情報セキュリティマネジメント試験

この記事は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。 ご自身が現実に遭遇した事件については法律関連の専門家にご相談ください。免責事項もお読みください。

情報セキュリティマネジメント試験
英名	Information Security Management Examination
略称	SG、セキュマネ
実施国	日本
資格種類	国家資格
分野	コンピュータ・情報処理
試験形式	CBT
認定団体	経済産業省
認定開始年月日	2016年（平成28年）
根拠法令	情報処理の促進に関する法律
公式サイト	https://www.ipa.go.jp/shiken/kubun/sg/
特記事項	実施はIT人材育成センター国家資格・試験部が担当
ウィキプロジェクト 資格 ウィキポータル 資格
テンプレートを表示

情報セキュリティマネジメント試験（じょうほうセキュリティマネジメントしけん、Information Security Management Examination、略称: セキュマネ、略号: SG）は、情報処理の促進に関する法律第29条第1項の規定に基づき経済産業大臣が行う国家試験で、情報処理技術者試験の一区分である。対象者像は「情報システムの利用部門にあって、情報セキュリティリーダーとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程（情報セキュリティポリシーを含む組織内諸規程）の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者」。日本国内における情報セキュリティ部門の基礎的知識を問う能力認定試験と位置づけられており、その難易度は回を追うごとに上昇している。

ITの高度化やインターネットの普及が社会に様々な恩恵をもたらす一方、サイバー攻撃の手口は ますます巧妙化・複雑化し、社会全体に対する非常に大きな脅威となっている。「情報セキュリティをいかに確保するか」は今や組織にとって大きな経営課題だが、標的型攻撃、内部不正などの多種多様な脅威は、「ITによる対策（技術面の対策）」だけではなく、適切な情報管理、業務フローの見直し、組織内規程順守のための従業員の意識向上といった、「人による対策（管理面の対策）」についてもしっかりとした取組みが重要である。そのための情報セキュリティマネジメントを担う人材の育成をいかに推進していくかが社会全体での課題である。「情報セキュリティマネジメント試験」は、このような社会ニーズの高まりを背景に、国家試験「情報処理技術者試験」の新たな試験区分として創設された。

情報セキュリティマネジメントシステム（ISMS）に特化した国家資格。範囲が狭いということは情報セキュリティ分野に関してレベルの高い内容が出題されるということの裏返しでもあり、基本情報技術者試験（FE）どころか、1ランク上のスキルレベル3の応用情報技術者試験（AP）と同等か、それより難しい内容が出題される。

情報管理部門のリーダーとして、業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程（情報セキュリティポリシーを含む組織内諸規程）の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者

情報セキュリティが確保された状況を実現し、維持・改善するために、次の業務と役割を果たす。

(1)部門における情報資産の情報セキュリティを維持するために必要な業務を遂行する。

(2)部門の情報資産を特定し、情報セキュリティリスクアセスメントを行い、リスク対応策をまとめる。

(3)部門の情報資産に関する情報セキュリティ対策及び情報セキュリティ継続の要求事項を明確にする。

(4)情報システムの調達に際して、利用部門として必要となる情報セキュリティ要求事項を明確にする。また、業務の外部委託に際して、情報セキュリティ対策の要求事項を契約で明確化し、その実施状況を確認する。

(5)部門における情報セキュリティを確実に運用する。

(6)部門のメンバーの情報セキュリティ意識、コンプライアンスを向上させ、内部不正などの情報セキュリティインシデントの発生を未然に防止する。

(7)情報セキュリティインシデントの発生又はそのおそれがあるときに、情報セキュリティ諸規程、法令・ガイドライン・規格などに基づいて、適切に対処する。

(8)部門又は組織全体における情報セキュリティに関する意見・問題点について担当部署に提起する。

①部門の情報セキュリティマネジメントの一部を独力で遂行できる。

②情報セキュリティインシデントの発生又はそのおそれがあるときに、情報セキュリティリーダーとして適切に対処できる。

③情報技術全般に関する基本的な用語・内容を理解できる。

④情報セキュリティ技術や情報セキュリティ諸規程に関する基本的な知識をもち、情報セキュリティ機関、他の企業などから動向や事例を収集し、部門の環境への適用の必要性を評価できる。

• 2015年（平成27年）10月16日 - 情報セキュリティマネジメント試験を試験区分に追加する「情報処理技術者試験規則等の一部を改正する省令」が公布される（施行日は平成28年4月1日）^[1]。
• 2016年（平成28年）情報セキュリティマネジメント試験が春季・秋期の年二回実施。
  • 4月16日 - 4月14日に発生した平成28年（2016年）熊本地震の影響により、九州地区（除：那覇）の試験地において、平成28年度春期情報処理技術者試験を中止^[2]。よって、情報セキュリティマネジメント試験の初回は九州地区（除：那覇）の試験地のみ実施しないことになった。なお、前日15日の段階では、熊本試験地のみの中止が発表されていた。
  • 4月17日 - 九州地区（除：那覇）試験地以外の全試験会場で、初回となる情報セキュリティマネジメント試験実施
  • 10月16日 - 九州地区（除：那覇）試験地においては初回（他の試験地では2回目）となる、情報セキュリティマネジメント試験実施

• 2020年（令和2年）9月18日 - 2019年新型コロナウイルス感染症（COVID-19）の影響により当初予定していた10月18日の試験を延期すること、および、令和2年度内にCBT方式に切り替えたうえでの実施が発表される。なお、本試験と基本情報技術者試験は令和3年度以降もCBTでの実施を継続することがIPA報道資料において謳われている^[3]。その後同年10月15日に、情報セキュリティマネジメント試験は2020年12月に実施する予定が発表されるとともに、身体障害者などを対象とした筆記試験は令和3年度春期試験から実施することも発表された^[4]。

• 2022年（令和4年）4月25日 - 2023年（令和5年）4月以降、試験時間の短縮や出題形式の変更が発表された^[5]。

情報セキュリティマネジメント試験の出題範囲を更に詳細化し、知識・技能の幅と深さを体系的に整理、明確化した「シラバス」（情報処理技術者試験における知識・技能の細目）が策定され、公表されている。

本試験は情報セキュリティに特化した区分であり、情報セキュリティ管理の実践規範、各種対策、情報セキュリティ関連法規などに加えて、ネットワーク、システム監査、経営管理などの関連分野の深い知識が問われる。

• 機密性、完全性、可用性
• 情報セキュリティの重要性
• 脅威
• 脆弱性
• 不正のトライアングル（機会、動機、正当化）
• サイバー攻撃手法
• 暗号化
• 認証
• 利用者認証
• 生体認証（バイオメトリクス）
• 公開鍵基盤（PKI）

情報セキュリティ管理

• 情報資産
• リスクの種類
• リスクアセスメント
• リスクマネジメント
• 事業継続計画（BCP）
• 情報セキュリティポリシー
• 情報セキュリティマネジメントシステム（ISMS）
• インシデント管理など各種管理策
• CSIRTなど情報セキュリティ関連組織・機関

セキュリティ技術評価

• セキュリティ評価

情報セキュリティ対策

• マルウェア対策
• 不正アクセス対策
• 情報漏洩対策
• アクセス管理
• 情報セキュリティ啓発
• RASIS

セキュリティ実装技術

• セキュアプロトコル
• ネットワークセキュリティ
• データベースセキュリティ
• アプリケーションセキュリティ

情報セキュリティ関連法規

• サイバーセキュリティ基本法
• 個人情報の保護に関する法律（個人情報保護法）
• 不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）
• 刑法
• その他のセキュリティ関連法規
• 情報セキュリティに関する標準

知的財産権

• 知的財産権
• 不正競争防止法

労働関連・取引関連法規

• 労働基準法
• 労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律（労働者派遣法）
• 企業間の取引に関わる契約

その他の法律・ガイドライン・技術者倫理

• その他の法律・ガイドライン・技術者倫理

標準化関連

• 標準・規格と標準化団体

テクノロジ

• コンピュータネットワーク
• データベース
• システム構成要素

マネジメント

• システム監査
• ITサービスマネジメント
• プロジェクトマネジメント

ストラテジ

• 経営管理、企業活動
• システム戦略
• システム企画

試験時間120分。試験は多肢選択式で、60問を120分で解答する。IRT（項目応答理論）方式により1,000点満点で採点。総合評価の満点の60%(600/1,000)以上を満たした場合に合格になる。2023年3月までの形式とは異なりそれぞれの科目に対する基準点はなく、純粋な総合得点で評価される。

出題される設問数は60問あるが、うち6問はダミー問題であり、この6問の正誤はスコアには反映されない。ダミー問題は以後に行われる試験のための出題評価に用いられる。

• 内訳
  • 小問形式60問（1問につき1設問）
• 設問数
  • 科目A 48問
  • 科目B 12問

問1 - 問48。2023年3月までの「午前」に相当する。四肢択一式で出題。 主に重点分野である「セキュリティ」および「法務（情報セキュリティ関連法規）」に関する問題が中心に出題されるが、「システム構成要素」「ネットワーク」「データベース」「プロジェクトマネジメント」「サービスマネジメント」「システム戦略」「企業活動」も出題範囲の対象である^[6]。出題比率としては、セキュリティから30問程度、法務から4問程度、その他関連領域から14問程度出題される。

問49 - 問60。2023年3月までの「午後」に相当する。多肢択一式で出題。 情報セキュリティマネジメントシステム（ISMS）に関連する具体的なケースを題材にした小規模の問題（本文とそれに関する1つの設問からなる）が12問出題され、全問解答。

2023年3月までの形式

午前、午後のそれぞれについて、原則、満点の60%を基準点とし、両方とも基準点以上で合格となる^{[注 1]}。

基本情報技術者試験や高度情報処理技術者試験とは異なり、午前試験の免除制度は当試験には存在しない。それ故、受験者全員が午前試験および午後試験を受けなければならない。

午前

試験時間90分。四肢択一式（マークシート使用）で50問出題され全問解答。

主に重点分野である「セキュリティ」および「法務（情報セキュリティ関連法規）」に関する問題が中心に出題されるが、「システム構成要素」「ネットワーク」「データベース」「プロジェクトマネジメント」「サービスマネジメント」「システム戦略」「企業活動」も出題範囲の対象である^[6]。出題比率としては、セキュリティから30問、法務から6問、その他関連領域から14問出題される。

午後

試験時間90分。情報セキュリティマネジメントシステム（ISMS）に関連する中規模の問題（本文とそれに関する複数の設問からなる）が3問出題され、全問解答。

• 大学、大学院、短期大学等では、入学試験での優遇^[8]や、入学後の単位認定^[9][10]の対象となることがある^{[注 2]}。
• 国家公務員および地方公務員の採用条件・階級評価の対象となる。

• 情報処理推進機構 (IPA)
• 日本の情報に関する資格一覧

• 情報セキュリティマネジメント試験