情報セキュリティマネジメント試験

情報セキュリティマネジメント試験（略称セキュマネ、略号SG、Information Security Management Examination）とは、平成28年度（2016年度）より実施されている情報処理技術者試験の区分の1つです。試験実施団体は、経済産業省所管の独立行政法人情報処理推進機構（IPA）IT人材育成センター国家資格・試験部（旧・情報処理技術者試験センター）です。

IPAが定めた情報処理技術者試験制度のスキルレベル2（スキルレベルは1から4が設定されています。）に相当する国家試験です。ITパスポート（スキルレベル1）の上位区分にあたります。ちなみに同じスキルレベル2の試験区分に基本情報技術者試験があります。

上位区分の情報セキュリティスペシャリスト試験（略称セキュスペ、スキルレベル4）は主にシステム開発技術者を対象としていますが、セキュマネはITを利用する全ての人材を対象としている区分です。また、スキルレベル2の試験は、2015年（平成27年）度まではシステム開発技術者向けの基本情報技術者試験（FE）しかありませんでしたが、当試験の新設により、ITパスポート試験（スキルレベル1）合格者の次のステップアップ試験として注目されています。

2016（平成28）年度春期に新設され、春期・秋期の年2回実施されています。

試験制度上は基本情報技術者試験（FE）と同じスキルレベル2に設定されていますが、FEと異なり数学やアルゴリズム、開発に関する内容が出題されないので、実質的にはFEよりだいぶ合格しやすい試験と言われています。合格率もFEは例年20％台であり30％を上回ることはきわめて稀ですが、セキュマネは現在のところ合格率が40％を下回ったことがありません。一般的には、FEよりは難易度が低く、ITパスポートよりはやや難易度が高いとされます。

ただし、セキュマネはセキュリティ分野に特化した試験であるため、範囲が狭い分、セキュリティ分野に限定すればFEより深い内容が問われる可能性もありますのでその点は注意が必要です。また、午後の長文問題は文章がFEのセキュリティの問題より長くなる傾向にあります。

なお、セキュマネはあくまで一般のIT利用者向けの試験であるため技術的な要素はあまり問われませんが、上位の情報セキュリティスペシャリスト試験はセキュリティが専門のエンジニアのための試験ですからかなり難易度が高いです。

対象者像 編集

情報システムの利用部門にあって、情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程（情報セキュリティポリシを含む組織内諸規程）の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者

業務と役割 編集

情報システムの利用部門において情報セキュリティが確保された状況を実現し、維持・改善するために、次の業務と役割を果たす。

• 部門における情報資産の情報セキュリティを維持するために必要な業務を遂行する。
• 部門の情報資産を特定し、情報セキュリティリスクアセスメントを行い、リスク対応策をまとめる。
• 部門の情報資産に関する情報セキュリティ対策及び情報セキュリティ継続の要求事項を明確にする。
• 情報システムの調達に際して、利用部門として必要となる情報セキュリティ要求事項を明確にする。また、業務の外部委託に際して、情報セキュリティ対策の要求事項を契約で明確化し、その実施状況を確認する。
• 部門における情報セキュリティを確実に運用する。
• 部門のメンバの情報セキュリティ意識、コンプライアンスを向上させ、内部不正などの情報セキュリティインシデントの発生を未然に防止する。
• 情報セキュリティインシデントの発生又はそのおそれがあるときに、情報セキュリティ諸規程、法令・ガイドライン・規格などに基づいて、適切に対処する。
• 部門又は組織全体における情報セキュリティに関する意見・問題点について担当部署に提起する。

期待する技術水準 編集

情報システムの利用部門において情報セキュリティが確保された状況を実現し、維持・改善するために、次の知識・実践能力が要求される。

• 部門の情報セキュリティマネジメントの一部を独力で遂行できる。
• 情報セキュリティインシデントの発生又はそのおそれがあるときに、情報セキュリティリーダとして適切に対処できる。
• 情報技術全般に関する基本的な用語・内容を理解できる。
• 情報セキュリティ技術や情報セキュリティ諸規程に関する基本的な知識をもち、情報セキュリティ機関、他の企業などから動向や事例を収集し、部門の環境への適用の必要性を評価できる。

試験名称の通り、セキュリティに特化した出題内容となっています。

基本情報技術者試験と異なり、情報科学の基礎理論（数学、アルゴリズム）やプログラミング、開発技術に関する問題は出題されません。

重点分野 編集

情報セキュリティ 編集

情報セキュリティ全般

• 機密性、完全性、可用性
• 情報セキュリティの重要性
• 脅威
• 脆弱性
• 不正のトライアングル（機会、動機、正当化）
• サイバー攻撃手法
• 暗号化
• 認証
• 利用者認証
• 生体認証（バイオメトリクス）
• 公開鍵基盤（PKI）

情報セキュリティ管理

• 情報資産
• リスクの種類
• リスクアセスメント
• リスクマネジメント
• 事業継続計画（BCP）
• 情報セキュリティポリシー
• 情報セキュリティマネジメントシステム（ISMS）
• インシデント管理など各種管理策
• CSIRTなど情報セキュリティ関連組織・機関

セキュリティ技術評価

• セキュリティ評価

情報セキュリティ対策

• マルウェア対策
• 不正アクセス対策
• 情報漏洩対策
• アクセス管理
• 情報セキュリティ啓発
• RASIS

セキュリティ実装技術

• セキュアプロトコル
• ネットワークセキュリティ
• データベースセキュリティ
• アプリケーションセキュリティ

法務 編集

情報セキュリティ関連法規

• サイバーセキュリティ基本法
• 個人情報保護法
• 不正アクセス禁止法
• 刑法
• その他のセキュリティ関連法規
• 情報セキュリティに関する標準

知的財産権

• 知的財産権
• 不正競争防止法

労働関連・取引関連法規

• 労働基準法
• 労働者派遣法
• 企業間の取引に関わる契約

その他の法律・ガイドライン・技術者倫理

• その他の法律・ガイドライン・技術者倫理

標準化関連

• 標準・規格と標準化団体

関連分野 編集

テクノロジ

• ネットワーク
• データベース
• システム構成要素

マネジメント

• システム監査
• サービスマネジメント
• プロジェクトマネジメント

ストラテジ

• 経営管理、企業活動
• システム戦略
• システム企画

午前、午後の二部構成です。両方とも正解率60%以上で合格となり、晴れて情報セキュリティマネジメントの国家資格を得ることができます（逆に言えば、例えば午前で100点満点を獲得できたとしても、午後で59点しか取れなかった場合は不合格となってしまいますので注意してください）。

なお、情報セキュリティマネジメント試験では、基本情報技術者試験のような科目免除制度（午前免除）は存在しません。

午前 編集

試験時間は1時間30分（90分）です。四肢択一式（マークシート使用）で50問出題されます。すべて必須解答です。素点形式で採点され60点以上で合格です（満点は100点）。基本情報技術者試験に比べ試験時間は短く、問題数も少ないです。

大まかな出題比率としては、セキュリティ分野から30問（60点分）、法務分野から6問（12点分）、その他関連分野（データベース、ネットワーク、監査、経営など）から14問（28点分）出題されます。

先述の通り出題範囲が狭い分、セキュリティ分野に特化した試験になるため、セキュリティ分野に関しては基本情報以上にしっかり対策しておく必要があります。

午後を技能を試す試験とするならば、午前は知識を測る試験と言えます。

午後 編集

試験時間は1時間30分（90分）です。素点形式で採点され60点以上で合格です（満点は100点）。

マークシート使用の多肢選択式ですが、午前と異なり、長文形式の大問を複数解く形式となっています。午前が知識問題ならば、午後は技能、応用力が問われます。

情報セキュリティマネジメントシステム（ISMS）に関連する中規模の問題（本文とそれに関する複数の設問から構成されます）が3問出題されます。選択問題はなく、全問必須解答です。

基本情報技術者試験と異なりアルゴリズムやプログラミングの問題が出題されないのでその点では楽ですが、反面、出題内容そのものは基本情報のセキュリティの問題よりレベルが高くなっているため注意が必要です。また、情報セキュリティマネジメント試験では問題の文章が基本情報より長いため読解力（国語力）が低いと苦しいです。

情報セキュリティマネジメント試験は2019年（令和元年）秋期までは筆記試験として実施されてきましたが、2019年新型コロナウイルス感染症（COVID-19）の感染拡大を避けるため、2020年（令和2年）度は春期、秋期ともに筆記試験は中止となりました（春期は応用情報技術者試験などを含む全区分が、秋期は基本情報技術者試験と情報セキュリティマネジメント試験のみが中止。）。

基本情報技術者試験と情報セキュリティマネジメント試験については、今後はCBT方式（Computer Based Testing）にて随時実施される予定です。CBTとは、会場に用意されたパソコン上で試験を受験する形式のことで、ITパスポート試験では既に導入されています。

なお、身体障害者向けの筆記試験は引き続き実施する予定です。

CBT試験についての詳細はIPAの公式ホームページをご覧ください。

情報セキュリティマネジメント試験の上位の区分として応用情報技術者試験（スキルレベル3）があります。2015年（平成27年）度まではスキルレベル2の区分はシステム開発技術者向けの基本情報技術者試験しかなかったため、基本情報合格後に応用情報へとステップアップするというのが王道ルートでした（一応念のため書きますが、制度上は基本情報を受けずにいきなり応用情報を受験することも可能です。）が、2016年（平成28年）度からは当試験（セキュマネ）が新設されたため、セキュマネ合格後に（基本情報を経由せずに）応用情報や情報セキュリティスペシャリスト試験（セキュスペ）へとステップアップするというルートも新たに追加されました。基本情報は午後のアルゴリズムとプログラミングが必須問題であり配点も大きいため、これらが苦手な人はセキュマネ合格後にいきなり応用情報を受験するのも良いでしょう（応用情報の午後はプログラミングが選択問題であり回避することが可能です。）。また、先にセキュマネに合格しておくと、応用情報のセキュリティ対策にもなります。ただし、応用情報の午前ではセキュマネになかった基礎理論や開発技術の問題が出題される上に、午後が記述式になるため、その点は注意が必要です。

• 情報処理技術者試験の概要
  • ITパスポート試験（IP）
  • 基本情報技術者試験（FE）
  • 応用情報技術者試験（AP）
  • 情報セキュリティスペシャリスト試験（SC）

• 情報処理推進機構 IT人材育成センター国家資格・試験部
  • 情報処理技術者試験の概要
  • 情報セキュリティマネジメント試験（SG）（情報処理技術者試験の概要 - 試験区分一覧）
  • 試験制度の沿革
  • 試験要綱・シラバスなど
  • 情報セキュリティマネジメント試験とは
• 情報セキュリティマネジメント試験ドットコム