情報セキュリティマネジメント試験の概要
「実は、情報セキュリティに関するIPA国家資格の中で、最もハードルが低くて実用的なのがSGなんですよね」——現場のセキュリティ担当者がよくそう言う。
情報セキュリティマネジメント試験(SG:Security Management)は、IPAが2016年度に新設した国家資格だ。エンジニアリングスキルよりも、セキュリティポリシーの策定・リスク管理・インシデント対応というマネジメント能力を認定することに特化している。情報処理技術者試験の中では「ITパスポートの次のステップ」として位置づけられており、IT職種の入り口として広く受験されている。
技術領域での位置づけを整理すると、「守り側の共通言語を持っているか」を証明する試験だ。攻撃コードは書けなくても、フィッシング・SQLインジェクション・標的型攻撃の仕組みを説明できて、ISO 27001の意味がわかって、インシデント発生時に何をすべきか判断できる——そのレベルを問う。
2023年度からCBT(Computer Based Testing)方式に移行し、年間を通じて随時受験できるようになった点も、社会人受験者にとって受けやすい資格になった。
対象者と前提知識
受験資格の制限はなく、年齢・学歴・国籍を問わず誰でも受験できる。
ここがポイントで、「IT未経験者でも受験できる」という建前ではあるが、実際には基礎的なPC・ネットワーク知識があると学習時間が大幅に短縮される。「IPアドレスとは何か」「HTTPSの"S"は何のためにあるか」を知っている状態で始めるのと、そこから説明が必要な状態とでは、学習コストが1.5〜2倍変わる。
向いている受験者:
- IT部門・情報システム担当への異動が決まった非エンジニア
- セキュリティインシデント対応の担当になった総務・管理職
- 転職でIT職種を目指している文系社会人
- ITパスポートを取得済みで次のステップを探している人
実は、IT部門の非エンジニア職(システム発注担当・コンプライアンス担当・ベンダー管理)でも、SG取得者は「セキュリティの会話ができる人」として社内評価が上がるケースが多い。
出題範囲と試験形式
試験の基本情報
| 項目 | 内容 |
|---|---|
| 実施方式 | CBT(年間通じて随時受験可) |
| 試験時間 | 120分 |
| 出題数 | 科目A:48問 / 科目B:12問(合計60問) |
| 出題形式 | 多肢選択式 |
| 合格基準 | 1,000点満点で600点以上 |
| 受験料 | 7,500円 |
科目A(48問)— 知識問題
セキュリティ全般の幅広い知識を問う。ここがポイントで、暗記主体の問題が多いため、用語集を繰り返し読む学習法が有効だ。
| 出題分野 | 主な内容 |
|---|---|
| 情報セキュリティの基本概念 | 機密性・完全性・可用性(CIAトライアド)の定義 |
| 脅威・攻撃の種類 | マルウェア・フィッシング・標的型攻撃・ソーシャルエンジニアリング |
| セキュリティ対策技術 | ファイアウォール・VPN・暗号化・認証技術・IPS/IDS |
| 法律・規格 | 個人情報保護法・不正アクセス禁止法・ISO/IEC 27001・NIST CSF |
科目B(12問)— シナリオ問題
実際のセキュリティ事案を読み、適切な対応を選ぶ形式だ。「知識がある」だけでなく「組織のセキュリティ担当者として判断できるか」を問う。
ここが苦手な受験者が多い。シナリオが長く、問われ方が「どれが正しいか」ではなく「どれが最も適切か」というニュアンス判断になるからだ。複数の選択肢が「どれも間違いではない」状況で、組織のセキュリティ原則に照らして最善の行動を選ぶ練習が必要になる。
合格率・難易度の分析
令和6年度の合格率は約69%。IPA試験区分の中では明確に合格しやすい部類に入る。
| 資格 | 合格率 | 比較 |
|---|---|---|
| 情報セキュリティマネジメント試験 | 約69% | 受験しやすい。3〜4ヶ月で合格圏 |
| 基本情報技術者試験 | 約55〜60% | SGより少し難しい |
| 応用情報技術者試験 | 約25〜30% | SGより大幅に難しい |
| 情報処理安全確保支援士 | 約20〜25% | セキュリティ専門の上位国家資格 |
「ITパスポートより難しく、基本情報より易しい」という位置づけだ。ただし油断は禁物で、合格率が高いのはある程度の準備をして臨む受験者が多いからであって、無勉強では当然落ちる。
実は、科目Bのシナリオ問題で足元をすくわれる受験者が一定数いる。科目Aの暗記準備に重心を置きすぎて、読解・判断系の問題に慣れていないと、120分の試験後半で失速するパターンだ。
効率的な学習アプローチ
推奨学習期間
| バックグラウンド | 学習期間 |
|---|---|
| IT経験者(IT部門・システム担当) | 1〜2ヶ月(1日1時間) |
| IT未経験者・文系出身 | 2〜3ヶ月(1日1〜2時間) |
学習の進め方
Step 1 — 参考書で概念の骨格を作る セキュリティ用語・攻撃手法・対策技術を体系的に把握する。「なぜその攻撃が危険で、なぜその対策が有効か」という因果関係を理解しながら読む。用語を丸暗記しても試験には受かるが、科目Bのシナリオ問題で応用が効かなくなる。
Step 2 — 科目A対策:過去問演習で用語を定着 IPAの公式サイトに公開されているサンプル問題を解く。「間違えた問題の用語を調べる → 類似問題を解く」のサイクルを繰り返す。特に覚えにくい用語(PKI・X.509・デジタル署名の違いなど)は、自分なりの言葉で説明できるまで落とし込む。
Step 3 — 科目B対策:シナリオ演習を積む ここがポイントで、科目Bは問題量をこなすほど正答率が上がる。シナリオ読解の速さと「組織としての優先判断」の感覚は反復で身につく。専用の問題集(アイテックの「午後問題の重点対策」相当)で演習する。
Step 4 — 覚えるべき重要用語を確認
| カテゴリ | 重要用語 |
|---|---|
| 認証技術 | 多要素認証・PKI・デジタル署名・X.509証明書・FIDO |
| 攻撃手法 | SQLインジェクション・XSS・DoS/DDoS・MITM・フィッシング |
| フレームワーク | ISO 27001(ISMS)・NIST CSF・サイバーセキュリティ基本法 |
| インシデント対応 | CSIRT・SOC・フォレンジック・エスカレーション手順 |
取得後のスキルマップ
活用できるキャリアシーン
- IT部門・情報システム担当: 社内セキュリティの管理責任者としての知識を公的に証明
- 総務・管理部門: 個人情報保護・情報漏洩対策の担当として業務の根拠を持てる
- 就職・転職: IT職種への転職・就職時の基礎スキル証明(特に非エンジニア職でのアピールに有効)
- 中小企業のセキュリティ担当: 専門部門がない企業でのセキュリティ推進役の「資格的根拠」として
関連資格・上位資格
| 資格 | 関係性 |
|---|---|
| ITパスポート(IPA) | SGの手前の入門資格。IT全般の基礎固めとして |
| 基本情報技術者試験(FE) | IT全般の基礎資格。SG取得後のステップとして自然なルート |
| 応用情報技術者試験(AP) | IT技術者の中級国家資格。SGからの上位ステップ |
| 情報処理安全確保支援士(RISS) | セキュリティ専門家の業務独占上位資格。SGから数年の実務を経て目指す |
| CompTIA Security+ | グローバルに通用するセキュリティ資格(民間)。海外案件がある職場向け |