情報セキュリティマネジメント試験(SG)
出題分野まとめ・合格への学習ガイド
本ページは、無料学習アプリ「IT王国の勇者 SG版」と連携した 情報セキュリティマネジメント試験(SG)の学習ガイドです。 試験ではリスク管理・技術的対策・法規・マネジメントの4軸から幅広く出題されます。 各分野の頻出ポイントと学習のコツを凝縮しているので、合格への地図としてご活用ください。
📊 試験の概要
- 科目A:4択60問・90分(知識問題)― 合格基準 600点以上(1000点満点)
- 科目B:12問・105分(シナリオ問題)― 合格基準 600点以上(1000点満点)
- 受験方式:CBT方式(随時受験可)
- 難易度:IPA国家資格 レベル2
🛡️ RPGで楽しくSG対策!
⚔️ SG過去問ゲームを始める(無料)
🎯 情報セキュリティ基礎・リスクマネジメント
SG試験の中核となる分野です。科目Aの多くの問題がこの知識を前提にしています。
情報セキュリティの3要素(CIA)
頻出ポイント
- 機密性(Confidentiality):許可された人だけが情報にアクセスできる
- 完全性(Integrity):情報が改ざん・破壊されていない状態を保つ
- 可用性(Availability):必要なときに情報にアクセスできる
- これにさらに「真正性・責任追跡性・否認防止・信頼性」を加えた7要素も覚えておく
リスクマネジメント(JIS Q 31000)
リスクマネジメントの国際規格 JIS Q 31000 は頻出です。プロセスの流れと各用語の定義を正確に覚えましょう。
頻出ポイント
- リスクアセスメント = リスク特定 → リスク分析 → リスク評価の3プロセス
- リスク対応は「回避・低減・移転(共有)・保有(受容)」の4種類
- リスク値 = 情報資産の重要度 × 脅威の評価値 × 脆弱性の評価値
- リスクのしきい値を超えた場合は「保有以外の対応」を行う
- リスク分析の意義:リスクの性質と特徴を理解しレベルを決定すること
攻撃手法と脅威
主な攻撃と対策
- マルウェア(ランサムウェア・スパイウェア・トロイの木馬)→ ウイルス対策ソフト・定義ファイル更新
- フィッシング:偽サイトへ誘導して認証情報を詐取 → SPF・DKIM・DMARC
- サイバーキルチェーン:攻撃を「偵察→武器化→配送→侵入→実行→C2→目的達成」の7段階に分類
- ゼロトラスト:内部ネットワークも信頼しない前提のセキュリティモデル
- 不正のトライアングル:「動機・機会・正当化」の3要素がそろうと不正が発生
- ゼロデイ攻撃:パッチが未提供の脆弱性を狙った攻撃
セキュリティ評価指標
頻出ポイント
- CVSS v3:基本評価基準(変化しない)・現状評価基準(時間で変化)・環境評価基準(組織固有)
- SIEM:多様な機器のログを集中管理し相関分析→脅威の早期検知
- ペネトレーションテスト:実際に攻撃してシステムの脆弱性を検証
🔐 技術的セキュリティ対策(暗号・認証・ネットワーク)
暗号化
頻出ポイント
- 共通鍵暗号(AES・DES):速い・大量データ向き・鍵配送問題あり
- 公開鍵暗号(RSA・楕円曲線):遅い・鍵配送に強い・素因数分解の困難さが安全性の根拠
- ハイブリッド暗号:セッション鍵(共通鍵)を公開鍵で暗号化して送る(TLSなど)
- SHA-256:ハッシュ関数。同じ入力から常に同じ256bit(16進64桁)のハッシュ値を出力
- ハッシュ値が一致 → 内容が同一。内容変更不可・一方向性が特徴
デジタル署名・PKI・証明書
頻出ポイント
- デジタル署名:送信者の秘密鍵で署名 → 受信者は公開鍵で検証(なりすまし・改ざん防止)
- TLS(HTTPS):サーバ証明書はCAの秘密鍵で署名 → クライアントはCAの公開鍵で検証
- 電子署名法:電子署名には民事訴訟法の押印と同様の効力が認められる。認証業務は民間事業者も可
- CRL(証明書失効リスト)・OCSP:証明書の有効性確認手段
認証技術
頻出ポイント
- 多要素認証:「知識(パスワード)」「所持(スマホ・ICカード)」「生体(指紋・顔)」の2種類以上を組み合わせる
- リスクベース認証:通常と異なるIPアドレス・デバイスからのアクセス時に追加認証を要求
- アンチパスバック:入室時に使ったIDカードが退室時にも必要(共連れ防止)
- TPMOR(Two Person Minimum Occupancy Rule):最低2人以上の在室を要求するルール
- CAPTCHA:画像認識で人間か確認(ボット対策)
ネットワークセキュリティ
頻出ポイント
- SPF:送信ドメインのDNSに正規メールサーバIPを登録→なりすましメール判定
- DKIM:送信サーバがメールにデジタル署名→受信サーバが公開鍵で検証
- プロキシサーバ:社内→インターネット通信を中継、URLフィルタリング・ログ記録
- DNSキャッシュポイズニング対策:外部クライアントからの再帰的問合せを拒否
- ファイアウォール・IDS(侵入検知)・IPS(侵入防止)・WAF(Webアプリ保護)の違い
- ビヘイビア法(動的解析):プログラムを実際に実行して振る舞いでマルウェアを検出
⚖️ 法規・標準・個人情報保護
個人情報保護法
頻出ポイント
- 対象:生存する個人に関する情報(死者・法人は対象外。国籍問わず)
- 第三者提供には原則として本人の同意が必要
- 要配慮個人情報(病歴・犯罪歴等)は取得に際して明示的な同意が必要
- 個人情報取扱事業者は安全管理措置・従業員教育・委託先監督の義務あり
情報セキュリティ関連法規
頻出ポイント
- 特定電子メール法:広告宣伝メールの送信者・送信委託者の両方を規制。送信にはオプトイン(事前同意)が原則
- 不正競争防止法:営業秘密の3要件(秘密管理性・有用性・非公知性)
- 不正アクセス禁止法:アクセス権限のないコンピュータへの不正アクセスを禁止
- サイバーセキュリティ基本法:国のサイバーセキュリティ戦略策定の根拠法
情報セキュリティ管理基準・規格
頻出ポイント
- 情報セキュリティ管理基準(平成28年):JIS Q 27001(要求事項)・JIS Q 27002(実践規範)と整合
- JIS Q 27001(ISMS要求事項):ISMSの構築・実施・維持・改善の要求事項を規定
- JIS Q 31000(リスクマネジメント指針):リスク特定→分析→評価がリスクアセスメント
- 情報のラベル付け(社外秘・極秘):「知らなかった」という言い訳を封じる効果
📋 マネジメント(ISMS・インシデント管理・監査)
情報セキュリティマネジメント(ISMS)
頻出ポイント
- ISMSはPDCAサイクル(Plan→Do→Check→Act)で継続的に改善
- リスクアセスメントは年に1回以上実施(大きなシステム変更後も)
- 情報資産の重要度 = 機密性・完全性・可用性の評価値の最大値
- しきい値を超えたリスクは「保有以外のリスク対応(低減・回避・移転)」を実施
インシデント管理・監査
頻出ポイント
- インシデントの種類・影響度によって連絡・報告ルートを変えるべき(一律共通は不適切)
- 違反の可能性を確認したら調査→確認してから懲戒手続きを開始(即時開始は不適切)
- 監査人は被監査部門から独立していなければならない(客観性の確保)
- デジタルフォレンジックス:インシデント発生時に法的証拠となるデータを収集・保全・解析
内部統制
頻出ポイント
- 内部統制の6基本要素:統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応
- 統制活動:業務プロセスに組み込まれた規則・手続き(例:受注から出荷の処理結果検証)
- モニタリング:定期的な内部業務監査がこれにあたる
💻 テクノロジ全般(DB・システム・統計)
システム信頼性(RASIS)
頻出ポイント
- RASIS:Reliability(信頼性)・Availability(可用性)・Serviceability(保守性)・Integrity(完全性)・Safety(安全性)
- 可用性(A)= MTBF ÷(MTBF + MTTR) → MTBFを増やすかMTTRを減らすと向上
- MTBFのみ2倍にしてMTTRを変えない → 可用性は上がる
- MTBFとMTTRを同倍にしても稼働率は変わらない
データ管理・統計
頻出ポイント
- データウェアハウス:全社統合データを蓄積(時系列で変更しない)
- データマート:特定部門・目的向けにデータウェアハウスから切り出した小規模DB
- データレイク:生データを大量蓄積(構造化・非構造化問わず)
- データカタログ:データのメタデータ・一覧を管理するツール
- 満足度計算問題:平均 = 合計点 ÷ 回答数、目標達成率 = 平均 ÷ 目標値
RPA・DX・業務改善
頻出ポイント
- RPA(ロボティクスプロセスオートメーション):定型・反復業務の自動化。画面変更が多い業務には不向き
- RPA全社導入:業務プロセスの可視化・見直しをしてから導入(部門単独では進めない)
- デジタライゼーション:個別業務のデジタル化 ≠ デジタルトランスフォーメーション(ビジネスモデル変革)
- BPM(Business Process Management):業務プロセスに分析・設計・実行・改善サイクルを継続実施
QC・品質管理
QC7つ道具
- 特性要因図(フィッシュボーン・石川図):魚の骨状に原因と結果を整理
- パレート図:問題を件数の多い順に並べ累積割合を示す棒グラフ
- ヒストグラム:データの分布を区間ごとの棒グラフで表示
- 管理図:時系列の品質データを管理限界線と比較してばらつきを管理
🎯 合格率・難易度・勉強時間
受験前に知っておきたい基本情報をまとめたページです。
🎯 情報セキュリティマネジメント試験の合格率・難易度・勉強時間【最新データで解説】
合格率50〜60%・IPA レベル2・未経験者は80〜120時間。科目B対策・ITパスポートとの違いも解説。
📖 SG 分野別詳細解説ページ
各分野の重要ポイントを詳しく解説したページです。苦手分野の対策や復習にご活用ください。
🔒 情報セキュリティの基礎
CIA・リスクマネジメント・攻撃手法・セキュリティ評価指標
⚔️ サイバー攻撃・マルウェア
SQLi・XSS・CSRF・ランサムウェア・標的型攻撃・DDoS
🔐 暗号・認証技術
共通鍵/公開鍵・PKI・TLS・多要素認証・FIDO2・SPF/DKIM
📋 ISMS・リスク管理・法規
ISO/IEC 27001・BCP・CSIRT・個人情報保護法・不正アクセス禁止法
🌐 ネットワークセキュリティ
ファイアウォール・WAF・IDS/IPS・DMZ・VPN・SIEM・ゼロトラスト
📈 おすすめ学習順序と合格戦略
ステップ1:情報セキュリティ基礎(CIA・リスクマネジメント)を固める
試験名が示すとおり、情報セキュリティの基礎知識は全問題の土台です。CIAの3要素・リスクアセスメントのプロセス(特定→分析→評価)・主要な攻撃手法を最初に習得しましょう。ここを固めるだけで科目Aの正解率が大きく上がります。
ステップ2:技術的対策(暗号・認証・ネットワーク)
暗号化の仕組み(共通鍵 vs 公開鍵)、デジタル署名・証明書、SPF/DKIM、多要素認証などは毎年出題される頻出テーマです。概念の違いを正確に理解することが重要で、丸暗記ではなく「なぜその仕組みが必要か」を理解すると応用問題にも対応できます。
ステップ3:法規(個人情報保護法・電子署名法)
法規問題は「条文の正確な理解」が問われます。特に個人情報保護法の「生存する個人」という定義、第三者提供の同意ルール、電子署名法の押印と同様の効力は頻出です。条文を読んでから過去問で確認するサイクルを繰り返しましょう。
ステップ4:マネジメント(ISMS・インシデント管理)
ISMS・内部統制・インシデント管理はシナリオ問題(科目B)にも直結します。「何が指摘事項になるか」「どの対応が適切か」を判断できるよう、具体的なシーンで理解することが大切です。
合格のポイント
- 科目Aと科目Bの両方で600点以上が必要(片方だけ高得点でも不合格)
- 科目Bはシナリオ問題のため、長文を素早く読んでポイントを掴む練習が必要
- 過去問(R05〜R07)で出題パターンを把握し、間違えた問題を繰り返す
- 間違えた問題はゲームの「復習ラウンド」で自動再出題されます
- 用語の定義をあやふやにしない:JIS規格・法律の正確な表現が問われる
❓ よくある質問(FAQ)
- Q. 情報セキュリティマネジメント試験は独学で合格できますか?
- A. はい、独学で合格可能です。合格率は50〜60%と国家資格の中では比較的高く、リスクマネジメント・暗号・法規の基礎を押さえ、過去問を繰り返すことが合格への近道です。
- Q. 学習に必要な期間はどのくらいですか?
- A. IT基礎知識がある方で約50〜80時間、全くの未経験者で約100〜150時間が目安です。1日30分〜1時間の学習で2〜3か月で合格圏に到達できます。
- Q. 科目Aと科目Bではどちらが難しいですか?
- A. 一般的に科目Bの方が難しいとされています。科目Bは長文シナリオを読んで適切な対応を選ぶ問題で、実務的な判断力が問われます。このアプリでは科目Aの公開問題を収録しています。
- Q. 基本情報技術者試験(FE)とSGはどちらが難しいですか?
- A. どちらもIPA レベル2ですが、対象知識が異なります。FEはプログラミングや計算問題が多く、SGはセキュリティ・法規の知識が中心です。セキュリティに興味があればSGの方が学習しやすいと感じる方も多いです。
- Q. このアプリには何問収録されていますか?
- A. 令和5〜7年度のIPA公開問題(科目A)各12問・合計36問に加え、シラバス対応のオリジナル問題100問を収録しており、計136問で学習できます。全問に解説付きで、間違えた問題は復習ラウンドで自動再出題されます。
📚 今すぐRPGで学習を始めよう!
🛡️ IT王国の勇者(SG版)を始める
© 2026 IT王国の勇者 / 問題はIPA公開問題をベースに作成されています