ITが急速に普及したことで、便利な世の中になりましたが、同時に、サイバー攻撃の巧妙化や情報漏洩・内部不正のリスクの高まりも見せています。このような背景から、脅威から組織を守る情報セキュリティマネジメントの重要性が増し、企業にとっても情報セキュリティの向上は大きな経営課題となっています。
そのため、セキュリティリスクに対処できる情報セキュリティマネジメント人材の確保が急務となり、そういった人材を育てるという政府や経済産業省の方針を踏まえて設立されたのがこの「情報セキュリティマネジメント試験」です。試験勉強を通して基礎知識を養うことができるため、セキュリティ関連従事者または、それらを目指す人に適した試験です。
情報セキュリティマネジメント試験とは
情報セキュリティマネジメント試験(SG試験)は、IPAが実施する、情報セキュリティマネジメントに関する国家試験で平成28年度春期から開始されました。
IPAは当試験を次のように定義しています。
「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。」
昨今、情報セキュリティの確保に組織的・体系的な取り組みが強く求められています。セキュリティ管理者には情報セキュリティリーダーとして情報セキュリティが確保された状況を実現し、維持、改善し、ITの安全な利活用を推進するという役割があります。
そのためには、情報セキュリティを適切に理解し、セキュリティリスクを特定・分析・評価・策定し、トラブルが発生した場合にも適切に対処して被害を最小限に食い止める、組織全体の意識、コンプライアンスを向上させてリスクを軽減させるなど、情報セキュリティを確保、維持、改善に努めることが求められますが、その基礎を学べるのが情報セキュリティマネジメント試験なのです。
情報セキュリティスキルを身につけるツールとして最適であり、企業の情報セキュリティ部門の担当者やセキュリティエンジニア、セキュリティコンサルタントやそれらを目指す人は当然取得しておくべき資格です。
情報セキュリティマネジメントは業種や分野を問わず重要視されており、多くの企業や教育機関、官公庁・自治体で取得が推奨されています。
参考
https://www.jitec.ipa.go.jp/sg/example/index.html
2023年4月、情報セキュリティマネジメント試験が大きく変わる
2023 年 4 月から情報セキュリティマネジメント試験の試験制度が改変されることをご存知でしょうか。
試験運営団体である IPA (情報処理推進機構) より、2023 年 4 月以降の試験について、実施方式や出題範囲、試験時間の変更が発表されました。
変更点については次項で詳しく説明していきます。
情報セキュリティマネジメント試験の変更点をまとめて比較
以下の表は試験の概要について、変更前と変更後で比較したものです。
※試験の申込方法や受験規約などの詳細については申込み受付開始前の3月に発表があります。

それぞれ説明していきます。
通年試験化で随時受験可能に
2016年の春期から開始された情報セキュリティマネジメント試験は、この時点では春期と秋期の年2回、筆記試験で実施されていましたが、新型コロナウイルス感染症の拡大などの影響で、2020年12月からコンピュータに問題が表示された問題に解答していくCBT(Computer Based Testing)方式による試験形式に変わり、上期・下期という一か月程度の期間内で受験するという制度に変更されました。
そして、さらに受験生のハードルを下げることを目的として、2023年4月から試験が通年化されることとなりました。
通年試験化によって、これまで年に2回(上期・下期の一定期間)しか受けられなかった受験者が自分の都合の良い日時や試験会場を選択して受験できるようになりました。
また、再受験もしやすくなります。試験終了時刻を過ぎたら申し込みができ、受験日の30日後から再受験可能です。
*身体の不自由等によってCBT方式で受験できない人向けに、春期(4月)と秋期(10月)の年2回、筆記試験が実施されます。※申請受付は、1/25終了しました。
試験内容の変更で課題解消?
前提として、旧試験制度のうち、午後試験には、次のような課題がありました。
午後試験の課題
コンピュータ上に問題が表示され、解答を入力していくCBT方式になり、午前問題はマークシートに解答していく筆記試験よりも、塗り間違いのリスクがないなどの利点もあるとのことでしたが、午後試験では逆に苦戦する人も多かったとのことです。
というのも、問題がとにかく長く、問題文と設問を合わせると10ページ以上にわたる場合もあり、本文と設問が1画面に収まらず、同時に参照できないという煩わしさを感じるようです。
これを踏まえて変更点を見ていきましょう。
まず、変更前は、午前試験、午後試験をそれぞれ受験していましたが、変更後は試験科目名がA・Bとなり、知識を問う科目A技能を問う科目Bを120分間でまとめて解答する方式になりました。
また、出題数・解答数も変更前は午前が90分間で50問(一問あたりにかけられる時間1分48秒)、午後試験は同じく90分で3問(一問あたり30分)でしたが、変更後は120分で60問(一問あたり2分)でした。
このような試験時間の短縮や出題形式の変更により、午後試験の課題が改善されることが期待できます。後ほど紹介しますが、IPAが公式で提供している新制度のサンプル問題を見る限りでも、以前のような長文問題がなく、受験しやすいよう改善されているように感じます。
採点方式にIRT方式を採用
採点方式は、配点割合が決まった素点方式からIRT(Item Response Theory:項目応答理論)に基づいて解答結果から評価点を算出する方式に変更されます。
IRT 方式とは、従来の 1 問何点といった明確な採点方法ではなく、どの程度の人が正答できたかといった統計情報によって配点が調整したり出題の順番を変えたりする仕組みです。
IRT 方式を用いることで、異なる試験問題でも、公平な採点ができるため、受験者の実力をより正確に測れるようになり、試験時期や試験内容の違いによる有利・不利が生じにくくなります。
※出題数60問のうち54問で評価され、残りの 6 問は今後出題する問題の評価に使われます。
午前試験・午後試験のそれぞれで100点満点中60点以上で合格でしたが、変更後は科目A・Bで分かれておらず、1,000点満点中600点以上で合格という基準になりました。
出題範囲
出題範囲は、テクノロジ系、マネジメント系、ストラテジ系から出題され、具体的には次の分野が出題されます。
テクノロジ系:システム構成要素、データベース、ネットワーク、セキュリティ
マネジメント系:プロジェクトマネジメント、サービスマネジメント、システム監査
ストラテジ系:システム戦略、システム企画、企業活動、法務
なかでもセキュリティと法務は重点分野となっており、出題数も他の分野に比べて多いことも予想されます。
両者の詳細な項目を以下に示します。
セキュリティ:情報セキュリティ、情報セキュリティ管理、セキュリティ技術評価、情報セキュリティ対策、セキュリティ実装技術
法務:知的財産権、セキュリティ関連法規、労働関連・取引関連法規、その他の法律・ガイドライン・技術者倫理、標準化関連
科目Aで情報セキュリティの考え方から管理規範、各種対策、情報セキュリティ関連法規などに加えて、関連分野の知識を問い、
科目Bでは、業務現場でのケーススタディといった身近な事例をベースにした問題が出題され、実践力が問われます。
参考:https://www.jitec.ipa.go.jp/sg/outline.html?_ga=2.68697556.433983606.1675218164-879018154.1673831320
令和2年度12月以降、CBT形式になり、試験問題も公開されていません。
受験料
受験手数料は変わらず7,500円(消費税込み)となっています。
情報セキュリティマネジメント試験の難易度
試験を主催するIPAによると、共通キャリア・スキルフレームワーク(CCSF)のレベル2にあたります。4段階のうちの2であるため、難易度はそこまで高くありません。同じレベルに指定される試験に「基本情報技術者試験」がありますが、試験時間や問題数、試験範囲で比較すると情報セキュリティマネジメント試験の方が負担が少ないといえます。十分に勉強時間を確保し、対策をすれば一発合格も可能でしょう。
情報セキュリティマネジメント試験を取得するメリット
情報セキュリティマネジメントに関する基礎知識が身につくだけでなく、さまざまなメリットを享受できます。
活躍の場が広い
情報セキュリティマネジメントは業種や分野を問わず重要視されているため、IT企業にとどまらず、多くの現場で活躍することができるでしょう。
資格手当が得られる場合もある
取得を推にする企業も増えており、企業によっては合格時に受験料の負担や報奨金をが付与される場合もあります。企業だけでなく、大学などのでも推奨試験として単位認定制度が設けられている場合もあります。
就転職に有利になる
需要の高い情報セキュリティマネジメントに関する知識や技能があることの客観的な証明にもなるため、就職・転職活動で有利にはたらく場合があります。
情報セキュリティマネジメント試験を取得するデメリット
昇給や昇格は目指せない
情報セキュリティマネジメント試験は国家資格ですが、取得によって資格手当がついたり、取得を機に昇格が見込める資格ではありません。より高い知識や技能を身につけたいという人は、上位試験である「情報処理安全確保支援士試験」の受験をおすすめします。
情報セキュリティマネジメント試験の合格率
令和4年12月に実施され、令和5年1月30日に合格発表がありました。
次の表は、直近5回の合格率を示しています。

「統計資料」
※「令和4年12月に関する統計」
情報セキュリティマネジメント試験の合格率は50%台前半から60%台半ばまでその時々によってまちまちですが、毎回半数は超えており、ほかのIT系試験と比べても比較的受かりやすいといえます。ただ、もちろん十分な勉強時間を確保して知識や技能を身につける必要はあります。
なお、合格者の平均年齢は30代後半です。
参考:https://www.jitec.ipa.go.jp/1_07toukei/heikin_nenrei.pdf
試験合格に必要な勉強時間
試験に合格するのはいったいどの程度の勉強時間が必要なのでしょうか。
情報セキュリティマネジメント試験の合格に必要な勉強時間は、およそ200時間程度が目安とされています。1日2時間とすれば約3か月、1日3時間の勉強なら約2か月で習得できるということです。ただし、この 200 時間というのはあくまでも目安であって、個々のそれまでの経験や知識量によって変わってきます。
そういった点も考慮し、1日にどの程度学習時間を確保できるか試験日から逆算してスケジュールを組みましょう。
情報セキュリティマネジメント試験に合格するコツ
過去問を解く
参考書や学習サイトなどを利用して基礎知識を一通りインプットした後は過去問を解くなどしてアウトプットすることも大切です。インプットとアウトプットを繰り返すことで、知識が定着しやすくなります。
過去問はIPA公式サイトから入手できるのでぜひ活用してみてください。
また、同サイトで試験形式の変更に伴い、サンプル問題(60問)セットも公開されており、新しい問題傾向を掴むためにもぜひ利用しましょう!
過去問
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html
サンプル問題(60問)セット
問題:https://www.jitec.ipa.go.jp/1_13download/sg_set_sample_qs.pdf
解答:https://www.jitec.ipa.go.jp/1_13download/sg_set_sample_ans.pdf
問題を解くことで弱点を発見・克服しながら学習を進められますし、試験本番と同じように制限時間を設けて問題を解くことで本番の試験でも落ち着いて取り組めるでしょう。
とはいえ、歴史の浅い試験ですから、過去問だけでは物足りないという人もいるかもしれません。そんな人には次の方法もあります。
ほかのIT試験の過去問を解く
過去問だけでは物足りないという場合は、IPAの実施するほかの資格試験の過去問を解くのもおすすめです。なぜなら、試験範囲がかぶっていることも多く、流用されることもよくあるからです。
重点分野を重点的に学習する
情報セキュリティマネジメント試験は、テクニカル系のセキュリティとストラテジ系の法務が重点分野になっています。必然的に、出題もこれら2分野からの比重が多くなるため、それらを重点的に学習し、得点力アップにつなげましょう。
CBT方式に慣れておく
CBT方式での試験シミュレーションをしっかりやる必要があります。
過去問道場(情報セキュリティマネジメント試験ドットコム)というサイトでは本番に近い雰囲気で取り組めるのでおすすめです。
情報セキュリティマネジメント試験の今後
今後もセキュリティ技術が発達し、より複雑化・高度化していくでしょう。それに伴い、情報セキュリティマネジメント試験もアップデートされ、難易度も上がっていくことが予想されます。
今後受験を考えている方はしっかり試験対策をして合格を目指しましょう。