情報セキュリティマネジメント試験
 | この記事は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。 |
| 情報セキュリティマネジメント試験 | |
|---|---|
| 英名 | Information Security Management Examination |
| 略称 | SG、セキュマネ、セマネ |
| 実施国 |
 日本 |
| 資格種類 |
国家試験 (情報処理技術者試験) |
| 分野 | 情報処理 |
| 試験形式 | 筆記、CBT方式 |
| 認定団体 | 経済産業省 |
| 認定開始年月日 | 2016年(平成28年) |
| 根拠法令 | 情報処理の促進に関する法律 |
| 公式サイト | https://www.jitec.ipa.go.jp/ |
| 特記事項 |
実施はIT人材育成センター国家資格・試験部。 2020年度以降は、CBT方式にて実施 |
 ウィキプロジェクト 資格 ウィキポータル 資格 | |
情報セキュリティマネジメント試験(じょうほうセキュリティマネジメントしけん、Information Security Management Examination、略称: セキュマネ、略号: SG)は、情報処理の促進に関する法律第29条第1項の規定に基づき経済産業大臣が行う国家試験である情報処理技術者試験の一区分である。対象者像は「ITの安全な利活用を推進するための基本的知識・技能を身に付けた者」。試験制度のスキルレベル2(スキルレベルは1〜4が設定されている。)に相当する。
2016(平成28)年度に新設された[注釈 1]。日本国内における情報セキュリティ部門の基礎的知識を問う能力認定試験と位置づけられているが、その難易度は回を追うごとに上昇している(後述を参照)。
概要[編集]
「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する」[1]国家試験である。
上位レベルの情報セキュリティスペシャリスト試験(略称セキュスペ、スキルレベル4)は主にシステム開発技術者を対象としているが、当試験はITを利用する全ての人材を対象としている。また、スキルレベル2の試験は、これまでシステム開発技術者向けの基本情報技術者試験(FE)のみであったが、当試験の新設により、ITパスポート試験(スキルレベル1)合格者の次のステップアップ試験としての位置付けが想定される。
本試験(セキュマネ)は2008年(平成20年)度秋期まで実施されていた情報セキュリティアドミニストレータ試験(セキュアド)廃止後以来となる、利用者側(ITを利活用する者)のセキュリティ知識・技能を認定する試験区分となる。
沿革[編集]
- 2015年(平成27年)10月16日 - 情報セキュリティマネジメント試験を試験区分に追加する「情報処理技術者試験規則等の一部を改正する省令」が公布される(施行日は平成28年4月1日)[2]。
- 2016年(平成28年)情報セキュリティマネジメント試験が春季・秋期の年二回実施。
- 4月16日 - 4月14日に発生した平成28年(2016年)熊本地震の影響により、九州地区(除:那覇)の試験地において、平成28年度春期情報処理技術者試験を中止[3]。よって、情報セキュリティマネジメント試験の初回は九州地区(除:那覇)の試験地のみ実施しないことになった。なお、前日15日の段階では、熊本試験地のみの中止が発表されていた。
- 4月17日 - 九州地区(除:那覇)試験地以外の全試験会場で、初回となる情報セキュリティマネジメント試験実施
- 10月16日 - 九州地区(除:那覇)試験地においては初回(他の試験地では2回目)となる、情報セキュリティマネジメント試験実施
- 2020年(令和2年)9月18日 - 2019年新型コロナウイルス感染症(COVID-19)の影響により当初予定していた10月18日の試験を延期すること、および、令和2年度内にCBT方式に切り替えたうえでの実施が発表される。なお、本試験と基本情報技術者試験は令和3年度以降もCBTでの実施を継続することがIPA報道資料において謳われている[4]。その後同年10月15日に、情報セキュリティマネジメント試験は2020年12月に実施する予定が発表されるとともに、身体障害者などを対象とした筆記試験は令和3年度春期試験から実施することも発表された[5]。
試験の難易度[編集]
2014年度の時点でスキルレベル1と2の間の試験を作るという告知がなされており試験の難易度は当初から、基本情報技術者試験(FE)とITパスポート試験の間を想定している。また、2009年度に廃止した初級システムアドミニストレータ試験(初級シスアド)よりも簡易にするとも告げられている。
試験制度上は基本情報技術者試験(FE)と同じスキルレベル2に設定されているが、基本情報技術者試験(FE)に比べて範囲が狭く、情報セキュリティマネジメントシステム(ISMS)に特化した試験であり、アルゴリズムや開発技術に関する内容は一切出題されない[6]。また、基本情報技術者試験(FE)が開発者側を想定した試験であるのに対し、情報セキュリティマネジメント試験はあくまで利用者側を想定した試験であるため、一般的には基本情報技術者試験(FE)より対策しやすいと言われている。
しかし、範囲が狭いということは、その分、情報セキュリティ分野に関してはレベルの高い内容が出題されるということの裏返しでもあり、基本情報技術者試験(FE)どころか、1ランク上のスキルレベル3の応用情報技術者試験(AP)と同等か、それより上等な内容が出題されることもある。そのため、情報セキュリティ分野に関してはかなり深いレベルの知識まで学習しておく必要がある[6][7]。
初回試験(平成28年度春期)の合格率は88%であり、情報処理技術者試験のみならず、あらゆる国家試験の中でも異例の非常に高いものであった[8][注釈 2]。
なお、合格率は回を追うごとに低下しており、平成29年度秋期(4回目の試験)では50.4%であった。平成30年度秋期(6回目の試験)の合格率は46.3%であり、試験区分新設以来、初めて50%未満となった。要因としては、合格確実な実力を持ち合わせた応用情報技術者試験や高度情報処理技術者試験の合格者・受験者の流入が減っていることと、試験開始初期の頃と比べて試験問題が難化していることが考えられる。事実、令和元年度後期の午後試験においては合格点の引き下げも行われた(他の試験も含め合格基準点が引き下げられたのは初)[9]。
また、合格者の平均年齢が比較的高いことも特徴であり、初回試験では40.1歳、平成29年度秋期でも37.6歳であった[8]。これは、高度試験の一部の区分(ITストラテジスト試験、システム監査技術者試験、プロジェクトマネージャ試験)を除けば、情報処理技術者試験の中では合格者の平均年齢が高い区分である。上記の通り、上位試験の合格者が流入してきたことに加え、企業内での経験豊富な者が多く受験したことや、資格予備校の講師が今後の出題傾向をつかむために受験したこと等が要因とされる。
情報セキュリティアドミニストレータ試験との違い[編集]
- 本試験(セキュマネ)は平成20年度(2008年度)秋期まで実施されていた、利用者側のセキュリティ知識・技能を認定する情報セキュリティアドミニストレータ試験(情報セキュアド)の簡易版の後継資格と捉えられることがあるが本試験が一般利用者向けであるのに対し、情報セキュアドは午前・午後ともに情報セキュリティスペシャリスト試験(情報セキュスペ)に統合した専門家向けの資格である。そのため、セキュマネの難易度は情報セキュアドと比較すると範囲も異なり大幅に簡易である。セキュマネは一般的なIT利用者が中長期にわたり学習することなく知りえる常識的な出題がベースとなっており、ある程度の学習量が必要な基本情報技術者試験、初級システムアドミニストレータ試験(初級シスアド)のセキュリティ分野の出題を追加し組み合わせた内容となっている。そのため開始が決定された際にITSSレベル1とレベル2の中間の位置づけとなると予告されている。そのため、基本情報技術者試験か初級シスアドの合格者なら難なく解答できる出題が多い。全日本情報学習振興協会で実施している情報セキュリティ管理士認定試験と難易度的にも位置付けも近く設定されている。
出題範囲[編集]
情報セキュリティマネジメント試験の出題範囲を更に詳細化し、スキルレベル2の知識・技能の幅と深さを体系的に整理、明確化した「シラバス」(情報処理技術者試験における知識・技能の細目)が策定され、公表されている。
本試験は情報セキュリティに特化した区分であり、情報セキュリティ管理の実践規範、各種対策、情報セキュリティ関連法規などに加えて、ネットワーク、システム監査、経営管理などの関連分野の知識が問われる。
なお本試験では、同じスキルレベル2の基本情報技術者試験とは異なり、コンピュータ科学の基礎理論(離散数学・応用数学・アルゴリズム等)や開発技術に関する問題は出題されない。
※基本情報技術者試験の出題範囲については、
重点分野[編集]
情報セキュリティ[編集]
- 情報セキュリティ全般
- 機密性、完全性、可用性
- 情報セキュリティの重要性
- 脅威
- 脆弱性
- 不正のトライアングル(機会、動機、正当化)
- サイバー攻撃手法
- 暗号化
- 認証
- 利用者認証
- 生体認証(バイオメトリクス)
- 公開鍵基盤(PKI)
- 情報セキュリティ管理
- 情報資産
- リスクの種類
- リスクアセスメント
- リスクマネジメント
- 事業継続計画(BCP)
- 情報セキュリティポリシー
- 情報セキュリティマネジメントシステム(ISMS)
- インシデント管理など各種管理策
- CSIRTなど情報セキュリティ関連組織・機関
- セキュリティ技術評価
- 情報セキュリティ対策
- セキュリティ実装技術
- セキュアプロトコル
- ネットワークセキュリティ
- データベースセキュリティ
- アプリケーションセキュリティ
法務[編集]
- 情報セキュリティ関連法規
- サイバーセキュリティ基本法
- 個人情報保護法
- 不正アクセス禁止法
- 刑法
- その他のセキュリティ関連法規
- 情報セキュリティに関する標準
- 知的財産権
- 不正競争防止法
- その他の法律・ガイドライン・技術者倫理
- その他の法律・ガイドライン・技術者倫理
- 標準化関連
- 標準・規格と標準化団体
関連分野[編集]
- マネジメント
形式[編集]
午前、午後のそれぞれについて、原則、満点の60%を基準点とし、両方とも基準点以上で合格となる[注釈 3]。
基本情報技術者試験や高度情報処理技術者試験とは異なり、午前試験の免除制度は当試験には存在しない。それ故、受験者全員が午前試験および午後試験を受けなければならない。
- 午前
試験時間90分。四肢択一式(マークシート使用)で50問出題され全問解答。
主に重点分野である「セキュリティ」および「法務(情報セキュリティ関連法規)」に関する問題が中心に出題されるが、「システム構成要素」「ネットワーク」「データベース」「プロジェクトマネジメント」「サービスマネジメント」「システム戦略」「企業活動」も出題範囲の対象である[6]。出題比率としては、セキュリティから30問、法務から6問、その他関連領域から14問出題される。
ただし、基本情報技術者試験とは異なり、コンピュータ科学の基礎理論(離散数学・応用数学・アルゴリズム等)や開発技術に関する問題は出題されない。基本情報技術者試験との出題範囲の違いについては、以下の早見表を参照のこと。
| 分類 | 基本情報技術者試験でも出題されるが、特に情報セキュリティマネジメント試験では重点分野となる領域 | 基本情報技術者試験と情報セキュリティマネジメント試験の両方で出題対象となる領域 | 基本情報技術者試験では出題されるが、情報セキュリティマネジメント試験では対象外となる領域 |
|---|---|---|---|
| テクノロジ系 | |||
| マネジメント系 | |||
| ストラテジ系 |
|
- 午後
試験時間90分。情報セキュリティマネジメントシステム(ISMS)に関連する中規模の問題(本文とそれに関する複数の設問からなる)が3問出題され、全問解答。
基本情報技術者試験と異なり、プログラミング言語(表計算ソフトを含む)に関する知識は問われず、技術的な要素に関する出題は控えめである反面、一つの大問あたりの問題文が基本情報技術者試験の午後のセキュリティの問題より長くなる傾向にある。
合格者の特典[編集]
- 高等学校、大学、大学院、短期大学等では、入学試験での優遇[10]や、入学後の単位認定[11][12]の対象となることがある[注釈 4]。
- 国家公務員および地方公務員の採用条件・階級評価となることがある。
- 工業高等学校および高等専門学校のジュニアマイスター顕彰制度では、情報セキュリティマネジメント試験の合格者には12ポイントが付与される[注釈 5][13]。
その他[編集]
- IT人材育成センター国家資格・試験部の統計資料による累計値
| 区分 | 受験者数(人) | 合格者数(人) | 合格率(%) |
|---|---|---|---|
| 2016年度(平成28年度)から2019年度(令和元年度) | 129,117 | 77,867 | 60.3 |
- 情報セキュリティマネジメント試験の上位の区分として応用情報技術者試験(スキルレベル3)がある。2015年(平成27年)度まではスキルレベル2の区分はシステム開発技術者向けの基本情報技術者試験しかなかったため、基本情報合格後に応用情報へとステップアップするというのが一般的なルートであった(一応念のため書いておくと、制度上は基本情報に合格していなくても、いきなり応用情報を受験することは可能である。)が、2016年(平成28年)度からは当試験(セキュマネ)が新設されたため、セキュマネ合格後に(基本情報を経由せずに)応用情報や情報セキュリティスペシャリスト試験(セキュスペ)へとステップアップするというルートも新たに追加された。基本情報は午後のアルゴリズムとプログラミングが必須問題であり配点も大きいため、これらが苦手な人はセキュマネ合格後にいきなり応用情報を受験することを推奨されている(応用情報の午後はプログラミングが選択問題であり回避することが可能である。)。また、先にセキュマネに合格しておくと、応用情報のセキュリティの問題の対策にもなる。ただし、応用情報の午前ではセキュマネになかった基礎理論や開発技術の問題が出題される上に、午後が記述式になるため、注意を要する。
脚注[編集]
注釈[編集]
- ^ ただし、沿革で示すとおり、九州地区(除:那覇試験地)は、他地域から半年遅れ、2016年度秋期から試験が開始された
- ^ ちなみに、同時期の基本情報技術者試験は合格率30.4%であった(ただし、これでも他の回に比べると非常に高い合格率であり、例年は合格率20%台であることが多い。)。統計情報|基本情報技術者試験.com また、平成28年度上期のITパスポート試験の合格率は48.6%だった。ITパスポートの合格率_その他統計資料|ITパスポート試験.com
- ^ 2019年度(令和元年度)秋期試験では午後の基準点が満点の46%に引き下げられている(午前は例年通り満点の60%である)。当該回の合格率は47.0%であった。 令和元年度秋期 情報セキュリティマネジメント試験 午後問題の難易差補正について IPA 独立行政法人 情報処理推進機構:情報処理技術者試験・情報処理安全確保支援士試験 2019年11月30日閲覧
- ^ ただし、比較的新しい試験なので、ITパスポート試験や基本情報技術者試験、応用情報技術者試験に比べると活用事例は少ない。
- ^ このポイントは、実用英語技能検定(英検)2級の7ポイントよりも高い。
出典[編集]
- ^ 情報セキュリティマネジメント試験とは
- ^ 情報処理技術者試験規則等の一部を改正する省令(平成27年経済産業省令第70号、平成27年10月16日付官報号外第237号所収、
原文)
- ^ 平成28年度春期試験の実施について - 情報処理推進機構ホームページ、2016年4月15日
- ^ “【重要なお知らせ】令和2年度における情報処理技術者試験、情報処理安全確保支援士試験の実施について”. IPA 情報処理推進機構. IPA 情報処理推進機構 (2020年9月18日). 2020年9月18日閲覧。
- ^ “情報セキュリティマネジメント試験(SG)、基本情報技術者試験(FE)のCBT方式での実施(予定)について”. IPA 情報処理推進機構 (2020年10月15日). 2020年10月17日閲覧。
- ^ a b c 試験の形式|情報セキュリティマネジメント試験.com
- ^ 資格の難易度|情報セキュリティマネジメント試験.com
- ^ a b 統計情報|情報セキュリティマネジメント試験.com
- ^ 令和元年度秋期情報セキュリティマネジメント試験午後問題の難易差補正について
- ^ IPA_独立行政法人_情報処理推進機構:情報処理技術者試験:大学活用(入試優遇)
- ^ IPA_独立行政法人_情報処理推進機構:情報処理技術者試験:大学活用(単位認定)
- ^ 資格等で単位認定|通信教育課程 | 産業能率大学・自由が丘産能短期大学
- ^ ジュニアマイスター顕彰に係わる区分表 平成30年度前期
関連項目[編集]
外部リンク[編集]
- 情報処理推進機構 IT人材育成センター国家資格・試験部(旧:情報処理技術者試験センター)
- 現行の試験制度(平成29年度春期からの試験体系図)
- 情報セキュリティマネジメント試験(SG)(情報処理技術者試験制度 - 制度の概要)
- 情報セキュリティマネジメント試験とは
