Microsoft Certified: Information Protection and Compliance Administrator Associate (SC-400) は、Microsoft Purview を中心とした情報保護・データ分類・DLP (Data Loss Prevention)・コンプライアンス管理を扱う管理者向け Associate 認定です。 SC-200 (SOC Analyst) / SC-300 (Identity Admin) と並ぶ Microsoft セキュリティ系 Associate の 1 つで、コンプライアンス担当 / 情報保護担当 / 法務部門連携エンジニアにとって価値の高い認定。 SC-100 (Cybersecurity Architect Expert) の前提認定の 1 つでもあり、SC-400 → SC-100 のキャリアパスが定番です。
本記事では、SC-400 の試験仕様、他の SC 認定との違い、4 ドメイン構成、Microsoft Purview の主要機能、Microsoft 365 Developer Program での実機演習、3-4 ヶ月の合格ロードマップ、合格後の展開ルートまでを整理します。 GDPR・HIPAA・APPI (日本個人情報保護法) など各種コンプライアンス要件を Microsoft 製品の機能で実装する技術担当者向けの試験という性質を理解することが、学習の出発点です。
SC-400 の試験仕様は Associate ティア共通です。100 分・40 ~ 60 問、合格点 700 / 1000、165 USD / 21,103 円、12 ヶ月有効 (renewal assessment で更新可)。 Pearson VUE 経由で OnVUE オンラインまたはテストセンターで受験可能、日本語含む多言語対応。 出題形式は選択肢問題に加え、Microsoft Purview Portal UI のシナリオ問題、DLP ポリシー / Retention Policy の動作判定、ケーススタディを含み、コンプライアンス管理者の実務フロー (要件整理 → ポリシー設計 → 適用 → モニタリング) に沿った出題が多数を占めます。
Microsoft セキュリティ系 Associate 3 試験 (SC-200 / SC-300 / SC-400) は、対象領域が明確に分かれています。
| 認定 | 対象領域 | 主対象製品 |
|---|---|---|
| SC-200 | SOC 業務 / 脅威検知・対応 | Microsoft Sentinel / Defender XDR |
| SC-300 | ID・認証・アクセス制御 | Microsoft Entra ID |
| SC-400 | データ保護・コンプライアンス・eDiscovery | Microsoft Purview |
三者は重複が小さく (10-20% 程度)、それぞれ独立した実務領域に対応。三刀流で取得すると Microsoft セキュリティスタック全領域をカバーでき、シニアセキュリティエンジニア / セキュリティアーキテクト職での強い差別化要因になります。
配点最大の中核ドメインで、本試験の合否を最も大きく左右します。 中心は Sensitivity Label の作成と適用 (Personal / Public / Internal / Confidential / Highly Confidential の 5 段階分類が標準パターン)、Auto-labeling (機械学習ベースの自動ラベリング)、Trainable Classifier (組織固有のドキュメントタイプを学習)、Sensitive Information Types (SIT) (200+ の組み込みパターン: クレジットカード番号・SSN・マイナンバー等)、Exact Data Match (EDM) (組織固有のデータベース照合)、Document Fingerprint (テンプレート文書の検知)、暗号化と権限制御 (Microsoft Information Protection [MIP] による DRM)、Information Rights Management (IRM)。 本ドメインの落とし穴は、Sensitivity Label の継承動作。親フォルダ / 親メール → 子ファイル / 子メールへのラベル継承パターンと、Container Label (SharePoint Site / Teams) の挙動を理解する必要があります。
Data Loss Prevention (DLP) のポリシー設計と運用を扱うドメインです。 中心は Exchange / SharePoint / OneDrive / Teams / Endpoint DLP ポリシー設計 (各 location でのカスタマイズ可能オプション)、カスタム DLP ルール (条件: Content contains・Document Property・Sensitive Information Type / アクション: Block・Notify・Encrypt・Allow with Justification)、DLP インシデント管理 (Alert・Activity Explorer・Endpoint DLP Activity Explorer)、Adaptive Protection (Insider Risk と DLP の統合、リスクユーザーに動的 DLP 適用)、Microsoft Purview Data Lifecycle Management 連携、Communication DLP (Teams / Exchange での会話モニタリング)。
文書保持と廃棄の戦略を扱うドメインです。 中心は Retention Policy / Label (組織全体への一律保持 vs 個別ラベル適用)、Records Management (規制対応文書の不変保持・Regulatory Record の宣言)、Disposition Review (保持期限到達文書のレビューと廃棄プロセス)、Adaptive Scope (動的スコープ・Department / Country など属性ベースの対象選定)、Retention Policy / Label の競合解決 (Retain wins over delete・Longer retention wins・Explicit wins)、Inactive Mailbox 管理、Litigation Hold / In-place Hold 戦略、Records Management に関する規制対応 (SEC 17a-4・FINRA・GDPR Right to be Forgotten)。
内部脅威と監査を扱うドメインです。 中心は Insider Risk Management (組み込みポリシーテンプレート: データ流出・退職者リスク・知的財産保護・セキュリティポリシー違反・優先ユーザー保護・医療データ流出など / Triage・Investigation・Forensic Evidence)、Communication Compliance (Teams / Exchange / Yammer での不適切コミュニケーション検知・キーワード / 機械学習ベース)、eDiscovery (Standard / Premium・Case 作成・Hold・Search・Review・Export)、eDiscovery Premium の高度機能 (Custodian Management・Computed Custodian Volume・Review Set・Analytics)、Audit (Standard / Premium) (Activity Log・Search-MailboxAuditLog・Long-term Retention up to 10 years)、Customer Lockbox (Microsoft サポートエンジニアの顧客データアクセスへの承認制御)。
Microsoft Purview は、Microsoft の統合データガバナンス / コンプライアンスプラットフォームで、2022 年に旧 Azure Purview (データカタログ) と Microsoft 365 Compliance Center を統合してリブランドされた製品です。 SC-400 で扱う Purview は主に Microsoft 365 文脈の機能 (Information Protection・DLP・Insider Risk・Communication Compliance・eDiscovery・Audit) を指し、Azure データ基盤のデータカタログ機能 (Purview Data Catalog・Data Map) は SC-400 範囲外。 両者は同じ Purview ブランドながら歴史的経緯で機能が分かれており、SC-400 学習では Microsoft 365 Compliance 文脈の Purview にフォーカスすることが重要です。Microsoft Purview Portal (旧 Microsoft 365 Compliance Center) の UI に習熟することが必須です。
Microsoft 365 管理者経験 1-3 年 + SC-900 取得済みを想定した 3 ヶ月プランです。Month 1: SC-900 の復習 + Microsoft Learn の SC-400 学習パス (Information Protection 編) を消化、Microsoft 365 Developer Program で無料 Tenant 取得、Sensitivity Label を 3-5 個作成し Auto-labeling 構成。Month 2: DLP / Retention ドメインを学習、DLP ポリシーを各 location で構成、Retention Label + Policy で文書保持戦略を 1 セット構成。Month 3: Insider Risk / eDiscovery ドメインと総仕上げ。Insider Risk Management ポリシー展開・Communication Compliance 設定・eDiscovery Case を 1 つ完走・公式 Practice Assessment を 80% 取れるまで反復。 未経験者は前段に SC-900 と Microsoft 365 基礎の学習を 1-2 ヶ月置いて、合計 4-5 ヶ月計画が現実的です。
セキュリティ系を網羅するなら SC-200 (Security Operations Analyst)・SC-300 (Identity Admin) との二刀流 / 三刀流。SC-100 (Cybersecurity Architect Expert) で上位の戦略・アーキテクチャレイヤへ昇格 (SC-400 は SC-100 の前提認定の 1 つ)。 Microsoft 365 全体管理を目指すなら MS-102 (Microsoft 365 Administrator Expert) で Purview を含む全体管理者の Expert ティアへ。 コンプライアンス専門なら ISACA CISA (Certified Information Systems Auditor)・CISM (Certified Information Security Manager)・OneTrust / TrustArc 系のプライバシー / GRC 認定との二刀流が事業会社のコンプライアンス / 内部監査ポジションで評価されます。 年収レンジは 700-1,200 万円帯のシニアコンプライアンスエンジニア / 情報セキュリティ管理者求人で SC-400 が推奨要件として表記されることが増えています。
SC-400 はどんな試験ですか?
Microsoft Certified: Information Protection and Compliance Administrator Associate (SC-400) は、Microsoft Purview を中心とした情報保護・データ分類・DLP (Data Loss Prevention)・コンプライアンス管理を扱う管理者向け Associate 認定です。100 分・40-60 問・165 USD・700/1000 点合格・12 ヶ月有効・日本語含む多言語対応。Sensitivity Label・DLP ポリシー・Insider Risk Management・Communication Compliance・eDiscovery・Retention Policy・Records Management を網羅。SC-200 (SOC Analyst) / SC-300 (Identity Admin) と並ぶ Microsoft セキュリティ系 Associate の 1 つで、コンプライアンス担当 / 情報保護担当 / 法務部門連携エンジニアにとって価値の高い認定です。
他の SC 認定との違いは?
対象領域が明確に分かれます。SC-200 (Security Operations Analyst) は『SOC 業務 / 脅威検知・対応』、SC-300 (Identity and Access Administrator) は『ID・認証・アクセス制御』、SC-400 (Information Protection) は『データ保護・コンプライアンス・eDiscovery』。三者は重複が小さく (10-20% 程度)、それぞれ独立した実務領域に対応。SC-400 は特に法務 / コンプライアンス部門との連携が多く、GDPR・HIPAA・PCI DSS・SOX・GLBA・APPI (日本個人情報保護法) といったコンプライアンス要件を Microsoft Purview の機能で実装する技術担当者向け。SC-100 (Cybersecurity Architect Expert) の前提認定の 1 つでもあり、SC-400 → SC-100 のキャリアパスが定番です。
出題ドメインと配点は?
4 ドメイン構成です。Implement information protection (30-35%、最重要) で Sensitivity Label の作成と適用・Auto-labeling・Trainable Classifier・Sensitive Information Types (SIT)・Exact Data Match (EDM)・Document Fingerprint・Microsoft Purview Information Protection 全般。Implement DLP (15-20%) で Exchange / SharePoint / OneDrive / Teams / Endpoint DLP ポリシー・カスタム DLP ルール・DLP インシデント管理・Adaptive Protection (Insider Risk と DLP の統合)。Implement and manage information governance and retention (20-25%) で Retention Policy / Label・Records Management・Disposition Review・Adaptive Scope (動的スコープ)・Communication Compliance・Insider Risk Management。Manage and investigate insider risk and compliance (20-25%) で Insider Risk Management のポリシー設計・Triage・Forensic Evidence・Communication Compliance・eDiscovery (Standard / Premium / eDiscovery Cases / Hold / Search / Export)・Audit (Standard / Premium)。
Microsoft Purview って何ですか?
Microsoft Purview は、Microsoft の統合データガバナンス / コンプライアンスプラットフォームで、2022 年に旧 Azure Purview (データカタログ) と Microsoft 365 Compliance Center を統合してリブランドされた製品。SC-400 で扱う Purview は主に Microsoft 365 文脈の機能 (Information Protection・DLP・Insider Risk・Communication Compliance・eDiscovery・Audit) を指し、Azure データ基盤のデータカタログ機能 (Purview Data Catalog・Data Map) は SC-400 範囲外。両者は同じ Purview ブランドながら歴史的経緯で機能が分かれており、SC-400 学習では Microsoft 365 Compliance 文脈の Purview にフォーカスすることが重要です。
実機演習はどうやって行いますか?
Microsoft 365 Developer Program の無料 Tenant (90 日 + 自動延長) が事実上必須環境です。Microsoft 365 E5 相当の機能 (Microsoft Purview Compliance 全機能) が完全に試せるため、SC-400 のすべてのトピックをハンズオンで体験可能。具体的にやるべきハンズオン: 1) Sensitivity Label を 3-5 個作成 (Personal / Public / Internal / Confidential / Highly Confidential) し Auto-labeling を構成、2) DLP ポリシーを Exchange / SharePoint / OneDrive / Teams / Endpoint 各 location で 1 つずつ作成、3) Retention Label と Retention Policy で文書保持戦略を 1 セット構成、4) Insider Risk Management のポリシーテンプレートから 1 つ展開、5) Communication Compliance ポリシーで Sample キーワード検知設定、6) eDiscovery Case を 1 つ作成し Hold + Search + Export を実演。
学習時間と合格ロードマップは?
Microsoft 365 管理者経験 1-3 年で 80-120 時間、Microsoft 365 経験ありで Purview 未経験で 150-200 時間、未経験者で 250-300 時間というのが日本人体験記の平均レンジ。Microsoft Learn の SC-400 学習パス (約 50 時間)、公式 Practice Assessment、Microsoft 365 Developer Program での実機ハンズオン、Microsoft Compliance Center / Purview Portal の各機能に習熟することが王道。3-4 ヶ月の集中学習が標準。コンプライアンスの背景知識 (GDPR・HIPAA・APPI 等) がある人にとっては学習効率が高く、純技術系エンジニアにとっては規制概念のキャッチアップに時間がかかる傾向です。
受験料と無料バウチャー入手ルートは?
165 USD / 21,103 円(税込)、Pearson VUE 経由のクレジットカード払いが標準。Associate ティアには Virtual Training Day の直接バウチャー特典はありませんが、Microsoft Reactor のコンプライアンス / Purview 系ハンズオンイベント、Cloud Skills Challenge の Purview / Compliance 系チャレンジ完走バウチャー、Microsoft Ignite のイベント特典、企業契約の認定取得補助制度で取得可能。Microsoft セキュリティ系認定 (SC-100 / SC-200 / SC-300 / SC-400 / SC-500) はキャンペーン頻度が比較的高い領域で、Microsoft Learn の Cloud Skills Challenge を定期チェックするのが最も再現性高いルートです。
SC-400 の次に取るべき認定は?
Microsoft セキュリティ系を網羅するなら SC-200 (Security Operations Analyst)・SC-300 (Identity Admin) との二刀流 / 三刀流。SC-100 (Cybersecurity Architect Expert) で上位の戦略・アーキテクチャレイヤへ昇格 (SC-400 は SC-100 の前提認定の 1 つ)。Microsoft 365 全体管理を目指すなら MS-102 (Microsoft 365 Administrator Expert) で Purview を含む全体管理者の Expert ティアへ。コンプライアンス専門なら ISACA CISA (Certified Information Systems Auditor)・CISM (Certified Information Security Manager)・OneTrust / TrustArc 系のプライバシー / GRC 認定との二刀流が事業会社のコンプライアンス / 内部監査ポジションで評価されます。年収レンジは 700-1,200 万円帯のシニアコンプライアンスエンジニア / 情報セキュリティ管理者求人で SC-400 が推奨要件として表記されることが増えています。
関連記事・試験情報
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
MS-102 完全ガイド|Microsoft 365 Administrator Expert 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Microsoft 365 Administrator Expert (MS-102) の完全ガイド。4 ドメインの出題範囲、テナント / Entra ID / Defender XDR / Purview を横断的にカバー、SC-300 / SC-200 との重複と差異、Microsoft 365 Developer Program 活用法、3-4 ヶ月の合格ロードマップ、SC-100 / MD-102 への展開ルートを日本語で網羅。
SC-200 完全ガイド|Microsoft Security Operations Analyst Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Security Operations Analyst Associate (SC-200) の完全ガイド。4 ドメインの出題範囲、Microsoft Sentinel / Defender XDR (Endpoint / Cloud / Identity / Office 365 / Cloud Apps) の運用スキル、KQL Hunting Query、3-4 ヶ月の合格ロードマップ、SC-300 / SC-100 / SC-500 への展開ルートを日本語で網羅。
SC-900 完全ガイド|Microsoft Security, Compliance, and Identity Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900) の完全ガイド。Zero Trust・Microsoft Entra・Defender スイート・Purview の出題範囲、無料 Virtual Training Day バウチャー、4 週間合格ロードマップ、SC-200 / SC-300 / SC-500 / SC-100 へのキャリアパスを日本語で網羅。
本記事の試験情報は Microsoft Learn 公式 SC-400 ページ およびMicrosoft Purview Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Purview、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...