ITが急速に普及し、便利な世の中になりましたが、その分、サイバー攻撃の巧妙化や情報漏洩・内部不正のリスクの高まりも見せています。こういった背景から、脅威から組織を守る情報セキュリティマネジメントの重要性が増し、企業にとっても情報セキュリティの向上は大きな経営課題となっています。
そのため、セキュリティリスクに対処できる情報セキュリティマネジメント人材を育てるという政府や経済産業省の方針を踏まえて設立されたのがこの「情報セキュリティマネジメント試験」です。
本記事では、本試験の取得を考える人に向けて、どんな試験か、新制度の変更点、難易度、合格率を中心に解説します。
- 1. 情報セキュリティマネジメント試験とは?
- 2. 【2023年4月~】情報セキュリティマネジメント試験の変更点は?
- 3. 情報セキュリティマネジメント試験の難易度
- 4. 情報セキュリティマネジメント試験の出題範囲
- 5. 情報セキュリティマネジメント試験の受験料
- 6. 情報セキュリティマネジメント試験の出題内容
- 7. 出題の特色
- 8. 情報セキュリティマネジメント試験を取得するメリット
- 9. 情報セキュリティマネジメント試験を取得するデメリット
- 10. 情報セキュリティマネジメント試験の合格率
- 11. 通年実施になってからの合格率に変化はある?
- 12. 情報セキュリティマネジメント試験合格に必要な勉強時間
- 13. 情報セキュリティマネジメント試験に合格するコツ
- 14. 情報セキュリティマネジメント試験の今後
- 15. 情報セキュリティマネジメント試験の勉強方法は?
情報セキュリティマネジメント試験とは?
情報セキュリティマネジメント試験は、情報処理技術者試験の新たな試験区分として平成28年度(2016年)春期にスタートした情報セキュリティに関するスキルを有していることを認定する国家試験です。
試験を運営・実施するIPA(情報処理推進機構)は当試験を次のように定義しています。
「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。」
昨今、情報セキュリティの確保に組織的・体系的な取り組みが強く求められており、セキュリティ管理者には「情報セキュリティリーダーとして情報セキュリティが確保された状況を実現し、維持、改善し、ITの安全な利活用を推進する」という役割があります。
そのためには、情報セキュリティを適切に理解し、セキュリティリスクを特定・分析・評価・策定し、トラブルが発生した場合にも適切に対処して被害を最小限に食い止める、組織全体の意識、コンプライアンスを向上させてリスクを軽減させるなど、情報セキュリティを確保、維持、改善に努めることが求められますが、その基礎を学べるのが情報セキュリティマネジメント試験なのです。
どんな人が取得すべき?
情報セキュリティに関する基礎知識を身につけるツールとして最適であり、企業の情報セキュリティ部門の担当者やセキュリティエンジニア、セキュリティコンサルタントやそれらを目指す人は当然取得しておくべき資格です。
といっても、情報セキュリティマネジメントは今や業種や分野を問わず重要視されている分野であり、多くの企業や教育機関、官公庁・自治体で取得が推奨されています。
参考
https://www.jitec.ipa.go.jp/sg/example/index.html
【2023年4月~】情報セキュリティマネジメント試験の変更点は?
2023 年 4 月から情報セキュリティマネジメント試験の試験制度が改変されることをご存知でしょうか。
試験運営団体である IPA (情報処理推進機構) より、2023 年 4 月以降の試験について、実施方式や出題範囲、試験時間の変更が発表されました。
変更点については次項で詳しく説明していきます。
比較表
以下の表は試験の概要について、変更前と変更後で比較したものです。
| 変更前 | 変更後 | |
| 実施期間 | 上期・下期(それぞれ一か月程度の期間実施) | 通年実施 |
| 試験科目名 | 午前試験・午後試験 | 科目A・B |
| 試験時間 | 90分・90分 | 120分 |
| 解答形式 | 多肢選択式(四肢択一)・多肢選択式 | 多肢選択式 |
| 出題数 | 50問・3問 | 60問 |
| 解答数 | 50問・3問 | 60問 |
| 採点方式 | 素点方式(各2点)・素点方式(各34点) | IRT方式 |
| 合格基準点 | 60点/100点満点・60点/100点満点 | 600点/1,000点満点 |
それぞれ説明していきます。
試験の実施回数は?
年2回の一斉テストから好きなタイミングで受けられるテストに
2016年の春期から開始された情報セキュリティマネジメント試験は、この時点では春期と秋期の年2回、筆記試験で実施されていましたが、新型コロナウイルス感染症の拡大などの影響で、2020年12月からコンピュータに問題が表示された問題に解答していくCBT(Computer Based Testing)方式による試験形式に変わり、上期・下期という一か月程度の期間内で受験するという制度に変更されました。
そして、さらに受験生のハードルを下げることを目的として、2023年4月から試験が通年化されることとなりました。
通年試験化によって、これまで年に2回(上期・下期の一定期間)しか受けられなかった受験者が自分の都合の良い日時や試験会場を選択して受験できるようになりました。
また、再受験もしやすくなります。試験終了時刻を過ぎたら申し込みができ、受験日の30日後から再受験可能です。
*身体の不自由等によってCBT方式で受験できない人向けに、春期(4月)と秋期(10月)の年2回、筆記試験が実施されます。※申請受付は、1/25終了しました。
出題形式は?
試験全体がコンパクトに
変更前は、午前試験、午後試験をそれぞれ受験していましたが、変更後は試験科目名がA・Bとなり、知識を問う科目A技能を問う科目Bを120分間でまとめて解答する方式になりました。また、出題数・解答数も変更前は午前が90分間で50問(一問あたりにかけられる時間1分48秒)、午後試験は同じく90分で3問(一問あたり30分)でしたが、変更後は120分で60問(一問あたり2分)でした。
午後試験の課題
旧試験制度のうち、午後試験には、課題がありました。コンピュータ上に問題が表示され、解答を入力していくCBT方式になり、午前問題はマークシートに解答していく筆記試験よりも、塗り間違いのリスクがないなどの利点もあるとのことでしたが、午後試験では逆に苦戦する人も多かったとのことです。
というのも、問題がとにかく長く、問題文と設問を合わせると10ページ以上にわたる場合もあり、本文と設問が1画面に収まらず、同時に参照できないという煩わしさを感じるようです。
試験内容の変更で課題解消?
このような試験時間の短縮や出題形式の変更により、午後試験の課題が改善されることが期待できます。後ほど紹介しますが、IPAが公式で提供している新制度のサンプル問題を見る限りでも、以前のような長文問題がなく、受験しやすいよう改善されているように感じます。
試験の採点方法は?
素点方式から人によって配点が変わるIRT方式に
採点方式は、配点割合が決まった素点方式からIRT(Item Response Theory:項目応答理論)に基づいて解答結果から評価点を算出する方式に変更されます。
IRT 方式とは、従来の 1 問何点といった明確な採点方法ではなく、どの程度の人が正答できたかといった統計情報によって配点が調整したり出題の順番を変えたりする仕組みです。
IRT 方式を用いることで、異なる試験問題でも、公平な採点ができるため、受験者の実力をより正確に測れるようになり、試験時期や試験内容の違いによる有利・不利が生じにくくなります。
※出題数60問のうち54問で評価され、残りの 6 問は今後出題する問題の評価に使われます。
午前試験・午後試験のそれぞれで100点満点中60点以上で合格でしたが、変更後は科目A・Bで分かれておらず、1,000点満点中600点以上で合格という基準になりました。
情報セキュリティマネジメント試験の難易度
試験を主催するIPAによると、共通キャリア・スキルフレームワーク(CCSF)のレベル2にあたります。4段階のうちの2であるため、難易度はそこまで高くありません。同じレベルに指定される試験に「基本情報技術者試験」がありますが、試験時間や問題数、試験範囲で比較すると情報セキュリティマネジメント試験の方が負担が少ないといえます。十分に勉強時間を確保し、対策をすれば一発合格も可能でしょう。
情報セキュリティマネジメント試験の出題範囲
出題範囲は、テクノロジ系、マネジメント系、ストラテジ系から出題され、具体的には次の分野が出題されます。
テクノロジ系:システム構成要素、データベース、ネットワーク、セキュリティ
マネジメント系:プロジェクトマネジメント、サービスマネジメント、システム監査
ストラテジ系:システム戦略、システム企画、企業活動、法務
なかでもセキュリティと法務は重点分野となっており、出題数も他の分野に比べて多いことも予想されます。
両者の詳細な項目を以下に示します。
セキュリティ:情報セキュリティ、情報セキュリティ管理、セキュリティ技術評価、情報セキュリティ対策、セキュリティ実装技術
法務:知的財産権、セキュリティ関連法規、労働関連・取引関連法規、その他の法律・ガイドライン・技術者倫理、標準化関連
科目Aで情報セキュリティの考え方から管理規範、各種対策、情報セキュリティ関連法規などに加えて、関連分野の知識を問い、
科目Bでは、業務現場でのケーススタディといった身近な事例をベースにした問題が出題され、実践力が問われます。
参考:https://www.jitec.ipa.go.jp/sg/outline.html?_ga=2.68697556.433983606.1675218164-879018154.1673831320
令和2年度12月以降、CBT形式になり、試験問題も公開されていません。
情報セキュリティマネジメント試験の受験料
受験手数料は変わらず7,500円(消費税込み)となっています。
情報セキュリティマネジメント試験の出題内容
科目Aの出題内容
科目Aでは情報セキュリティの考え方から、情報セキュリティ管理の実践規範、各種対策、情報セキュリティ関連法規など、それに加えて、ネットワーク、システム監査、経営管理などの関連分野の知識が問われます。
重点分野
| 情報セキュリティ全般 | 機密性・完全性・可用性、脅威、脆弱性、サイバー攻撃手法、暗号、認証 など |
| 情報セキュリティ管理 | 情報資産、リスク、ISMS、インシデント管理などの各種管理策、CSIRT など |
| 情報セキュリティ対策 | マルウェア対策、不正アクセス対策、情報漏えい対策、アクセス管理、 情報セキュリティ啓発 など |
| 情報セキュリティ関連法規 | サイバーセキュリティ基本法、個人情報保護法、不正アクセス禁止法 など |
関連分野
| テクノロジ | ネットワーク、データベース、システム構成要素 |
| マネジメント | システム監査、サービスマネジメント、プロジェクトマネジメント |
| ストラテジ | 経営管理、システム戦略、システム企画 |
科目Bの出題内容
実際の業務現場での情報セキュリティ管理に関する具体的な取組み(情報資産管理、リスクアセスメント、IT 利用における情報セキュリティ確保、 委託先管理、情報セキュリティ教育・訓練など)のケーススタディ形式で出題され、情報セキュリティ管理に関する実践力が問われます。
出題の特色
身近な事例がベースになった実践問題
内部不正の防止やクラウドサービスの安全な利用、情報セキュリティ関連法規の制定・改正への対応など、業務の現場での事例に則した問題が出題されるなど、環境変化や動向をタイムリーに反映されています。
国際・国内標準や公的なガイドラインに基づいた出題
情報セキュリティマネジメントに関する国際規格の「ISO/IEC27000規格群」(及びそれに基づく国内規格のJIS Q 27000規格群)や公的なガイドライン「組織における内部不正防止ガイドライン」に順守されています。
情報セキュリティマネジメント試験を取得するメリット
情報セキュリティマネジメントに関する基礎知識が身につくだけでなく、さまざまなメリットを享受できます。
自分のためになる
自身を守るために活かせます。PCやスマホなど、インターネットにつなげて使うものを持っていれば、セキュリティ対策が必要になります。資格試験を通して身につけた知識・スキルがあればセキュリティに関する判断できますし、事前にセキュリティ対策をすることもできます。
活躍の場が広い
情報セキュリティマネジメントは業種や分野を問わず重要視されているため、IT企業にとどまらず、多くの現場で活躍することができるでしょう。
資格手当が得られる場合もある
取得を推にする企業も増えており、企業によっては合格時に受験料の負担や報奨金をが付与される場合もあります。企業だけでなく、大学などのでも推奨試験として単位認定制度が設けられている場合もあります。
就転職に有利になる
需要の高い情報セキュリティマネジメントに関する知識や技能があることの客観的な証明にもなるため、就職・転職活動で有利にはたらく場合があります。
情報セキュリティマネジメント試験を取得するデメリット
昇給や昇格は目指せない
情報セキュリティマネジメント試験は国家資格ですが、取得によって資格手当がついたり、取得を機に昇格が見込める資格ではありません。より高い知識や技能を身につけたいという人は、上位試験である「情報処理安全確保支援士試験」の受験をおすすめします。
情報セキュリティマネジメント試験の合格率
令和4年12月に実施され、令和5年1月30日に合格発表がありました。
次の表は、直近5回の合格率を示しています。
| 受験年月 | 受験者数(人) | 合格者数(人) | 合格率(%) |
| 令和2年10月 | 9,121 | 6,071 | 66.6 |
| 令和3年春期 | 14,089 | 7,376 | 52.4 |
| 令和3年秋期 | 14,738 | 7,949 | 53.9 |
| 令和4年春期 | 13,131 | 8,033 | 61.2 |
| 令和4年12月 | 15,415 | 8,016 | 52.0 |
「統計資料」
※「令和4年12月に関する統計」
情報セキュリティマネジメント試験の合格率は50%台前半から60%台半ばまでその時々によってまちまちですが、毎回半数は超えており、ほかのIT系試験と比べても比較的受かりやすいといえます。ただ、もちろん十分な勉強時間を確保して知識や技能を身につける必要はあります。
なお、合格者の平均年齢は30代後半です。
参考:https://www.jitec.ipa.go.jp/1_07toukei/heikin_nenrei.pdf
通年実施になってからの合格率に変化はある?
情報セキュリティマネジメント試験が通年実施になってから、合格率に変化はあるのでしょうか。
| 4月 | 5月 | 6月 | 7月 | 8月 | 9月 | 年度合計 | |
| 受験者数 | 2,770 | 2,438 | 2,279 | 2,782 | 2,601 | 3,353 | 16,223 |
| 合格者数 | 2,111 | 1,906 | 1,651 | 2,038 | 1,963 | 2,434 | 12,103 |
| 合格率 | 76.2 | 78.2 | 72.4 | 73.3 | 75.5 | 72.6 | 74.6 |
50%台前半から60%台半ばで推移していた合格率が70%台をキープしており、大幅に上昇しているのがわかります。やはり、自身のタイミングで受験できるようになったことや何度でも受験ができるようになったことが大きく影響しているでしょう。
情報セキュリティマネジメント試験合格に必要な勉強時間
試験に合格するのはいったいどの程度の勉強時間が必要なのでしょうか。
情報セキュリティマネジメント試験の合格に必要な勉強時間は、およそ200時間程度が目安とされています。1日2時間とすれば約3か月、1日3時間の勉強なら約2か月で習得できるということです。ただし、この 200 時間というのはあくまでも目安であって、個々のそれまでの経験や知識量によって変わってきます。
そういった点も考慮し、1日にどの程度学習時間を確保できるか試験日から逆算してスケジュールを組みましょう。
情報セキュリティマネジメント試験に合格するコツ
過去問を解く
参考書や学習サイトなどを利用して基礎知識を一通りインプットした後は過去問を解くなどしてアウトプットすることも大切です。インプットとアウトプットを繰り返すことで、知識が定着しやすくなります。
過去問はIPA公式サイトから入手できるのでぜひ活用してみてください。
また、同サイトで試験形式の変更に伴い、サンプル問題(60問)セットも公開されており、新しい問題傾向を掴むためにもぜひ利用しましょう!
過去問
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html
サンプル問題(60問)セット
問題:https://www.jitec.ipa.go.jp/1_13download/sg_set_sample_qs.pdf
解答:https://www.jitec.ipa.go.jp/1_13download/sg_set_sample_ans.pdf
問題を解くことで弱点を発見・克服しながら学習を進められますし、試験本番と同じように制限時間を設けて問題を解くことで本番の試験でも落ち着いて取り組めるでしょう。
とはいえ、歴史の浅い試験ですから、過去問だけでは物足りないという人もいるかもしれません。そんな人には次の方法もあります。
ほかのIT試験の過去問を解く
過去問だけでは物足りないという場合は、IPAの実施するほかの資格試験の過去問を解くのもおすすめです。なぜなら、試験範囲がかぶっていることも多く、流用されることもよくあるからです。
重点分野を重点的に学習する
情報セキュリティマネジメント試験は、テクニカル系のセキュリティとストラテジ系の法務が重点分野になっています。必然的に、出題もこれら2分野からの比重が多くなるため、それらを重点的に学習し、得点力アップにつなげましょう。
CBT方式に慣れておく
CBT方式での試験シミュレーションをしっかりやる必要があります。
過去問道場(情報セキュリティマネジメント試験ドットコム)というサイトでは本番に近い雰囲気で取り組めるのでおすすめです。
情報セキュリティマネジメント試験の今後
今後もセキュリティ技術が発達し、より複雑化・高度化していくでしょう。それに伴い、情報セキュリティマネジメント試験もアップデートされ、難易度も上がっていくことが予想されます。
今後受験を考えている方はしっかり試験対策をして合格を目指しましょう。
情報セキュリティマネジメント試験の勉強方法は?
書籍やインターネットで学習する方法があります。昨今では、YouTubeなどの動画サイトやエンジニアのコミュニティサイトなども充実していて多くの情報が手に入ります。
そして、より効率的に知識・スキルを習得するには、知識をつけながら実際に手を動かしてみるなど、インプットとアウトプットを繰り返していくことが重要です。特に独学の場合は、有識者に質問ができたりフィードバックをもらえるような環境があると、理解度が深まるでしょう。
ただ、情報セキュリティマネジメント試験に限らず、ITスキルを身につける際、どうしても課題にぶつかってしまうことはありますよね。特に独学だと、わからない部分をプロに質問できる機会を確保しにくく、モチベーションが続きにくいという側面があります。独学でモチベーションを維持する自信がない人にはプログラミングスクールという手もあります。費用は掛かりますが、その分スキルを身につけやすいです。しっかりと知識・スキルを習得して実践に活かしたいという人はプログラミングスクールがおすすめです。
プログラミングスクールならテックマニアがおすすめ!
ITスキル需要の高まりとともにプログラミングスクールも増えました。しかし、どのスクールに通うべきか迷ってしまう人もいるでしょう。そんな方にはテックマニアをおすすめします!これまで多くのITエンジニアを育成・輩出してきたテックマニアでもプログラミングスクールを開講しています。
<テックマニアの特徴>
・たしかな育成実績と親身な教育 ~セカンドキャリアを全力支援~
・講師が現役エンジニア ~“本当”の開発ノウハウを直に学べる~
・専属講師が学習を徹底サポート ~「わからない」を徹底解決~
・実務ベースでスキルを習得 ~実践的な凝縮カリキュラム~
このような特徴を持つテックマニアはITエンジニアのスタートラインとして最適です。
話を聞きたい・詳しく知りたいという方はこちらからお気軽にお問い合わせください。
