FIXER 藤井です。先日、MCP(Microsoft Certified Professional)の1つ「Az-500:Microsoft Azure Security Technologies」に合格しました。試験前にAzureの環境で実際に手を動かして試しておくことで、合格の可能性を大きく高められますので、これから受験する方向けにポイントをご紹介します。
「Az-500 :Microsoft Azure Security Technologies 」ついて
「Az-500:Microsoft Azure Security Technologies(以下、Az-500)」は、マイクロソフトが実施する認定試験であるMCPのうち、「Azure 認定試験」のカテゴリーに含まれます。合格すると「Azure Security Engineer Associate」として認定されます。「Azure 認定試験」では同じ「Associate(中級)」レベル資格として、他に「Az-103:Azure Administrator Associate」と「Az-203:Azure Developer Associate」の2つが存在します。「Associate(中級)」レベルの3つの資格は、いわゆる「DevSecOps」に相当するとも言えます。
Az-500の出題範囲はAzureで提供されるセキュリティ系の各種サービスの多くを含んでいます。Az-500の試験に対応できるスキルを身に着けることで、例えばAzure上でのシステムの設計(運用設計を含む)においてセキュリティ要件を考慮するときに、Azureの標準サービスで対応すべきか、外部サービスやサードバーティ製品を利用して対応すべきかを、検討できるようになることが期待されます。
Az-500の詳細については公式サイトを併せてご参照ください。
Azure環境を試してみるときのポイント
MCP用の練習問題などはいくつか販売されているため、答案練習やその解説はそちらに譲るものとします。
本記事で紹介するポイントを一通り試したら、構築した環境をひとまずキープし、市販の練習問題をやってみた後にもう一度、環境を触ってみるのが理想です。本記事ではAz-500の出題範囲のうち、主要な部分をカバーしていますが、割愛しているトピックもあります。特に練習問題をやる中で初めて見るトピックが出てきたら、練習問題の復習時にAzure環境で試してください。
なお本記事では詳細な手順はあえて記載してません。失敗も含めて何パターンかご自身で試行錯誤していただくためです。試験本番で「できるorできない」を判別するような問題も結構出たりするため、「できない/失敗する」パターンを経験しておくのも必要なことです。
Azure サービスごとのポイント
(1)Azure Active Directory
Az-500において最も大きなウェイトを占めるのはAzure Active Directory(以下、AAD)関連です。従来型のActive Directory (以下AD)との連携を含めて、実際に設定を試しておきましょう。
- Microsoft Lerningで紹介されているシナリオに沿って、AADの各種設定を試してみましょう
参照:Azure Active Directory のユーザーとグループの管理 - Azure AD Domain Serviceを構築してみましょう。
(2)Azure Virtual Network
「Azure 各種サービス -Internet 間」と「Azure 各種サービス -Azure Virtual Network 間」それぞれを接続するときの、セキュリティの設定です。
- Microsoft Lerningで紹介されているシナリオに沿ってNetork Security GroupとStorage Accountの設定を試してみましょう
参照:ネットワーク セキュリティ グループとサービスエンドポイントを使うことで Azure リソースへのアクセスをセキュリティで保護し、分離する - SQL DatabaseでもStorage Accountと同様にサービス エンドポイントの設定ができるので試してみましょう
- Virtual MachineからStorage AccountやSQL Databaseへのアクセスを試してみましょう
Virtual Machineからのアクセス方法はStorage ExploreやSQL Server Management Studioをインストールする他、PowerShellでも可能です。
(3)Azure Key Vault
Az-500において、AADに次いで2番目に大きなウェイトを占めるのはAzure Key Vault関連です。Key Vaultを利用することで、Azure上に構築した各種サービスをよりセキュアに管理できます。
- Azure Key Vaultを構築し、また構築時の「アクセスポリシー」と「ネットワーク」での各設定項目の意味と役割を良く確認しましょう。
- Azure Key Vaultにてキーの作成と保存を試してみましょう。
- Storage Accountの接続文字列をシークレットとしてAzure KeyVaultに保存してみましょう。
- Azure Key Vaultにて自己署名証明書を生成してみましょう。
- Azure Key Vaultに保存にしたキーを使用してStorage Account、SQL Database、Virtual Machineのディスクをそれぞれ暗号化してみましょう
(4)Log Analytics ワークスペース
Log Analytics ワークスペースは運用管理のためのサービスです。作成済みのVirtual Machineに対して、各種設定を実施します。
- Log Analytics ワークスペースを作成してみましょう
- Virtual Machineに対して「更新プログラムの管理」を設定してみましょう。
- Log Analytics ワークスペースでログを検索してみましょう。
- Log Analytics ワークスペースでアラートルールの追加を試してみましょう
(5)Azure Policy
Microsoft Lerningで紹介されているシナリオに沿ってAzure Policyの各種機能を試してみましょう。
参照:Azure Policy でインフラストラクチャの標準を適用して監視する
まとめ
Azure に限らずIT系の資格では、以下のサイクルを何往復できるかが、合格の可能性を決めます。もし「ハンズオン」形式のセミナーがあれば、最優先で受講することはもちろんのこと、復習としてセミナーとは異なるパターンの設定を試してみるとなお効果的です。
- セミナーを受講したり、教科書を読んだり、練習問題で答案演習をして勉強する。
- 勉強した内容についてテスト環境や機器を使って実際に自分で試行錯誤して試してみる。
本記事で紹介している各サービス以外にも、Az-500の勉強していく中で新しく出会ったトピックがあれば是非、自分でどんどん試してください。