Microsoft Certified: Security Operations Analyst Associate (SC-200) は、Microsoft Sentinel と Microsoft Defender XDR を使って脅威検知・調査・対応を行う SOC (Security Operations Center) アナリスト向け Associate 認定です。 日本国内では SOC・MSSP・社内 CSIRT 系の求人で必須要件として求められることが増えており、Microsoft セキュリティ製品スタックを採用する企業の SOC では事実上のスタンダード認定です。 SC-300 (Identity Admin) と並んで、Microsoft セキュリティ系 Associate の中で最も実務直結度が高い 1 本と言えます。
本記事では、SC-200 の試験仕様、4 ドメイン構成、Defender XDR スイートと Sentinel の運用ポイント、必須スキルである KQL、3-4 ヶ月の合格ロードマップ、合格後の展開ルートまでを整理します。 Microsoft セキュリティ製品は機能更新が頻繁な領域のため、最新の Skills measured 改訂版に必ず目を通すことが合格への前提です。
SC-200 の試験仕様は Associate ティア共通です。100 分・40 ~ 60 問、合格点 700 / 1000、165 USD / 21,103 円、12 ヶ月有効 (renewal assessment で更新可)。 Pearson VUE 経由で OnVUE オンラインまたはテストセンターで受験可能、日本語含む多言語対応。 出題形式は選択肢問題に加え、KQL クエリの読解、Defender XDR / Sentinel UI のシナリオ問題、ケーススタディを含み、SOC アナリストの実務フロー (アラート受信 → トリアージ → 調査 → 対応 → 振り返り) に沿った出題が多数を占めます。
Microsoft Defender XDR は、複数の Defender 製品を統合したクロスドメイン XDR スイートです。 構成製品は Defender for Endpoint (EDR、エンドポイント検知応答)、Defender for Identity (オンプレ AD への攻撃検知)、Defender for Office 365 (フィッシング / マルウェアメール対策)、Defender for Cloud Apps (CASB、SaaS アプリ可視化)、Defender for Cloud (CWPP / CSPM、Azure / AWS / GCP ワークロード保護)、Defender Vulnerability Management (脆弱性管理) の 6 つ。 これらが Defender XDR portal (旧 Microsoft 365 Defender portal) で統合インシデント管理され、複数製品にまたがる攻撃を 1 つのインシデントとして相関分析できる構成です。
SOC の基盤構築を扱うドメインです。 中心は Defender XDR portal の構成・ロール管理 (RBAC)、Microsoft Sentinel Workspace の設計・データコネクタ設定 (Microsoft 365・Azure Activity・AWS CloudTrail・Syslog・CEF・カスタムログ)、分析ルール (Analytics Rules) の構成 (Microsoft Security Rule・Scheduled Query Rule・Fusion・ML Behavior Analytics)、自動化ルール (Automation Rules) と Playbook (Logic App) の連携。 本ドメインの落とし穴は、Defender for Cloud (CWPP/CSPM) と Defender for Cloud Apps (CASB) の混同、そして Workspace の集約設計 (1 つの Sentinel Workspace に集約 vs 拠点ごと分離)。
攻撃を事前に防御・検知するルール設定を扱うドメインです。 中心は Defender for Endpoint の Attack Surface Reduction (ASR) ルール・Web Content Filtering・Network Protection・Application Control、Defender for Cloud の Microsoft Cloud Security Benchmark 適合・Regulatory Compliance ダッシュボード・Just-in-Time VM Access・Adaptive Application Controls、Defender for Identity のセンサー (Domain Controller への展開)・Lateral Movement Path 検知、Custom Detection Rule (Defender XDR Advanced Hunting からの自動アラート化)、Sentinel Analytics Rule の Threshold / Severity 調整。
配点最大の中核ドメインで、本試験の合否を最も大きく左右します。 中心は Defender XDR でのインシデント調査 (Attack Story の理解・Asset 関係グラフ・Timeline・Evidence and Response)、Sentinel での Incident Triage (Owner 割り当て・Severity 変更・タグ付け・関連アラート結合)、Playbook 実行 (Logic App によるレスポンス自動化: メール隔離・ユーザー無効化・IP ブロック・チケット起票)、Defender for Office 365 でのフィッシング対応 (Submissions・Threat Explorer・Tenant Allow/Block List)、Threat Intelligence (TI) の活用 (Microsoft Defender Threat Intelligence・TAXII フィード・Indicators of Compromise)。
実機経験のない受験者にとってこのドメインが最大の関門で、可能であれば実際の SOC 環境または検証環境で Sentinel のインシデント対応フローを 5-10 件触っておくと点数が大きく変わります。
既知のアラートに頼らず未知の脅威を能動的に探索するスキルを扱うドメインです。 中心は Sentinel Hunting Query (KQL で書かれた仮説検証クエリ)、Notebooks (Jupyter) による高度な調査 (Microsoft Sentinel ML notebooks の活用)、Bookmarks による調査中のクエリ結果保存、Livestream による継続的なクエリ実行、Defender XDR Advanced Hunting (M365 / Defender データへの KQL アクセス)、MITRE ATT&CK マッピング (Tactics / Techniques による Hunting 設計)。 Hunting は『Indicators of Attack (IoA)』ベースの能動的な脅威発見手法で、SOC のレベルを 1 段引き上げる重要スキルとして位置付けられています。
Microsoft Sentinel と Defender XDR Advanced Hunting のすべてのクエリは KQL で書かれます。 最低限必要な構文: project・extend・summarize・where・join・union・parse・extract・mv-expand・bin・ago・now・make-set・dcount。 SQL を書ける人なら数日でキャッチアップ可能で、文法は SQL より簡潔。学習リソースは Microsoft Learn の『Write your first query with Kusto Query Language』モジュールと、Azure-Sentinel GitHub リポジトリ の Detection / Hunting Query を 30-50 個読解 + 改変するのが王道です。
SOC 経験 1-3 年 + Azure 基礎を想定した 3 ヶ月プランです。Month 1: SC-900 の復習 + Microsoft Learn の SC-200 学習パス (Defender XDR 編) を消化、Defender for Endpoint・Defender for Office 365 のポータル UI に習熟。Month 2: Sentinel Workspace を構築、データコネクタを 5 種類有効化、Analytics Rule を 5 個、Playbook を 1 個、KQL Hunting Query を 10 個書く。Month 3: インシデント対応シナリオを 5-10 件演習、Threat Hunting と MITRE ATT&CK マッピング、公式 Practice Assessment を 80% 取れるまで反復。 SOC 未経験者は前段に SC-900 と SIEM 基礎の学習を 1-2 ヶ月置いて、合計 4-5 ヶ月計画が現実的です。
セキュリティ系を網羅するなら SC-300 (Identity and Access Administrator)・SC-400 (Information Protection Administrator) との二刀流が定番。SC-100 (Cybersecurity Architect Expert) で上位の戦略・アーキテクチャレイヤへ昇格、SC-500 (旧 AZ-500 後継、2026 年 9 月 GA 予定) で Azure セキュリティ実装の網羅。 SC-200 と SC-300 の使い分け詳細は『SC-200 vs SC-300 完全比較』で扱っています。 Microsoft 外の認定では、CompTIA Security+・CISSP・GIAC GCIA / GCFA・OffSec OSCP との二刀流が SOC / Red Team 転職市場で高く評価されます。 事業会社の社内 SOC アナリストを目指すなら SC-200 + SC-300 + SC-100 の 3 本セット、MSSP / コンサル系を目指すなら SC-200 + CISSP の組み合わせが有力です。
SC-200 はどんな試験ですか?
Microsoft Certified: Security Operations Analyst Associate (SC-200) は、Microsoft Sentinel と Microsoft Defender XDR を使って脅威検知・調査・対応を行う SOC アナリスト向け Associate 認定です。100 分・40-60 問・165 USD・700/1000 点合格・12 ヶ月有効・日本語含む多言語対応。Defender for Endpoint・Defender for Cloud・Defender for Identity・Defender for Office 365・Defender for Cloud Apps の Defender XDR スイートと、Microsoft Sentinel (SIEM/SOAR) の運用スキルが幅広く問われます。日本国内では SOC・MSSP・社内 CSIRT 系の求人で必須要件として求められることが増えています。
セキュリティ実務経験は必須ですか?
推奨されます。SC-200 はインシデント対応・脅威ハンティング・KQL クエリ作成といった『SOC アナリストの日常業務』を直接問う試験で、現場での経験がない人にとっては学習ハードルが高めです。最低でも、1) SIEM 製品 (Sentinel・Splunk・QRadar 等) のクエリ言語を 1 つ書ける、2) インシデントトリアージのワークフローを理解している、3) MITRE ATT&CK フレームワークの戦術 (Tactics) を一覧できる、の 3 点があると学習効率が大きく向上します。未経験者は SC-900 (Security Fundamentals) を先に取り、Microsoft Learn で Defender / Sentinel のハンズオン Lab を 30-50 時間消化してから SC-200 に進むのが現実的です。
出題ドメインと配点は?
4 ドメイン構成です。Manage a security operations environment (20-25%) で Defender XDR / Sentinel の構成・Workspace 設計・データコネクタ・自動化ルール。Configure protections and detections (15-20%) で Defender for Endpoint の Attack Surface Reduction・Defender for Cloud の Cloud Workload Protection・Defender for Identity のセンサー展開・Custom Detection Rule。Manage incident response (35-40%、最重要) で Defender XDR のインシデント調査・Sentinel での Playbook (Logic App) によるレスポンス自動化・Defender for Office 365 でのフィッシング対応・Threat Intelligence の活用。Perform threat hunting (15-20%) で Sentinel の KQL Hunting Query・Notebooks (Jupyter)・Bookmarks・Livestream 機能の活用。配点最大のインシデント対応ドメインで、実機経験が点数差を生みます。
KQL はどのくらい必要ですか?
事実上必須スキルです。Microsoft Sentinel のすべてのクエリ・Hunting Query・Workbook・Alert Rule・Custom Detection は KQL (Kusto Query Language) で書きます。最低限必要な操作: 1) project・extend・summarize・where・join・union の基本演算子、2) parse・extract・mv-expand の文字列・配列操作、3) bin・ago・now などの時間関数、4) make-set・dcount などの集計関数、5) externaldata・externalbase の外部データ参照。Microsoft Learn の『Write your first query with Kusto Query Language』モジュールと、Sentinel の GitHub サンプル Query (https://github.com/Azure/Azure-Sentinel) で 30-50 個のクエリを読解 + 改変するのが定石。SQL を書ける人ならキャッチアップは数日で済みます。
学習時間と合格ロードマップは?
SOC 実務経験 1-3 年で 80-120 時間、IT セキュリティ経験ありで Sentinel 未経験で 150-200 時間、未経験者で 300 時間以上というのが日本人体験記の平均レンジ。Microsoft Learn の SC-200 学習パス (約 50 時間)、公式 Practice Assessment、Azure 無料アカウント (200 USD / 30 日) で Sentinel ワークスペースと Defender for Cloud を有効化しての実機演習が王道。Defender for Endpoint・Defender for Identity はライセンス必要 (M365 E5 試用または Azure 評価ライセンスで対応可) で、可能なら所属企業の検証環境を活用するのが効率的です。3-4 ヶ月の集中学習が標準。
受験料と無料バウチャー入手ルートは?
165 USD / 21,103 円(税込)、Pearson VUE 経由のクレジットカード払いが標準。Associate ティアには Virtual Training Day の直接バウチャー特典はありませんが、Microsoft Reactor のセキュリティ系ハンズオンイベント、Microsoft Sentinel Ninja Training の完走特典、Cloud Skills Challenge のセキュリティ系チャレンジ完走バウチャー、Microsoft Ignite / Build などのイベント特典で割引・無料取得が可能です。Microsoft セキュリティ系認定 (SC-100 / SC-200 / SC-300 / SC-400 / SC-500) はキャンペーン頻度が比較的高く、無料バウチャーが入手しやすい傾向。Microsoft Learn の Cloud Skills Challenge を定期チェックするのが最も再現性高いルートです。
renewal (更新) はどうやりますか?
SC-200 は 12 ヶ月有効で、有効期限の 6 ヶ月前から Microsoft Learn 上の無料 renewal assessment で更新できます。Renewal assessment は本試験より大幅に簡略な 25-30 問程度のオープンブック形式 (Microsoft Learn の参照可) で、合格点も低めに設定されています。期限切れすると再取得は本試験合格が必要 (165 USD 再投資)。Defender / Sentinel は機能更新が頻繁な領域のため、renewal assessment の問題内容も最新機能 (例: Copilot for Security の自動 Triage 機能、Unified XDR ポータルの新インシデント体験など) に応じて毎年更新されます。Credly からの有効期限メール通知 + 期限 3 ヶ月前から更新着手が安全です。
SC-200 の次に取るべき認定は?
セキュリティ系を網羅するなら SC-300 (Identity and Access Administrator)・SC-400 (Information Protection Administrator) との二刀流が定番。SC-100 (Cybersecurity Architect Expert) で上位の戦略 / アーキテクチャレイヤへ昇格、SC-500 (旧 AZ-500 後継、2026 年 9 月 GA 予定) で Azure セキュリティ実装の網羅、Microsoft Certified: Identity and Access Administrator Expert ルートへの進化が選択肢。Microsoft 外の認定では、CompTIA Security+ や CISSP・GIAC GCIA / GCFA・OffSec OSCP との二刀流が SOC / Red Team 転職市場で高く評価されます。事業会社の社内 SOC アナリストを目指すなら SC-200 + SC-300 + SC-100 の 3 本セット、MSSP / コンサル系を目指すなら SC-200 + CISSP の組み合わせが有力です。
関連記事・試験情報
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
MS-102 完全ガイド|Microsoft 365 Administrator Expert 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Microsoft 365 Administrator Expert (MS-102) の完全ガイド。4 ドメインの出題範囲、テナント / Entra ID / Defender XDR / Purview を横断的にカバー、SC-300 / SC-200 との重複と差異、Microsoft 365 Developer Program 活用法、3-4 ヶ月の合格ロードマップ、SC-100 / MD-102 への展開ルートを日本語で網羅。
SC-900 完全ガイド|Microsoft Security, Compliance, and Identity Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900) の完全ガイド。Zero Trust・Microsoft Entra・Defender スイート・Purview の出題範囲、無料 Virtual Training Day バウチャー、4 週間合格ロードマップ、SC-200 / SC-300 / SC-500 / SC-100 へのキャリアパスを日本語で網羅。
SC-200 vs SC-300 完全比較|Microsoft Security Operations Analyst vs Identity Administrator の違いと選び方【2026 年版】
Microsoft セキュリティ系 Associate の双璧 SC-200 (Security Operations Analyst) と SC-300 (Identity and Access Administrator) を完全比較。対象ロール・出題範囲・難易度・学習時間・受験料・キャリアパスを表形式で整理。二刀流取得の価値、SC-100 への進化ルートまで日本語で網羅。
本記事の試験情報は Microsoft Learn 公式 SC-200 ページ および公式 Study Guide に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Sentinel、Microsoft Defender、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...