。

[試験結果が反映されていない類似のケース Q&A]

[Microsoft 資格試験に関するカスタマーサービスセンター]

試験対策の進め方

ここからは、私が実際に行った試験対策を紹介します。
「教材・ツール編（インプット、アウトプット、ハンズオン）」「考え方編」「勉強期間」という３つの視点で整理しています。

1. 教材・ツール編

[インプット]

1. Microsoft Learn （公式トレーニング）
まずは公式のMicrosoft Learnを活用しました。信頼性が高く、試験範囲を網羅しているため、基礎固めに最適です。私はネットサーフィン感覚で気軽な読み物として活用し、一度ですべてを理解しようと完璧主義にならないように読み進めました。

Microsoft Learn

2. Microsoft主催オンライントレーニングイベント
「Microsoft Security Virtual Training Day: セキュリティ、コンプライアンス、ID の基礎」に参加しました。無料で参加でき、試験範囲を効率よく視聴できるため、短期間で全体像をつかむのに役立ちました。

Microsoft主催オンライントレーニングイベント一覧

[インプット兼アウトプット]

3. 赤本（参考書、問題集）
市販のSC-900対策書籍、通称「赤本」を活用しました。
赤本は試験範囲の要点を体系的にまとめており、テキストとして読み進めるだけでなく、章末の問題演習と模擬問題集（2回分）を5回～10回ほど繰り返し解くことで理解度の確認と知識の定着が図れました。
特に、試験で問われそうだと思われる重要箇所には、「ここがポイント」とまとまっているのですが、その説明が本当に分かりやすく、何度も何度も助けられました。
また、Microsoft Learnと並行して利用することで、知識を効率的に深めることができました。

SC-900：赤本

[アウトプット]

4. Udemy（オンライン講座）
UdemyのSC-900対策向けの、模擬問題集をセール期間中に購入しました。
一問一答形式で、自分のペースで何度でも繰り返し取り組めるのが便利です。
動画での解説はありませんが、難しい概念や用語の説明が丁寧にされている点が特徴です。
特に、Microsoft Defender関連の説明がわかりやすく、Defender for Cloud, Cloud Apps, Office 365 など各機能に関し、繰り返し質問が問われたり丁寧な解説のおかげで、それぞれの違いを深く理解できました。

5. ChatGPT
本試験に限ったことではありませんが、ChatGPTを活用して、疑問点や用語を確認していました。

[ハンズオン ※注意：時間がある場合]

6. M365管理センターでの操作
SC-900の試験対策に加えて、実際の仕組みを学びたい場合は、M365の無償トライアルを申し込み、管理画面から条件付きアクセスや多要素認証などの設定を実際に試してみるのもおススメです。
ただし、試験合格だけが目的であれば、必ずしもハンズオンは必要なく、Microsoft Learnや参考書の赤本に掲載されている操作画面のキャプチャを確認するだけでも十分対応できます。
https://admin.microsoft.com/

2. 考え方編

ここでは、私が勉強する際に個人的に意識していたポイントを紹介します。
※あくまでも私個人のやり方ですので、参考程度にご覧ください。

言葉の意味を背景や関連情報と結び付けて覚える

例１：「Microsoft Defender for Endpoint」とは？　
例えば、「Microsoft Defender for Endpoint」の機能に関して問われる問題や、エンドポイント（PC、モバイル、サーバー）を保護する機能を実現するMicrosoftのソリューションを問う問題文に対する選択肢に、A：Microsoft Defender for Endpoint、B：Microsoft Defender for Office365 のように出てきたとします。
その際は、次のように連想もしくは頭の中で整理してから問題に取り組むと、質問の意図が理解しやすくなります。

• 「エンドポイント」とは？
  パソコンやスマートフォン、タブレットなどユーザが直接操作する端末を指します。
• 機能のイメージ
  「Defender for Endpoint」はこれらの端末のセキュリティを強化するための製品であるとざっくり捉えます。
• 対象OSの具体例
  Windowsクライアント、Windows10以降を実行するAzure仮想マシン、mac OS、Linuxなどの多様なエンドポイントをサポート
• 他の類似サービスとの区別
  同じ「Defender」シリーズでも、「Defender for Cloud」や「Defender for Office 365」 とは対象や機能が異なることを意識します。

例２：「トリアージ（Triage）」とは？
次の例は、「トリアージ(triage)」という単語が問題文中に出てきたとします。
Purviewの機能の一つである「インサイダーリスク管理」では、社内ユーザに起因するリスクを管理する仕組みで「トリアージ(triage)」という言葉が使われます。

• 言葉の意味
  トリアージ（Triage）とはもともと医療用語で、「傷病者の緊急度や重症度を判別し、優先的に治療が必要な人を選別すること」を意味します。
• セキュリティの分野での意味に置き換える
  セキュリティに置き換えると、「多数のアラートやリスクインベントの中から、どのインシデントを優先的に調査、対応すべきかを判断するプロセス」と理解できます。

例３：「ハンティングクエリ（Hunting Query）」とは？
次の例は、「ハンティングクエリ（Hunting Query）」という単語が問題文中に出てきたとします。
これは、Microsoft sentinelの機能の一つですが、その語源を調べるとイメージしやすくなります。

• 言葉の意味
  「狩る」を意味する [Hunting] から来ているので、積極的に脅威を探す行動のようなニュアンスだととらえます。
• セキュリティの分野での意味に置き換える
  「アラートなどの異常があったら対処するのではなく、異常が検知されていなくても、自発的にログやデータを調査し、潜在的な脅威を発見しにいくアクション」という理解につなげていました。

身近な例で理解を深める

例：「条件付きアクセス」とは？

• 「条件を付ける」とは、何に対して条件を設定するのか？を整理します。
• これはユーザがサインイン時にIDとパスワードを入力した後に、さらに追加の認証を設けることを意味します。
  この前提を基に、具体的な多要素認証の一例は下記のような流れになります。

【多要素認証（MFA）の例】
１. ユーザがIDとパスワードを入力
２. 条件付きアクセスの条件をチェック
　条件例1. デバイスがポリシーに準拠しているか
　条件例2. 多要素認証（MFA）が完了しているか
3. すべての条件を満たしていれば認証完了
このような前提の具体例をイメージしてから問題に取り組むと、問題の意図がよりクリアになります。

勉強期間

あまりコンスタントに時間が取れなかったため約2か月間、1日1～2時間の勉強を不定期でしていましたが、赤本とUdemyに集中し、勉強時間を確保すれば1か月以内の合格も十分可能だと感じました。

所感

• 知識だけでなくハンズオンでの実装経験があったことで理解が深まり、問題の意図や背景も多角的に想像できました。時間に余裕がある場合は、無料のライセンス期間を利用して検証環境を作り、実際に操作しながら学ぶことを強くおすすめします。実践的な学びは単なる暗記よりも効果的で、個人的には楽しいとも感じました。
• MS Learnは詳細を理解したいときに参照する程度で十分で、すべてを完璧に理解しようとせずに、試験対策用の参考書やUdemy教材を活用してアウトプットをするのが効率的です。
• また、MS-900やAZ-900の資格試験で勉強したことも生かせたので、これらの資格試験の勉強から始めてみるのもおススメです。

まとめ

改めて、最後までご覧いただきありがとうございました。
本記事が少しでもMicrosoft Security (SC-900) の合格の助けになれば幸いです。