情報セキュリティマネジメント試験(略称SG)は、情報処理推進機構(IPA)が実施する情報処理技術者試験の一区分で、ITを利用する部門で情報セキュリティを管理・運用する人材を対象とした国家試験です。正式名称は「情報セキュリティマネジメント試験」。CBT方式で通年実施され、知識を問う科目Aと、実際の場面での判断力を問う科目Bで構成されます。攻撃手法やマルウェアといった脅威の知識だけでなく、リスクマネジメントや法令、組織的な対策まで、セキュリティを「守る側の担当者」として求められる範囲を体系的に押さえるのが特徴です。本記事では、8分野それぞれの学習ポイント、科目A・科目Bの攻略法、学習スケジュールのモデルケースまでを具体的に解説します。
情報セキュリティマネジメント試験とは
情報セキュリティマネジメント試験は、IPAが実施する情報処理技術者試験の一つで、ITを利用する部門で情報セキュリティ対策を推進・運用する立場の人を主な対象としています。ネットワークやシステムを自ら構築する技術者向けというよりも、業務のなかで情報資産を守り、社内のセキュリティ体制を整え、インシデントに適切に対応する「管理・運用側」の実務能力を証明する位置づけです。国家試験でありながら、CBT方式で通年受験できるため、自分のペースで受験計画を立てやすいのも魅力です。
取得するメリットは大きく3つあります。1つ目は、情報セキュリティの基礎から法令・マネジメントまでを体系的に理解できること。断片的な知識が、業務で使える一貫した理解につながります。2つ目は、社内での信頼性の証明になること。個人情報や機密情報を扱う部門で、セキュリティを任せられる人材であることを客観的に示せます。3つ目は、上位資格へのステップになること。応用情報技術者試験や情報処理安全確保支援士など、より専門的な資格へ進む土台として役立ちます。
試験の基本情報
- 実施団体:情報処理推進機構(IPA)
- 位置づけ:情報処理技術者試験の一区分(国家試験)
- 試験方式:CBT方式(コンピュータで解答)
- 実施時期:通年実施(日程は公式サイトで要確認)
- 試験構成:科目A(知識)と科目B(実践的な読解問題)
- 試験時間:科目A・科目Bの時間配分は公式サイトで要確認
- 受験手数料:改定されるため公式サイトで要確認
- 合格基準:科目A・科目Bそれぞれの基準を満たすこと(公式基準。詳細は公式で確認)
- 難易度:★★☆☆☆(やや易)
- 出題範囲:情報セキュリティ基礎・暗号・実装技術・管理・対策・法務・テクノロジ・マネジメントなど
最大の特徴は、CBT方式で通年受験できる点と、科目A・科目Bの二本立てである点です。科目Aは用語や仕組みの知識を問う選択式、科目Bは業務の場面を題材にした読解型の出題が中心と考えられます。受験手数料・試験日程・試験時間・合格基準は改定されることがあるため、申し込み前に必ずIPAの公式情報を確認してください。本記事では合格率や具体的な金額などの変動情報は断定せず、学習の進め方に絞って解説します。
出題範囲の全体像と分野構成
ケンテイラボに収録している情報セキュリティマネジメント試験対策は全320問。学習しやすいよう、8つの分野に整理しています。分野別の問題数は次の通りで、出題範囲の広がりと重点の置き方をつかむ目安になります。あくまでケンテイラボ収録問題の内訳であり、実際の本試験の出題比率とは異なります。
- ① 情報セキュリティ基礎:40問(脅威・脆弱性・マルウェア・攻撃手法)
- ② 暗号・デジタル署名・PKI・認証:40問(暗号方式・署名・証明書・認証)
- ③ セキュリティ実装技術:40問(FW・IDS/IPS・WAF・ゼロトラスト等)
- ④ 情報セキュリティ管理:42問(リスクマネジメント・ISMS)
- ⑤ 情報セキュリティ対策:38問(組織的・人的・技術的対策)
- ⑥ 法務・標準化:39問(関連法規・個人情報保護法など)
- ⑦ テクノロジ:39問(システム構成・信頼性・稼働率)
- ⑧ マネジメント・ストラテジ・科目B:42問(PM・サービス管理・実践)
①〜③のセキュリティ技術系と、④〜⑥の管理・対策・法令系が学習の二本柱です。①で脅威と攻撃の全体像を押さえ、②③で守る技術を理解し、④⑤⑥で組織としての守り方と法令を固める——この流れで積み上げると、知識が一本の線でつながります。⑦⑧はIT基礎と実践の分野で、⑧には科目Bで問われる読解型の題材が含まれます。「①で土台を作り、②〜⑥で守りの知識を固め、⑦⑧で実務への橋渡しをする」が基本戦略です。
分野別の学習ポイント
① 情報セキュリティ基礎
セキュリティの土台となる考え方と、脅威・攻撃手法を扱う最重要分野です。機密性・完全性・可用性のCIA3要素に真正性・責任追跡性・否認防止性を加えた考え方から、マルウェアや攻撃手法の名称まで、用語量が非常に多いのが特徴です。名称と「何を狙い、どう防ぐか」をセットで整理しましょう。
- 情報セキュリティの3要素(機密性・完全性・可用性)と付加要素
- 脅威・脆弱性・情報資産の関係と、脅威の分類
- マルウェア:ワーム・ランサムウェア・トロイの木馬・RAT・ファイルレス型
- 攻撃手法:フィッシング・標的型・水飲み場型・SQLインジェクション・XSS・CSRF
- パスワードクラック:ブルートフォース・辞書攻撃・パスワードリスト攻撃
- ソーシャルエンジニアリング・不正のトライアングル
② 暗号・デジタル署名・PKI・認証
情報を守る技術の中核である暗号と認証を扱う分野です。「どの鍵で暗号化し、どの鍵で復号・検証するか」を図で整理することが、混同しやすい暗号化と署名の違いを定着させる最大のコツです。
- 共通鍵暗号(AES)と公開鍵暗号(RSA・楕円曲線暗号)の仕組みと使い分け
- ハイブリッド暗号:共通鍵で本文を暗号化し、公開鍵で共通鍵を渡す
- ハッシュ関数の性質(固定長・一方向性・衝突困難性)
- デジタル署名:秘密鍵で署名し公開鍵で検証。改ざん・なりすまし・否認を防ぐ
- PKI:認証局(CA)・デジタル証明書・CRL/OCSP・ルート認証局
- 認証方式:知識・所有物・生体、多要素認証・FIDO・シングルサインオン
③ セキュリティ実装技術
組織を実際に守る対策技術を扱う分野です。各製品が「ネットワークのどこで何を守るか」を配置図でイメージすると、役割の違いが整理しやすくなります。
- ファイアウォール(パケットフィルタリング)・IDS/IPS・WAF・UTM・EDR
- DMZの構成とアクセス制御のルール(DMZから内部への通信は原則拒否)
- ゼロトラスト:社内外を問わず常に認証・検証を行う考え方
- 通信の暗号化:SSL/TLS・IPsec・S/MIME
- 無線LANのセキュリティ:WPA2/WPA3・SSIDステルス
- 端末・情報の管理:MDM・DLP・シャドーIT
④ 情報セキュリティ管理
組織としてリスクにどう向き合うかを扱うマネジメント分野で、収録問題数も最多クラスです。用語の定義と手順の順序を軸に、「技術ではなく仕組みで守る」視点を身につけましょう。
- JIS Q 31000などに基づくリスクの定義とリスクレベルの考え方
- リスクアセスメント:リスク特定→分析→評価の流れ
- リスク対応:回避・低減・移転・保有の4分類
- リスク分析手法:ベースラインアプローチ・詳細リスク分析
- 情報資産の重要度評価(機密性・完全性・可用性で評価)
- ISMS(情報セキュリティマネジメントシステム)とPDCAサイクル
⑤ 情報セキュリティ対策
日常の運用で行う具体的な対策を扱う分野です。「人的・組織的対策」と「技術的対策」を区別し、それぞれの目的(内部不正の防止・被害拡大の抑止)を意識すると得点が安定します。
- 組織的対策:職務分掌・相互牽制など内部不正を防ぐ仕組み
- アクセス管理:最小権限の原則・need-to-know
- 多層防御の考え方
- パスワード管理:アカウントロック・コアパスワード
- メールのなりすまし対策:SPF・DKIM・DMARC・POP before SMTP
- 演習の用語:CTF・レッドチーム/ブルーチーム
⑥ 法務・標準化
セキュリティに関わる法律と標準を扱う分野です。似た名称の法律が多いため、「どの行為を禁止・規制する法律か」を条文の趣旨とともに一覧化して整理するのが効率的です。
- サイバーセキュリティ基本法(国・国民の責務、基本原則)
- 不正アクセス禁止法(識別符号の保護、禁止行為)
- 刑法:電子計算機損壊等業務妨害罪・不正指令電磁的記録に関する罪
- 個人情報保護法:要配慮個人情報・匿名加工情報・漏えい報告義務
- 電子署名法・特定電子メール法(オプトイン)
- 各種標準・ガイドライン
⑦ テクノロジ
科目Aで問われるIT基礎技術を扱う分野で、計算問題を含みます。稼働率や所要時間の求め方は、公式を覚えるだけでなく簡単な数値で手を動かして確実に得点できるようにしましょう。
- システム構成:クライアントサーバ・シンクライアント
- 冗長構成:デュアルシステム・デュプレックスシステム
- RAIDによる冗長化(RAID 0/1/5などの違い)
- 信頼性設計:フェールセーフ・フールプルーフ
- 稼働率の計算(直列・並列の考え方)
- 信頼性・性能指標:MTBF・MTTR・レスポンスタイム・スループット
⑧ マネジメント・ストラテジ・科目B
プロジェクト管理・サービス管理と、科目Bの実践的な題材を扱う分野です。科目Bは知識単体ではなく、実際の場面に知識を当てはめて考える読解型が中心なので、①〜⑦の知識を「業務でどう判断・対処するか」に結びつける練習が鍵になります。
- プロジェクトマネジメント:PMBOKの知識エリア・スコープ・WBS
- アローダイアグラムとクリティカルパス・最短所要日数の算出
- ITサービスマネジメント:SLA/SLO・RTO・ITILのプラクティス
- 科目B:インシデント対応の場面問題
- 科目B:情報資産管理・アクセス管理の実務判断
- ①〜⑦の知識を業務シナリオに当てはめる読解力
勉強スケジュールのモデルケース
情報セキュリティマネジメント試験は、CBT方式で受験日を自分で選べるため、学習計画を立てやすい試験です。IT・セキュリティの予備知識がある方なら短期間、まったくの初学者なら腰を据えた学習が必要です。以下の3パターンから自分に合うものを選んでください。
【短期集中コース】2週間・1日1〜1.5時間
- 前半:①情報セキュリティ基礎と②暗号・認証を一気に読み込み、用語を整理
- 中盤:③実装技術と④⑤の管理・対策を押さえ、リスク対応と各種製品の役割を確認
- 後半:⑥法令・⑦テクノロジ・⑧科目Bを仕上げ、全分野の演習で弱点をつぶす
ITパスポートや基本情報の学習経験がある方向け。用語の8割はすでに耳にしたことがあるはずなので、抜けのある分野を演習で特定し、集中的に埋めるのが効率的です。とくに②暗号と④リスクマネジメントは差がつきやすいので重点的に。
【1ヶ月標準コース】1日30分〜1時間
- 1週目:①情報セキュリティ基礎を読み込み、脅威・攻撃手法・マルウェアを整理
- 2週目:②暗号・認証と③実装技術。鍵の使い分けと各製品の役割を図で整理
- 3週目:④リスクマネジメントと⑤対策・⑥法令。手順の順序と法律の趣旨を押さえる
- 4週目:⑦テクノロジ(計算含む)と⑧科目B、全分野の総演習
標準的なコース。1日30分〜1時間×30日=合計15〜30時間。①で全体像を固めてから②以降に進むと、攻撃と防御の対応関係が見えて理解がスムーズになります。科目B(⑧)は最後にまとめて、知識を場面に当てはめる練習に充てましょう。
【じっくりコース】1日20〜30分
- 1〜2週目:①情報セキュリティ基礎を丁寧に。用語の意味を一つずつ確認
- 3〜4週目:②暗号・認証と③実装技術を図で整理
- 5〜6週目:④リスクマネジメントと⑤対策・⑥法令をじっくり
- 7週目:⑦テクノロジの計算問題を手を動かして練習
- 8週目:⑧科目Bと全分野の総復習
IT・セキュリティに不慣れな初学者向け。1日20〜30分×8週間で、基礎から科目Bまで無理なく積み上げられます。用語が多いので、長期分散で繰り返し触れることが定着につながります。
効率的な学習ステップ
ステップ1:情報セキュリティ基礎で全体像を作る(所要1週間)
①の脅威・脆弱性・攻撃手法を最初に押さえ、「どんな攻撃があり、それが何を狙うのか」の地図を頭に作ります。この地図があると、②以降で学ぶ暗号や対策技術が「どの攻撃に対する守りか」として理解でき、暗記が理解に変わります。
ステップ2:暗号と認証を図で整理する(所要1週間)
②の暗号・署名・認証は、言葉だけで覚えようとすると混乱します。送信者・受信者・鍵(公開鍵/秘密鍵)を書き出し、「暗号化は受信者の公開鍵」「署名は送信者の秘密鍵」という矢印の向きを図にして覚えましょう。ここを図解で固めるのが最大のコツです。
ステップ3:リスクマネジメントと法令を体系で覚える(所要1週間)
④のリスクアセスメント(特定→分析→評価)とリスク対応(回避・低減・移転・保有)は手順と分類を、⑥の法令は「何を禁止・規制する法律か」を一覧にして整理します。似た用語・似た法律名が多い分野なので、表にまとめて繰り返し見返すのが効果的です。
ステップ4:科目Bと問題演習で仕上げる(所要1週間)
知識が一通り入ったら、⑧の科目B型問題で「知識を場面に当てはめる」練習をします。同時に、分野別演習で理解度を測定し、弱い分野を集中的に補強。ケンテイラボの情報セキュリティマネジメント対策320問は分野別に整理されており、苦手の特定に役立ちます。
科目A・科目Bそれぞれの攻略法
この試験は科目Aと科目Bで求められる力が異なります。両方の特性を理解して、対策の重心を分けることが合格への近道です。
- 科目A(知識):用語・仕組みの理解が中心。分野を横断して幅広く問われるため、①〜⑦を満遍なく押さえる
- 科目A対策:一問一答形式の演習を繰り返し、用語の定義を即答できる状態にする
- 科目B(実践):業務シナリオを読み、状況に合った判断を選ぶ読解型。知識の丸暗記だけでは解けない
- 科目B対策:インシデント対応や情報資産管理の場面で「なぜその対応が適切か」を説明できるようにする
- 科目Bは長文を落ち着いて読み、問われている論点を正確につかむ練習が有効
科目Aは知識の網羅、科目Bは知識の運用という違いを意識しましょう。まず科目Aで土台となる知識を固め、その知識を科目Bの場面問題で「使ってみる」順序が効率的です。科目Bは慣れが大きく効くため、早い段階から少しずつ場面問題に触れておくと本番で戸惑いません。
受験者がつまずきやすいポイント
つまずき1:暗号化と署名で使う鍵を混同する
「暗号化は受信者の公開鍵」「デジタル署名は送信者の秘密鍵」——この対応が最も混乱しやすいポイントです。目的(秘匿したいのか、本人証明したいのか)から鍵の向きを導けるようにしておくと、丸暗記に頼らず判断できます。図に矢印を描いて繰り返し確認しましょう。
つまずき2:似た名前の攻撃・製品がごちゃ混ぜになる
XSSとCSRF、IDSとIPS、WAFとファイアウォールなど、名前が似ていて役割が違うものが多数あります。「何を対象にし、どこで、何を防ぐか」を軸に対比表を作ると区別しやすくなります。攻撃と、それを防ぐ製品をセットで覚えるのも有効です。
つまずき3:法律の名称と規制対象が結びつかない
不正アクセス禁止法・個人情報保護法・刑法の各罪など、似た領域を扱う法律が多く、どの法律が何を規制するのか混同しがちです。「禁止する行為」「保護する対象」を一言で言えるように、法律ごとに要点を一行で整理しておきましょう。
つまずき4:科目Bの読解問題に慣れていない
科目Bは知識を問う単純な問題ではなく、業務シナリオを読んで適切な判断を選ぶ形式です。知識はあるのに設問の意図を読み違えて失点するケースが目立ちます。早めに場面問題に触れ、「この状況では何を優先すべきか」を考える読み方に慣れておくことが大切です。
リスクマネジメントの流れを総整理
④の情報セキュリティ管理は収録問題数も多く、科目Bの土台にもなる重要分野です。手順の順序と分類を混同しないよう、リスクマネジメントの全体像を整理しておきましょう。
- リスクアセスメント:リスク特定→リスク分析→リスク評価の順で進める
- リスク特定:守るべき情報資産と、それに対する脅威・脆弱性を洗い出す
- リスク分析:発生可能性と影響度からリスクの大きさを見積もる
- リスク評価:リスク受容基準と照らし、対応の優先順位を決める
- リスク対応(回避):リスクの原因となる活動そのものをやめる
- リスク対応(低減):対策を講じて発生可能性や影響を下げる
- リスク対応(移転):保険や外部委託でリスクを他者に移す
- リスク対応(保有):許容範囲内としてあえて受け入れる
覚え方のコツは、アセスメントは「特定→分析→評価」の順序を、リスク対応は「回避・低減・移転・保有」の4分類を、それぞれ別物として押さえることです。ISMSのPDCAサイクルの中でこの流れが回っている、という全体像を持つと、個別の用語も定着しやすくなります。
よくある質問(FAQ)
Q. 文系・IT未経験でも合格できますか?
A. 合格できます。この試験は技術者向けというより、ITを利用する部門でセキュリティを管理・運用する立場の人を対象としており、難易度は★★☆☆☆(やや易)に位置づけられます。用語は多いものの一つひとつは難解ではなく、①情報セキュリティ基礎から順に積み上げれば、未経験者でも十分に合格レベルへ到達できます。
Q. どのくらい勉強すれば合格できますか?
A. IT・セキュリティの予備知識がある方なら15〜25時間、初学者なら30〜50時間ほどが一つの目安です。ただし重要なのは時間の長さより、科目Aで用語を即答できる状態にし、科目Bで知識を場面に当てはめられるようにするという学習の質です。分野別演習で弱点を特定し、繰り返すのが効率的です。
Q. ITパスポートや基本情報技術者試験とどう違いますか?
A. いずれもIPAの情報処理技術者試験ですが、この試験はセキュリティの管理・運用に特化している点が特徴です。ITパスポートより情報セキュリティの範囲を深く掘り下げ、技術構築が中心の試験とは異なり「守る側の担当者」の実務判断に重きを置きます。ITパスポート取得後の次の一歩として学ぶ方も多い試験です。
Q. 試験日や受験手数料はどこで確認できますか?
A. CBT方式で通年実施されますが、具体的な試験日程・受験手数料・試験時間・合格基準は改定されることがあります。これらの数値は本記事では断定せず、申し込み前に必ずIPAの公式サイトで最新情報を確認してください。CBTのため受験会場や空き状況も公式の予約システムで確認できます。
Q. 科目Bが難しそうです。どう対策すればよいですか?
A. 科目Bは業務シナリオを読んで適切な対応を選ぶ読解型です。まず科目Aで基礎知識を固めたうえで、インシデント対応や情報資産管理の場面問題に早めから触れ、「この状況で何を優先すべきか」を考える読み方に慣れておくと安定します。知識と場面判断は別の力なので、両方を並行して鍛えるのがコツです。
ケンテイラボでの実力チェック方法
ケンテイラボでは、情報セキュリティマネジメント試験対策問題を全320問・無料で公開しています。情報セキュリティ基礎から暗号・実装技術、リスクマネジメント、法令、テクノロジ、科目Bの実践題材まで8分野を網羅し、CBT方式の本試験に向けて分野別に演習できます。学習段階に合わせて、次のような使い方がおすすめです。
- 学習初期:分野別演習で①情報セキュリティ基礎から順に用語を確認し、苦手分野を特定する
- 学習中期:間違えた問題だけを繰り返す復習モードで、暗号や法令の弱点を克服する
- 学習後期:ランダム出題で本番形式に慣れ、全分野をバランスよく仕上げる
- 直前期:全320問を通しで2〜3周し、正答率を引き上げる
登録不要・完全無料で利用できるため、通勤や休憩のスキマ時間にスマホから気軽に取り組めます。CBT方式で受験日を選べるこの試験は、演習で仕上がりを確認してから予約するのが効率的です。8分野の知識を確実に定着させ、情報セキュリティマネジメント試験の合格を目指しましょう。