【合格体験記】MS-500を取得するには！

はじめに

・MS-500に合格した記念に本記事を記載しました。私が受験したタイミングは、2021年12月12日で、スコアは781点での合格でした。

・MS-500の合格ラインは、700点で、試験時間は100分、問題数は68問でした。ピアソンVUEのテストセンターで受験していますが、従来的な選択肢から回答を答える形式で、特にシミュレーション問題は出題されませんでした。一部、後戻りのできない問題として、Yes or Noを答える問題が出題されたり、与えられた要件とインフラ条件から回答を答えるシナリオ問題が出題されました。

MS-500

・MS-500は、Microsoft 365 Security Administrationであり、Microsoft 365を利用したセキュリティスキルに関する試験となります。以下のような４つのカテゴリベースで構成される試験となります。現在のゼロトラスト型のセキュリティをMicorosoft製品で実現するにあたって、必要な知識の証明が可能になるものとなります。

　　①ID とアクセスの実装および管理 (35-40%)
　　②脅威保護の実装および管理 (25-30%)
　　③情報保護の実装および管理 (10-15%)
　　④Microsoft 365 のガバナンスおよびコンプライアンス機能の管理 (20-25%)

勉強方法

①検証環境の作成（無料）
・Microsoft 365 E5 を 無料で試用する方法として、試用版の登録がおすすめです。詳しいやり方については、昔書いた記事で恐縮ですが、以下サイトをご覧いただければと思います。

・Microsoft 365 開発者プログラムを利用すると、90日間無料でMicrosoft 365 E5ライセンス環境を25ユーザーライセンス分利用することができるようです。Microsoft 365はポータルサイトがいっぱいあるので、実際の画面を見るとより知識の定着が図れるかと思います。ちなみに、ちょこちょこ利用していると90日以上使えます！

②MS Learnの実施
・上記で検証環境を作りましたら、MS Learnを実施してみましょう。MS LearnのURLは以下ですので、がんばって制覇してみましょう。

③問題演習
・最後に問題演習としては、下記ブログの勉強方法がおすすめです。海外サイトを利用しており、前提知識がないと少しきついです。MS Learnで基礎知識を形成した後に、合格するための勉強とするのが良いかと思われます。

MS-500のナレッジ

・以下で、MS-500で出題されるであろう分野の覚え書きを記載します。何かのお役に立てば...

Microsoft 365 for Enterprise

・300ユーザ向けはMicorosoft 365 for Enterpriseと呼ばれる。

・EMS(Enterprise Mobility + Security)に関する構成要素としては、以下のようなものがある。

①Azure AD Identity Proteciton：Azure ADのIDに対して、脅威を検出する
②Defender for Identity：オンプレミスのActive DirectoryのIDに対して、脅威を検出する
③Defender for Cloud Apps：クラウドアプリに対するセキュリティ
④Defender for office 365：メールに対するセキュリティを提供する
⑤Defender for Endpoint：エンドポイントに対して、EDRを提供する
⑥Intune：エンドポイントに対して、ライフサイクル管理を行う

・AzureADには、以下のプランがある。

①Azure AD Free
②Azure AD Premium P1ライセンス(Microsoft 365 E3)
③Azure AD Premium P2ライセンス(Microsoft 365 E5)

・Office365 E3には、EOP(Exchange Online Protection)があり、Office365 E5には、Microsoft Defender for Office 365 プラン2がある。

・データの保管場所は、Microsoft 365管理センターの「設定」⇒「組織設定」⇒「データの保管場所」で確認することができる。

・Microsoftでは、カスタマーロックボックスを導入しており、顧客の同意がした場合にのみ一時的なアクセスが可能になる。Office 365 E5ライセンスを利用した場合に、Micorsoft 365管理センターの「設定」⇒「組織設定」⇒「セキュリティとプライバシー」で利用できる。

メールセキュリティ

★EOP
・Office 365 E3では、Exchange Online Protection(EOP)があり、既知のマルウェア対策となる。これは、Microsoft 365 Defenderポータルの「ポリシーとルール」⇒「脅威ポリシー」で設定する。E3の場合は、「迷惑メール対策」と「マルウェア対策」のところとなる。

・メール認証の機能がある。方式としては以下の３つ。エンベロープfromのスプーフィングにおける対策となる。

①SPF(Sender Policy Framework)：送信元メールサーバのIPアドレスを利用して、メールがなりすましかどうかを、受信
側のメールサーバが正当性を確認する。実現のためには、送信元のDNSにSPFレコードの登録が必要

②DKIM(Domain Key Identified Mail)：送信メールに署名を追加して、メールを受信する側が送信元の正当性を確認する。DKIMを利用するためには、DNSに指定されたCNAMEを登録し、Microsoft 365 Defenderポータルで、DKIMを有効にする必要がある。処理結果は、メールヘッダーに記録される。

③DMARC(Domain-based Message Authentication, Reporting,and Conformance)：送信元ドメイン認証を補助する技術。メール送信側が、メール受信側に対して、なりすましメールの注意喚起ができる。Microsoft 365の場合は、DMARCによって、スプーフィングのマークを与えて、スパムとして扱わせることができる。

★Microsoft Defender for Office365（MDO）
・Office 365 E5では、Micorosoft Defender for Office 365があり、未知のマルウェア対策となる。例えば、サンドボックス上で、添付ファイルを開いて挙動を確認して、添付メールを削除したり、メール中のリンクをブロックしたりする。本機能は、EOP通過後に実行される。

・これは、Microsoft 365 Defenderポータルの「ポリシーとルール」⇒「脅威ポリシー」で設定する。E5の場合は、「フィッシング対策」と「安全な添付ファイル」、「安全なリンク」のところとなる。

・ヘッダーfromの偽装に対する対策は、「フィッシング対策」⇒ポリシーの「Office365 AntiPhish Default」があり、Office 365 E5の機能となる。メッセージが「偽装」と判断された場合、メッセージを検疫したり、ユーザの迷惑メールフォルダへ送ることが可能。

・メールボックスインテリジェンスは、Office365 E3やE5で利用可能であり、普段やり取りしている相手を分析し、偽装されている可能性を検出する。

Azure AD

★パスワードレス認証
・MSが推奨しており、①Windows Hello ②Microsoft Authenticatorアプリ ③FIDO2セキュリティキーがある。これはパスワードではなく、生体認証やデバイスを利用している。

★多要素認証
・パスワード認証に加えて、別の認証要素も追加する認証方法。追加認証として、SMSで確認コードを送付したり、生体認証やMicrosoft Authenticatorアプリなどを利用するものがある。

★ロール
・PIM(Azure AD Privileged Identity Management)を利用することで、ロールの一時的な割り当てを実現することができる。Azure AD P2ライセンスが必要。承認者に承認要求を実施し、許可された場合にのみ対象ユーザにロールを割り当てする。

・アクセスレビュによって、ユーザに割り当てしたロールのレビューが可能。Azure AD P2ライセンスが必要。

★Azure AD Identity Protection
・パスワードスプレー攻撃やありえない移動、マルウェアにリンクしたIPアドレスなどIDに連携した情報を評価し、リスクレベルを判定し、アクセス制御を実施する。Azure AD P2ライセンスが必要。

★Microsoft Defender for Identity
・オンプレミスのActive Directoryに対して、AIによるID保護を実施する。Azure AD P2ライセンスが必要。

★条件付きアクセス
・Azure ADの条件付きアクセスは、Azure AD P1ライセンスで利用可能。以下サイトに詳細情報がある。
　条件付きアクセスは、「Azure Active Directory admin center」上の「セキュリティ」⇒「条件付きアクセス」において設定することができる。

Intune

★Microsoft Endpoint Manager admin center
・Intuneの管理ポータルのこと。

★アプリ保護ポリシー
・IntuneのもっているＭＡＭポリシーのこと。
・デバイスのローカルストレージに組織のデータが保存されることを禁止できたり、アプリ間のデータの移動を制限できる。
　例：アプリの操作時に、切り取り、コピー、貼り付けなどの制限。

・アプリ起動時に、PINコードを必須にさせることが可能。

★条件付きアクセス
・Azure AD P1ライセンスとIntuneを併用することで、アプリベースの条件付きアクセスやデバイスベースの条件付きアクセスを実現することが可能。

（アプリベースの条件付きアクセス）
・上記のアプリ保護ポリシーを強制させることができる。
・承認済みアプリ(AzureADのもっているリスト）のみを利用を認可させることが可能。この情報は、Microsoft AuthenticatorがAzure ADに送信する。

（デバイスベースの条件付きアクセス）
・IntuneのMDMの管理下におきコンプライアンスポリシーを適用し、デバイス準拠の状態をIntuneが判断し、AzureADへ通知する。この結果をもとに、準拠デバイスであれば、アプリケーション利用の条件付きアクセス許可する。

・Microsoft Defender for Endpoint(旧称：Microsoft Defender ATP,略称:MDE)との連携が可能。MDEはエンドポイントのリスクデータを収集している。この情報をIntuneに送り、デバイスベースの条件付きアクセスにおけるコンプライアンスポリシーの判断材料とすることができる。コンプライアンスポリシーには、脅威レベル（クリア、低、中、高）があり、エンドポイント端末のリスクスコアを条件付きアクセスに利用することができる。

★デバイス登録
・Intuneのデバイス登録は組織所有端末でも、個人（BYOD)端末でも可能。

（iOSやAndridにおいて）
・IntuneにiOSのデバイス登録するためには、Apple Push Notification service(APNs)を経由する必要がある。Intuneから直接iOS端末のデバイス登録はできない。そのため、IntuneにAPNs　MDMプッシュ証明書の登録が必要。

・IntuneにAndoridをデバイス登録する場合は、IntuneのテナントアカウントをマネージドGoogle Playに登録しておく必要がある。

（Windowsにおいて）
・Windows 10のデバイスをIntuneに登録する場合は、Configuration Managerと組み合わせることも可能。

①AzureAD joinedに参加すれば、自動的にIntuneに登録できる(AzureADのP1ライセンスが必要)。しかし、Azure AD joinedは、windows10以上のみサポートされており、オンプレのADに参加している場合は不可。

②Hybrid AzureAD joinedの場合は、既存ドメインを利用して、Intuneに登録することができるが。オンプレミスのADとAzureADをつなげるために、AzureAD Connect(AAD Connect)を利用することが必要。Windos8.1でも利用可能。

・intuneの[デバイス]の[構成プロファイル]の作成で、Window Hello for Businessを利用させることもできる。

DLP(データ損失防止)

・Microsoft 365コンプライアンスセンターで設定を実施することができ、下記場所にあるデータに対して、コンテンツ分析を実施し、機密性の高いアイテムの検出、保護を行う。
　　- Microsoft 365 , Teams , Exchange Online , SharePoint Online , OneDrive

・Microsoft 365コンプライアンスセンターで、「データ損失防止」⇒「ポリシー」の「ポリシーを作成」より、実装可能。ポリシー中に保護する情報を決めることができる。例えば、口座番号、免許証番号、マイナンバー、パスポート番号などを検出して、保護することができる。そして、ポリシーの「保護処理」の中には、インシデントレポートの通知先や大量の情報とみなすデータ数を決めることができる。実際の適用には、テストモードで適用することもできる。

Azure Information Protection(AIP)

・情報保護ソリューションのフレームワークのことで、情報に対して、検出、分類、保護、監視をつかさどる。

・統一されたラベル（秘密度ラベル、保持ラベル）の機能を提供する。Microsoft 365コンプライアンスセンターでラベルを管理する。従来はAzureポータルでの管理だったが、今はコンプライアンスセンターで管理する。

・秘密度ラベルは、視覚的なマーキング（透かし文字やヘッダーを付ける）や保護（暗号化、アクセス許可、コンテンツの期限）を提供する。Officeアプリを利用すれば、Windows OSだけではなく、macOSやiOS,Androidでも利用可能。AIP統合
ラベル付けクライアントをインストールする必要はある。

・AIPは、AIP統合ラベル付けクライアント、AIPオンプレミススキャナ（オンプレミスのデータストア内のデータをスキャンして、秘密度ラベル付与）といった機能をもつ。情報の保護範囲としてはファイルやメール、Teams,SharePointなどを設定することが可能。

・AIPはMIP(Microsoft Informtion Protection)の一部。MIPは、AIPやMCAS(Microsoft Cloud App Security )を含む。

・ラベルポリシーを作ることができる。例えば、役員用ポリシーや開発部用ポリシー、一般社員用ポリシーのようにラベルの定義や見え方を変えることができる。ポリシーの配布対象は、ユーザやグループで適用可能。AIP P2ライセンスを適用すると、自動分類や自動のラベル付けが可能。機密情報の種類として、クレジットカードやヘルスケア情報などがプリセットされている。

・コンテンツの場所に依存せず、暗号化やポリシーを維持することが可能。メールで送付した場合、受け取った相手側でも
認証を要求させることが可能。

・監視の機能は、Azure Information Protectionのページで、Azure Log Analyticsの分析結果を表示させることが可能。ドキュメントを追跡対象として登録すると、アクセス権を取り消すことも可能。

Defender for Cloud Apps

・ちょっと前までは、Microsoft Cloud App Security(MCAS)と呼ばれていました。Microsoft Defender for ???で統一される中で、このMCASも名称変更となりました。書きやすいので、MCASと以下記載してます。

・EMS E5を契約すると利用ができる、Cloud Access Securityu Broker(CASB)となる。CASBは、ユーザーとクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況の可視化や制限が可能。

・MCASは、以下と連携可能。
　- Microsoft Defender for Endpoint
　- Microsoft Defender for Identity
　- Azure AD Identity Protection
　- Azure AD 条件付きアクセス
　- Azure Sentinel
　- Microsoft Information Protectionの統合ラベル
　- Microsoft Intelligent Security Graph(マイクロソフトが保有する脅威情報DB)
　- ネットワークアプライアンスのトラフィックログ

・MCASは、Cloud App Securityポータルで利用することが可能。機能としては、Cloud App Discovery,アプリコネクタ,各種ポリシーがある。

(Cloud Discovery)
・組織内ネットワークのユーザが使用しているクラウドアプリの可視化を実施。ファイア―ウォール等（例：PaloaltoのPAシリーズ、ZscallerのZIA）のトラフィックログを蓄積することが必要となる。具体的には、オンプレミス側にログコレクターを作り、Log parser送付する。

・Microsoft Defender for endpointと連携することで、デバイス情報とも紐づけをすることができ、Cloud Discoveryでデバイスを特定することが可能。

・スコアリングは、自動で実施されるが、スコアメトリックを調整することで、独自の重みづけを実施することも可能。例えば、GDPRに準拠していることなど。低いスコアのアプリに対して、承認、非承認のタグ付けを実施したり、AzureADと連携して、条件付きアクセスを構成することも可能。

(アプリコネクタ)
・API経由で、ポリシーを構成し、SIEMと連携する。Microsoftの提供するSIEMは、Azure Sentinelとなる。APIが提供されているクラウドアプリとして、Azure,AWS,box,Dropbox,okta,salesforceなどがある。

・「Cloud App Securityポータル」⇒「調査」⇒「接続アプリ」から、アプリを選択し、アクセスの接続許可を行う。接続したアプリに対して、ユーザ単位で、操作ログ(fileのdownload,uploadなど)を取得することができる。ファイル収集を有効化し、アプリコネクタ上で、Office365ファイルを有効化することで、MCAS上でファイル情報も確認することが可能となる。

（各種ポリシー）
・異常検出ポリシー：ユーザの行動分析（UEBA)を機械学習で判定する。初期学習として、７日必要。

・アクティビティポリシー：ランサムウェアの可能性があるアクティビティや、大量のファイルのダウンロード、大量のサインインログ、不可思議な場所からのサインインなどを検出することが可能。

・ファイルポリシー：インターネットに長期間公開されたままのファイルや、機密性の高いファイルなどが検出されたときのアクションポリシー。ファイルのラベルの自動適用によった制御も可能。

（プロキシ）
・SAML2.0やOpenID Connectベースのアプリに対して、アプリの条件付きアクセスを提供する。アクセスポリシーに加えて、セッションポリシーを適用するため、セッションの監視をすることで、認可後の監視も可能。Microsoft Intuneに登録されていない端末も制御可能。

・プロキシ構成をとっていると、アプリへアクセスする際に、監視されている旨のページ遷移後、目的のサイトへアクセスさせるこができる。これによって、アプリの操作時に、MCASのセッションポリシーによって、ファイルのダウンロードをブロックしたりすることが可能。

Microsoft Defender for Endpoint

・Office E5のライセンスが必要なEDRです。

★AIR(Automated Investigation and Response)
・脅威を発見すると自動調査を実行するというものです。関連するエンティティとなる電子メールといったデータが収集されるます。さらに、修復アクションが提示されます。修復アクションは自動実行はされず、セキュリティ運用者の承認後、修復作業が実行される。

・脅威エクスプローラーを利用して、自動調査を開始することも可能。