Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900) は、Microsoft のセキュリティ・コンプライアンス・ID 領域を横断的に学ぶ Fundamentals 階層の試験です。 AZ-900 が Azure クラウド全般、DP-900 がデータ系を扱うのに対し、SC-900 は Microsoft 365 / Entra / Defender / Purview / Intune といったセキュリティスタック全体を対象としており、情シス担当・SOC アナリスト志望・コンサルタント・営業職にも幅広く推奨される認定です。 本記事では、出題 4 ドメインの中身、Zero Trust の三原則、Defender スイート 7 種類の区別、合格までの学習ロードマップを一本で整理します。
SC-900 の価値は単なる試験合格ではなく、Microsoft セキュリティスタックの「地図」が頭に入ること。 Microsoft は近年セキュリティ製品ラインを猛烈に拡張しており、Entra (旧 Azure AD) ファミリーだけで 10 製品超、Defender ファミリーで 7 製品超、Purview ファミリーで 8 製品超という巨大な体系です。 SC-900 はこれらの全体像を「何ができる製品か、どんな脅威に対応するか」のレベルで一気に学ぶ最短ルートで、情シス部門の意思決定や RFP 作成にも直結します。
SC-900 の試験仕様は AZ-900 / DP-900 と同等です。45 分・40 ~ 60 問、合格点 700 / 1000、99 USD / 13,200 円、日本語含む 13 言語対応、無期限有効。 Pearson VUE 経由で OnVUE オンラインまたはテストセンターで受験可能で、コーディングは不要、概念理解中心の試験です。
最も配点比率の低い導入ドメインですが、後続ドメインの土台になる重要領域です。 中心は Zero Trust の概念で、Microsoft の三原則「1) Verify explicitly (常に明示的に検証する)、2) Use least privilege access (最小権限を使う)、3) Assume breach (侵害を前提に設計する)」が頻出します。 この 3 原則は単なる暗記項目ではなく、後続の Defender / Entra / Purview がどの原則を実装しているかを問うシナリオで何度も登場するので、自分の言葉で説明できる状態にしておく必要があります。
加えて、責任共有モデル (AZ-900 と共通)、対称暗号化と非対称暗号化、ハッシュとデジタル署名、認証 (Authentication) と認可 (Authorization) の違いといった基礎概念が問われます。 実装レベルの暗号アルゴリズム名 (AES / RSA) は深掘りされませんが、「非対称鍵は公開鍵で暗号化、秘密鍵で復号」というシンプルな原則は答えられる必要があります。
Microsoft Entra ID (旧 Azure Active Directory) を中心としたドメインで、2023 年 7 月のリブランド以降、SC-900 でも Entra 表記が正式となっています。 テナントと初期ドメイン名 / カスタムドメイン名、ユーザー・グループ・デバイス・アプリケーションの 4 オブジェクト、クラウド専用 / 同期 / ゲストの 3 ユーザータイプ、Security Group と Microsoft 365 Group の違いといった基本構造が問われます。
認証方式では MFA (多要素認証)、Passwordless (Microsoft Authenticator / Windows Hello for Business / FIDO2 セキュリティキー) の 3 系統が頻出。 加えて Conditional Access の動作原理 (条件 → アクション)、Privileged Identity Management (PIM) による時限的ロール昇格、Identity Protection のサインインリスク評価、External Identities (B2B / B2C 統合)、SSO (シングルサインオン) による SaaS 統合といった代表機能が概念レベルで問われます。
Entra ID のライセンス (Free / P1 / P2 / Entra Suite) もこのドメインで触れられ、「Conditional Access が必要なら P1 から、PIM が必要なら P2 から」という機能境界を押さえておくと、出題シナリオでの選択肢が正しく絞り込めます。
配点比率が最大のドメインで、Microsoft Defender スイート全体を扱います。 覚えるべき主要 Defender 製品は 7 種類。
| 製品 | 守備範囲 |
|---|---|
| Microsoft Defender for Cloud | Azure / AWS / GCP のマルチクラウド CSPM + CWPP |
| Microsoft Sentinel | クラウドネイティブ SIEM / SOAR |
| Microsoft Defender XDR | XDR の統合コンソール (旧 Microsoft 365 Defender) |
| Defender for Endpoint | エンドポイント検知応答 (EDR) |
| Defender for Identity | オンプレ Active Directory の脅威監視 |
| Defender for Office 365 | メール / Teams / SharePoint のフィッシング保護 |
| Defender for Cloud Apps | SaaS アプリの CASB (旧 Microsoft Cloud App Security) |
本ドメインで頻出するのが、「異常なサインインの検出はどの Defender が担当するか」「SOC アナリストがすべてのアラートを一元管理できるツールはどれか」といったシナリオ問題。 Microsoft Sentinel は クラウドネイティブの SIEMで、Azure / Microsoft 365 / オンプレ / 他クラウド (AWS / GCP) すべてのログを取り込めるのが特徴。 Defender XDR は主要 Defender 製品の統合ダッシュボードで、Sentinel との違い (Sentinel = ログ統合分析、XDR = 統合運用) を答えられる状態にしておく必要があります。
加えて Microsoft Defender for Cloud の Secure Score (推奨事項の達成度)、Microsoft Sentinel の Playbook (自動応答)、Microsoft Defender for Cloud Apps の Shadow IT 検出といった代表機能が問われます。
Microsoft Purview ファミリーを中心としたコンプライアンスドメインです。Microsoft Purview (旧 Azure Purview + Microsoft 365 Compliance Center の統合ブランド) は近年急速に拡大しており、SC-900 では 8 主要機能が問われます。
中心は Microsoft Purview Information Protection (旧 Azure Information Protection、機密ラベルでデータを分類保護)、Microsoft Purview Data Loss Prevention (DLP) (機密情報の漏洩防止)、Microsoft Purview Insider Risk Management (内部不正検知)、Microsoft Purview Compliance Manager (コンプライアンスダッシュボード)、Microsoft Purview eDiscovery (法的開示対応)、Microsoft Purview Audit (操作ログ)、Microsoft Purview Data Lifecycle Management (保持・削除ポリシー)、Microsoft Service Trust Portal (コンプライアンス文書のリポジトリ)。
本ドメインで頻出するのが、「機密情報を含むファイルが社外に送信されるのを防ぐにはどの機能か」(DLP)、「退職予定者の不審な操作を検知するにはどの機能か」(Insider Risk Management)、「訴訟対応で社内データを保全するにはどの機能か」(eDiscovery) といったシナリオ問題。 Purview のサブブランド名はやや覚えにくいですが、それぞれの「対応シナリオ」を 1 つ覚えれば、本ドメインの問題は確実に得点できます。
SC-900 も Microsoft 公式リソースだけで合格可能です。Microsoft Learn の SC-900 学習パス (約 10 時間)、Virtual Training Day: Security, Compliance, and Identity 経由の無料バウチャー、公式 Practice Assessment の 3 つで完結します。 Virtual Training Day は日本語回も定期開催されており、Part 1 + Part 2 完走で受験バウチャー (約 165 USD 相当) が 5 営業日以内に発行されるため、独学で受験料を実質ゼロにできます。
Week 1 はドメイン 1 (概念) を Microsoft Learn で消化し、Zero Trust 三原則と認証 / 認可の違いを腹落ちさせる。Week 2 はドメイン 2 (Entra) を学習し、Entra ID 無料テナント (Microsoft 365 Developer Program のサンドボックス) で実機演習。Week 3 はドメイン 3 (Defender 群) と Virtual Training Day Part 1 + 2 を並走しバウチャー獲得。Week 4 はドメイン 4 (Purview) と Practice Assessment 80% 反復で仕上げ。
SC-900 はセキュリティ系認定群の入口です。ID 管理者を志すなら SC-300 (Identity and Access Administrator Associate) で Entra ID の本格管理。SOC アナリスト / セキュリティ運用なら SC-200 (Security Operations Analyst Associate) で Sentinel / Defender XDR 中心。Azure セキュリティ全般なら 2026 年 8 月 GA 予定の SC-500 (旧 AZ-500 後継、Microsoft Defender for Cloud 統合強化版) が本命。 最上位は SC-100 (Cybersecurity Architect Expert) で、組織横断のセキュリティ戦略設計を担うロール向け。SC-100 は SC-200 / SC-300 / AZ-500 のいずれかの保有が事実上の前提です。
SC-900 はどんな試験ですか?
Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900) は、Microsoft のセキュリティ・コンプライアンス・ID 領域を横断的に学ぶ Fundamentals 試験です。45 分・40-60 問・99 USD・700/1000 点合格・無期限有効・日本語含む 13 言語対応。Azure 単体ではなく Microsoft 365 / Entra / Defender / Purview / Intune も含むため、AZ-900 とはやや異なる試験範囲です。情報セキュリティ部門・情シス担当・コンサルタント・営業職にも推奨される入門認定。
AZ-900 と SC-900 はどちらを先に取るべき?
目指す領域で選びます。クラウド基礎が先に必要なら AZ-900、セキュリティ・ID 領域に直接入りたいなら SC-900 から始めても問題ありません。両方取得する場合は AZ-900 で Entra ID と Azure RBAC の基礎を押さえてから SC-900 に入る方が学習効率は高いです。逆に情シス担当・SOC アナリスト志望ですでにオンプレ AD やセキュリティ製品の経験がある人は、SC-900 から直接入る方が業務知識を活かせます。
出題ドメインと配点は?
4 ドメイン構成です。Concepts of security, compliance, and identity (10-15%) で Zero Trust・責任共有モデル・暗号化の基本。Capabilities of Microsoft Entra (25-30%) で Entra ID テナント・認証方式・Conditional Access・PIM。Capabilities of Microsoft security solutions (35-40%) で Microsoft Defender for Cloud・Sentinel・Defender XDR・Defender for Office 365・Endpoint・Identity・Cloud Apps。Capabilities of Microsoft compliance solutions (20-25%) で Microsoft Purview・Information Protection・Insider Risk Management・Compliance Manager・eDiscovery。
Zero Trust とは何ですか?
Zero Trust は「ネットワーク境界の内側だから安全とは見なさず、すべてのアクセスを常に検証する」というセキュリティ設計思想です。Microsoft の Zero Trust 三原則は 1) Verify explicitly (常に明示的に検証する)、2) Use least privilege access (最小権限を使う)、3) Assume breach (侵害を前提に設計する) の 3 つ。SC-900 ではこの 3 原則と、Zero Trust を実装する Microsoft 製品 (Entra ID Conditional Access・Defender XDR・Microsoft Purview など) の役割が頻出します。
Microsoft Entra ID 関連の出題は深いですか?
概念理解レベルです。テナント・ユーザー・グループ・デバイス・アプリケーションといった主要オブジェクト、MFA / Passwordless / FIDO2 などの認証方式、Conditional Access の動作原理、SSO と External Identities の概念が問われますが、実機設定のコマンドや PowerShell スクリプトの記述は出ません。深く管理者として実装する能力を問うのは SC-300 (Identity and Access Administrator Associate) です。SC-900 はあくまで意思決定層が理解すべき入門範囲に絞られています。
Microsoft Defender スイートは何種類覚えればいい?
主要 7 種を区別できれば十分です。Microsoft Defender for Cloud (Azure / AWS / GCP のマルチクラウド保護)、Microsoft Sentinel (SIEM/SOAR)、Microsoft Defender XDR (XDR の統合コンソール)、Defender for Endpoint (EDR)、Defender for Identity (オンプレ AD 監視)、Defender for Office 365 (メール保護)、Defender for Cloud Apps (旧 MCAS、CASB)。それぞれの守備範囲 (どんな脅威に対応するか) を 1 文で説明できる状態にしておけば、出題シナリオで適切な製品を選べます。
受験料と学習時間は?
99 USD / 13,200 円(税込)、Microsoft Azure Virtual Training Day: Security, Compliance, and Identity の Part 1 + Part 2 完走で受験バウチャー (約 165 USD 相当) が無料発行されます。学習時間は IT 未経験者で 25-40 時間、IT 経験者で 15-25 時間、セキュリティ実務者で 5-15 時間が日本人体験記からの平均レンジ。Microsoft Learn の SC-900 学習パスと公式 Practice Assessment を中心に進めれば独学で十分合格可能です。
SC-900 の次に取るべき認定は?
進路により 3 通り。ID 管理者を志すなら SC-300 (Identity and Access Administrator) で Entra ID 管理の本格認定。SOC アナリスト / セキュリティ運用なら SC-200 (Security Operations Analyst) で Sentinel / Defender XDR 中心。Azure セキュリティ全般なら SC-500 (旧 AZ-500 後継、2026 年 8 月 GA 予定) が本命。最上位は SC-100 (Cybersecurity Architect Expert) で組織横断のセキュリティ戦略設計を担うロール向け。
関連記事・試験情報
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
SC-200 完全ガイド|Microsoft Security Operations Analyst Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Security Operations Analyst Associate (SC-200) の完全ガイド。4 ドメインの出題範囲、Microsoft Sentinel / Defender XDR (Endpoint / Cloud / Identity / Office 365 / Cloud Apps) の運用スキル、KQL Hunting Query、3-4 ヶ月の合格ロードマップ、SC-300 / SC-100 / SC-500 への展開ルートを日本語で網羅。
MS-900 完全ガイド|Microsoft 365 Fundamentals 出題範囲・学習リソース・合格戦略【Copilot 対応版】
Microsoft Certified: Microsoft 365 Fundamentals (MS-900) の完全ガイド。4 ドメインの出題範囲、Teams / Exchange / SharePoint / Intune / Microsoft 365 Copilot、ライセンス SKU の使い分け、無料 Virtual Training Day バウチャー、4 週間合格ロードマップ、MS-102 / SC-401 / MD-102 へのキャリアパスを日本語で網羅。
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範囲、SQL / NoSQL / 分析ワークロードの位置付け、Microsoft Fabric 出題対応、無料 Virtual Training Day バウチャー、4 週間合格ロードマップ、DP-203 / DP-700 / DP-300 へのキャリアパスを日本語で網羅。
本記事の試験情報は Microsoft Learn 公式 SC-900 ページ および公式 Study Guide に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Microsoft Entra、Microsoft Defender、Microsoft Sentinel、Microsoft Purview、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...