攻撃を検知し、調べ、止める——セキュリティ運用(SOC)人材は慢性的に不足しています。セキュリティ人材は2030年に約19万人不足するとされ、年収550〜650万円が目安で経験次第で1,000万円超も。SC-200はSentinelやDefenderで脅威対応を実務でこなせることを示す資格で、SC-900の次に守りの実務へ踏み込みます。
SC-200(Microsoft Security Operations Analyst Associate)は、Microsoft SentinelやMicrosoft Defenderを使ってセキュリティの脅威を検知・調査・対応する運用アナリストのスキルを証明する中級資格です。入門のSC-900が概念と製品の役割を広く問うのに対し、SC-200はSIEM(Sentinel)とXDR(Defender)を使った実際の脅威対応とKQLによる分析を問います。機能の役割と脅威対応の流れ、KQLの基本を覚えているかが合否を大きく左右します。日本語の対策本がほぼ無いぶん、用語の暗記と公式ラーニングの活用が効率を分けます。この記事では、試験概要から出題範囲、学習スケジュール、5秒で答える用語ドリルでの土台づくり、公式ラーニングと講座という進め方、受験のコツ、合格後の出口まで、合格までの最短ルートを順番に示します。
本記事にはアフィリエイトリンク(広告)が含まれます。リンク先での購入・申込により当サイトが報酬を得る場合がありますが、紹介内容は編集部の基準で選んでいます。
この記事でわかること
- SC-200(運用アナリスト)の出題範囲とレベル──何が、どこまで問われるか
- 合格までに必要な勉強時間の目安と学習の順番
- 頻出用語の覚え方と、5秒で答えるドリルでの土台づくり
- 独学の教材・講座の選び方と、合格後にどうつながるか
なぜ用語の暗記から始めるのか──設計や判断を問う問題も、用語の役割を即答できることが前提になるからです。だから本記事は「用語の土台→公式・講座で仕上げ」の順で進めます。
→ なぜ「思い出す」練習で定着するのか(テスト効果の科学)
SC-200とは
SC-200はMicrosoft認定のアソシエイト(中級)レベルで、SOC(セキュリティオペレーションセンター)のアナリスト向け資格です。SC-900の基礎を前提に、Microsoft SentinelとDefender XDRを使った検知・調査・対応、KQLによる分析、プレイブックによる自動化を問います。セキュリティ運用の需要増で評価されやすい実力系資格です。
| 項目 | 内容 |
|---|---|
| 試験コード | SC-200(Security Operations Analyst) |
| レベル | アソシエイト(中級) |
| 前提 | なし(SC-900合格後が望ましい) |
| 中核ツール | Microsoft Sentinel/Microsoft Defender XDR |
| 日本語対策本 | ほぼ無し(公式Microsoft Learn+オンライン講座が中心) |
SC-200の山場はSentinelとDefenderの守備範囲、そしてKQLです。Sentinel(SIEM/SOAR)とDefender XDR(端末・メール・ID横断)の役割を取り違えると設計問題で外します。さらにKQLでログを検索・集計できることが調査の前提になります。
SC-200の出題範囲
SC-200は大きく次の領域から出題されます。SentinelとDefender、脅威対応、KQLを軸に対策するのが定石です。
| 領域 | 主な内容 |
|---|---|
| Defender XDRによる脅威対策 | Defender for Endpoint/Identity/Office 365/Cloud Apps、高度なハンティング |
| Microsoft Sentinelの運用 | データコネクタ、アナリティクスルール、ブック、UEBA |
| 脅威の検知・調査・対応 | インシデント、アラート、トリアージ、封じ込め、自動調査 |
| KQLと自動化 | KQLクエリ、オートメーションルール、プレイブック(Logic Apps) |
SC-200は「機能とKQLの暗記」で土台が決まる
SC-200の問題は、たとえば「複数の関連アラートを束ねて調査する単位はどれか」「ログを集計して傾向を見る言語はどれか」のように、機能の役割と脅威対応の流れ、KQLの基本を覚えているかが問われます。ハンズオンは大切ですが、その前に用語と機能を即答化しておくと、運用の理解が一気に速くなります。
同じ用語に5回触れる場合、5回読み直すより「テストする」方が定着率は1.5〜2倍高いことが報告されています(想起練習効果)。反復回数と忘却曲線を意識して、テスト形式で繰り返すのが最短です。
5秒で答える用語ドリルで土台を作る
暗記でやりがちな失敗は「ドキュメントを眺めて覚えた気になる」こと。記憶に残すには、見て思い出す想起練習が欠かせません。きおくるのSC-200用語ドリルは、Sentinel・Defender XDR・脅威対応・KQL・自動化の頻出用語をこの形式に最適化しています。頻出用語を、スキマ時間で回せます。
1SentinelとDefenderを区別する
SIEM(Sentinel)とXDR(Defender)の守備範囲を口に出して即答できるようにします。
2KQLの基本構文を固める
where/summarize/joinなど、検索・集計の基本はSC-200必須。確実に押さえます。
3間違えた用語だけ周回する
全問を均等にやらず、つまずいた用語に絞って反復回数を増やすと効率が上がります。
あなたに合う学習スケジュール|経験別モデル
セキュリティ運用やMicrosoft製品の経験で必要な勉強時間は変わります。自分に近いモデルを選んでください。
毎日40分 × 6〜9週間ペース
毎日30分 × 4〜6週間ペース
毎日30分 × 3〜5週間ペース
合格までの3ステップ|ドリル→Microsoft Learn→講座
SC-200は日本語の対策本がほぼ無いため、無料の公式ラーニング「Microsoft Learn」が学習の主役になります。「無料の暗記 → 公式で学ぶ → 講座で仕上げ」の順で積み上げると、無駄なく合格に届きます。
5秒で答える用語ドリルで土台づくり
公式ラーニングパスとサンドボックスで実機学習
解説と模擬試験で本番感覚を養う
Microsoftは認定向けの公式ラーニングパス(Microsoft Learn)を無料で提供しており、SentinelやDefenderのハンズオンも含まれます。用語ドリルで土台を作ってから公式ラーニングを通すと、検知・対応の流れが腹落ちします。
講座・模試で仕上げる|Udemy
和書がほぼ無いSC-200では、SentinelやKQLの操作を解説する動画講座と模擬試験が独学の強い味方になります。用語の暗記とMicrosoft Learnを補う位置づけで活用しましょう。
受験のコツ|脅威対応の流れで解く
SC-200は検知・調査・対応の流れや機能の役割を問う問題が多めです。テンポよく進めて見直し時間を残すのが鉄則です。
用語の単純問題はテンポよく即答し、調査や設定を問うシナリオに時間を回します。確信の持てない問題は見直しフラグを立てて飛ばし、最後にまとめて見直します。「SentinelかDefenderか」「どの段階の対応か」を起点に考えると選択肢を絞り込めます。
合格後の出口|次に何をするか
SC-200はセキュリティアナリストの実力を示す資格です。合格後の選択肢を見据えておくと、勉強のモチベーションが落ちません。
1関連資格へ:SC-300(ID管理)/AZ-500
ID管理(SC-300)やAzureセキュリティ(AZ-500)へ広げると守備範囲が増えます。
2業務に持ち込む|「資格保持者」から「回せる人」へ
SC-200で覚えた内容は、そのまま日々のSOC業務に直結します。具体的には、Sentinelのアナリティクスルールを作って検知の精度を上げる、KQLで「いつ・どの端末から・何が起きたか」を数分で洗い出す、インシデントをトリアージして封じ込めまで判断する、プレイブック(Logic Apps)で初動対応を自動化する——といった作業を自分の手で回せるようになります。
これができると評価が変わります。アラートを上位者に渡すだけのTier1から、調査・対応まで完結できるTier2へ。社内では「Sentinelが分かる人」という指名ポジションを取りにいけます。転職市場でもSOCアナリストやセキュリティエンジニアの求人で歓迎要件に挙がりやすく、未経験からセキュリティ職への異動・転職の足がかりになります。
3基礎を固める:SC-900
まだなら入門のSC-900で概念と製品の役割を固めると、SC-200の理解が安定します。
やりがちな失敗
NG①:ドキュメントを読むだけで覚えた気になる
読むだけでは記憶に残りません。5秒で答える想起練習に切り替えましょう。
NG②:KQLを後回しにする
調査の前提です。where/summarize/joinの基本は早めに固めましょう。
NG③:SentinelとDefenderを混同する
SIEMとXDRの守備範囲は頻出論点です。役割をセットで覚えましょう。
よくある質問
受験は可能ですが、SC-900で概念と製品の役割を固めてからの方が効率的です。用語ドリルはどちらにも使えます。
はい。Sentinelの分析やAdvanced Huntingで使うため、基本構文は押さえる必要があります。ドリルで用語から固めましょう。
はい。SC-200は無料のMicrosoft Learnと動画講座が中心です。用語ドリル+公式+講座で十分合格できます。
用語ドリル+公式+模試で合格点には届きますが、Sentinelの試用環境を触ると理解が定着します。
SC-900合格者で運用未経験なら毎日40分を6〜9週間が目安です。用語とKQLの即答化を先に終えると後半が楽になります。
まとめ
- SC-200はセキュリティ運用アナリストの中級資格。機能とKQLの暗記が土台になる。
- Microsoft SentinelとDefender XDR、脅威の検知・調査・対応が主戦場。SIEMとXDRの区別で差がつく。
- 和書はほぼ無いが、無料のMicrosoft Learnがハンズオン込みで充実している。
- 「5秒で答える用語ドリル→Microsoft Learn→講座」の順で積み上げる。
