情報処理安全確保支援士試験 - 科目の概要と項目別詳細


試験構成

科目 時間 形式 問題数 合格基準
午前Ⅰ 50分 多肢選択式(4肢択一) 30問 60点以上/100点
午前Ⅱ 40分 多肢選択式(4肢択一) 25問 60点以上/100点
午後Ⅰ 90分 記述式 3問中2問選択 60点以上/100点
午後Ⅱ 120分 記述式 2問中1問選択 60点以上/100点

午前Ⅰ(基礎知識)

出題範囲

応用情報技術者試験レベルの幅広いIT知識

主な出題分野:

1. テクノロジ系(技術分野)

  • 基礎理論(離散数学、アルゴリズム、プログラミング)
  • コンピュータシステム(アーキテクチャ、OS、ハードウェア)
  • データベース(SQL、正規化、トランザクション)
  • ネットワーク(TCP/IP、ルーティング、プロトコル)
  • セキュリティ(暗号、認証、攻撃手法の基礎)

2. マネジメント系

  • プロジェクトマネジメント
  • サービスマネジメント(ITIL)
  • システム監査

3. ストラテジ系

  • システム戦略
  • 経営戦略
  • 企業と法務

免除制度:

  • 応用情報技術者試験合格者
  • 他の高度試験合格者
  • 午前Ⅰ通過後2年以内の再受験者

午前Ⅱ(専門知識)

セキュリティ分野に特化した専門知識

主な出題項目:

1. 情報セキュリティマネジメント

  • セキュリティポリシー策定
  • リスクアセスメント・リスク対応
  • ISMS(ISO/IEC 27001)
  • CSIRT構築・運用
  • インシデント対応プロセス

2. セキュリティ技術

暗号技術

  • 共通鍵暗号(AES、DESなど)
  • 公開鍵暗号(RSA、楕円曲線暗号)
  • ハッシュ関数(SHA-256など)
  • デジタル署名、PKI

認証・アクセス制御

  • パスワード認証、生体認証
  • シングルサインオン(SSO)
  • 多要素認証(MFA)
  • OAuth、SAML
  • アクセス制御モデル(DAC、MAC、RBAC)

ネットワークセキュリティ

  • ファイアウォール
  • IDS/IPS(侵入検知・防御システム)
  • VPN(IPsec、SSL-VPN)
  • 無線LANセキュリティ(WPA3など)
  • DMZ構成

3. 脅威と脆弱性

攻撃手法

  • マルウェア(ウイルス、ランサムウェア、トロイの木馬)
  • Webアプリケーション攻撃
    • SQLインジェクション
    • XSS(クロスサイトスクリプティング)
    • CSRF(クロスサイトリクエストフォージェリ)
    • ディレクトリトラバーサル
  • DoS/DDoS攻撃
  • 標的型攻撃
  • ソーシャルエンジニアリング

脆弱性対策

  • セキュアプログラミング
  • 脆弱性診断
  • ペネトレーションテスト
  • パッチマネジメント

4. セキュリティ実装

  • セキュアOS
  • データベースセキュリティ
  • メールセキュリティ(SPF、DKIM、DMARC)
  • ログ管理・監視
  • バックアップ・BCP/DR

5. 法律・標準

  • 個人情報保護法
  • 不正アクセス禁止法
  • サイバーセキュリティ基本法
  • ISO/IEC 27001、27002
  • JIS Q 15001(プライバシーマーク)

午後Ⅰ(応用力・記述式)

試験形式

  • 3問中2問を選択して解答
  • シナリオベースの事例問題
  • 穴埋め、短文記述(20〜50字程度)

主な出題テーマ

1. Webアプリケーションセキュリティ

  • 脆弱性診断結果の分析
  • SQLインジェクション対策の実装
  • セッション管理の安全性評価
  • セキュアコーディング

2. ネットワークセキュリティ設計

  • ファイアウォールルールの設定
  • ネットワーク構成の評価
  • VPN設計
  • 不正アクセス検知の仕組み

3. インシデント対応

  • ログ解析による攻撃の特定
  • インシデント対応手順の策定
  • マルウェア感染時の対処
  • フォレンジック調査

4. セキュリティ対策の企画・評価

  • リスクアセスメントの実施
  • セキュリティ対策の優先順位付け
  • 費用対効果の分析
  • セキュリティポリシーの策定

5. システム開発におけるセキュリティ

  • 要件定義段階のセキュリティ要件
  • 設計レビュー
  • テスト計画
  • 脆弱性の修正方針

求められる能力:

  • 技術的な仕組みの理解
  • 問題点の発見・分析
  • 適切な対策の提案
  • 論理的な説明能力

午後Ⅱ(実践力・論述的記述式)

試験形式

  • 2問中1問を選択して解答
  • より長文の事例問題
  • 詳細な記述が求められる(100〜200字程度の設問も)

主な出題テーマ

1. 組織全体のセキュリティマネジメント

  • 企業のセキュリティ体制構築
  • ISMS構築・運用
  • セキュリティ教育・訓練計画
  • 経営層への報告・提案

2. 大規模インシデント対応

  • 複雑なインシデントの調査・分析
  • 被害範囲の特定
  • 復旧計画の策定
  • 再発防止策の立案
  • ステークホルダーへの対応

3. システム全体のセキュリティ設計

  • エンタープライズシステムのセキュリティアーキテクチャ
  • クラウド環境のセキュリティ設計
  • 認証基盤の構築
  • ゼロトラストアーキテクチャ

4. 新技術への対応

  • IoTシステムのセキュリティ
  • クラウドサービス利用時のセキュリティ
  • テレワーク環境のセキュリティ
  • DevSecOpsの実践

5. セキュリティ監査・評価

  • 内部監査の実施
  • 第三者評価への対応
  • ペネトレーションテストの計画・実施
  • 継続的な改善活動

求められる能力:

  • 包括的な視点での問題解決
  • 実務経験に基づく判断
  • 複数の関係者を考慮した提案
  • コスト・リスク・効果のバランス
  • 詳細かつ論理的な説明

学習のポイント

午前対策

  • 過去問を繰り返し解く(頻出問題の把握)
  • 用語・技術の正確な理解
  • 計算問題の解法習得

午後対策

  • 実務経験の整理
  • 技術文書の読解力向上
  • 論理的な文章作成の練習
  • 時間配分の訓練
  • 過去問の模範解答の研究

午後試験は単なる知識ではなく、実務での応用力が問われるため、技術的な理解を深めることが重要です。