情報処理安全確保支援士【SC】情報処理技術試験

情報処理安全確保支援士の概要

目次

情報処理安全確保支援士とは？

ITの安全・安心を支えるセキュリティの番人

サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。

【対象者像】

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者

詳細はIPAのサイトを参考ください

受験するメリット

ITの基礎的な知識・技能が備わっていることの証明になる
情報処理の資格を重要視する企業は多く、実力だけではなく資格のあるシステムエンジニアは就職・転職は有利になります。
国家試験等の一部免除、公的制度の応募資格・募集条件など
情報処理技術者試験・情報処理安全確保支援士試験の合格者は、他の国家試験（中小企業診断士試験、弁理士試験、技術士試験）、ＩＴコーディネータ試験の一部免除が受けられます。
※最新の情報、詳細につきましては、各試験のホームページ等でご確認ください。

自分に合う学習スタイルで合格を目指そう

アイテックの4つの学習スタイル

この試験を受ける方におすすめの商品

情報処理安全確保支援士試験の合格を徹底サポート！

どんな人が受験している？

IT業界でキャリアアップ、次のステップへ転職したい方

一番はやはりこの理由が圧倒的大多数を占めます。
そのため、受験者層も比較的若い方が多く統計資料によると受験した人の平均年齢は約37歳くらいです。多くの人がキャリアのステップアップ等に受験しているということが分かるのではないでしょうか。エンジニアとして経験を積んできた方の、これまでの実力の証明にもつながると言えます。

試験内容、試験範囲、配点割合

試験内容

午前1試験について
試験時間50分。四肢択一式（マークシート使用）で30問出題され全問解答。情報処理技術者試験制度におけるスキルレベル3（応用情報技術者試験（AP）の午前の部とほぼ同程度である）に相当する、テクノロジ系、マネジメント系、ストラテジ系の3分野の知識が問われる。なお、試験問題は同時間に開催される高度情報処理技術者試験の午前I試験と共通であり、経営戦略や企業活動、プロジェクトマネジメントなどを含む情報セキュリティに限定しない広範な知識分野の問題が出題される。
午前2試験について
試験時間40分。四肢択一式（マークシート使用）で25問出題され全問解答。情報セキュリティシステムの開発並びに情報処理システムおよびこれを用いる業務におけるセキュリティ管理に関する専門的知識が問われる。

出題対象となる範囲としては、情報セキュリティおよびコンピュータネットワークに関する領域が重点分野（情報処理技術者試験制度におけるスキルレベル4に相当する）となるが、関連領域であるデータベース、開発技術、ITサービスマネジメントもスキルレベル3相当の扱いで含まれる。
午後試験について
午後試験は試験時間150分。記述式で中規模の問題が4問出題され、2問を選択して解答。両試験の出題範囲は一括して次のとおり公表されており、どの項目がどちらの試験に出題されるかは規定されていない。

試験範囲

午前1の出題範囲

応用情報技術者試験の午前試験の出題範囲と同様

午前2の出題範囲

テクノロジ系

9．データベース
データベース方式・データベース設計・データ操作・トランザクション処理・データベース応用
10．ネットワーク
ネットワーク方式・データ通信と制御・通信プロトコル・ネットワーク管理・ネットワーク応用
11．セキュリティ
情報セキュリティ・情報セキュリティ管理・セキュリティ技術評価・情報セキュリティ対策・セキュリティ実装技術
12．システム開発技術
システム要件定義・システム方式設・ソフトウェア要件定義・ソフトウェア方式設計・ソフトウェア詳細設計・ソフトウェア構築・ソフトウェア結合・ソフトウェア適格性確認テスト・システム結合・システム適格性確認テスト・導・受入れ支援・保守・廃棄
13．ソフトウェア開発管理技術
開発プロセス手法・>知的財産適用管理・開発環境管・構成管理・変更管理

マネジメント系

15．サービスマネジメント
サービスマネジメント・サービスマネジメントシステムの計画及び運用・パフォーマンス評価及び改善・サービスの運用・ファシリティマネジメント
16．システム監査
システム監査・内部統制

午後の出題範囲

1. 情報セキュリティマネジメントの推進又は支援に関すること
情報セキュリティ方針の策定，情報セキュリティリスクアセスメント（リスクの特定・分析・評価ほか），情報セキュリティリスク対応（リスク対応計画の策定ほか），情報セキュリティ諸規程（事業継続計画に関する規程を含む組織内諸規程）の策定，情報セキュリティ監査，情報セキュリティに関する動向・事例の収集と分析，関係者とのコミュニケーションなど
2. 情報システムの企画・設計・開発・運用におけるセキュリティ確保の推進又は支援に関すること
企画・要件定義（セキュリティの観点），製品・サービスのセキュアな導入，アーキテクチャの設計（セキュリティの観点），セキュリティ機能の設計・実装，セキュアプログラミング，セキュリティテスト（ファジング，脆弱性診断，ぺネトレーションテストほか），運用・保守（セキュリティの観点），開発環境のセキュリティ確保など
3. 情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること
暗号利用及び鍵管理，マルウェア対策，バックアップ，セキュリティ監視並びにログの取得及び分析，ネットワーク及び機器（モバイル機器ほか）のセキュリティ管理，脆弱性への対応，物理的及び環境的セキュリティ管理（入退管理ほか），アカウント管理及びアクセス管理，人的管理（情報セキュリティの教育・訓練，内部不正の防止ほか），サプライチェーンの情報セキュリティの推進，コンプライアンス管理（個人情報保護法，不正競争防止法などの法令，契約ほかの遵守）など
4. 情報セキュリティインシデント管理の推進又は支援に関すること
情報セキュリティインシデントの管理体制の構築，情報セキュリティ事象の評価（検知・連絡受付，初動対応，事象をインシデントとするかの判断，対応の優先順位の判断ほか），情報セキュリティインシデントへの対応（原因の特定，復旧，報告・情報発信，再発の防止ほか），証拠の収集及び分析（デジタルフォレンジックスほか）など

試験時間・出題形式・出題数・解答数

時間区分	試験時間	出題形式	出題数 / 解答数
午前1	50分	多肢選択式（四肢択一）	30問 / 30問
午前2	40分	多肢選択式（四肢択一）	25問 / 25問
午後	150分	記述式	4問 / 2問

配点割合

時間区分	配点	基準点	問番号	解答数	配点割合
午前1	100点満点	60点	1～30	30	各 3.4点
午前2	100点満点	60点	1～25	25	各 4点
午後	100点満点	60点	1～4	2	各 50点

試験の日程

実施期間	申込期間	実施月
春期	1月中旬から1月下旬まで	4月
秋期	7月中旬から7月下旬まで	10月

合格・認定のスケジュール

実施期間	合格発表	合格証書発送日
春期	6月中旬	7月中旬
秋期	12月中旬	1月中旬

勉強方法

午前1試験の対策

出題分野は，テクノロジ系（基礎理論，コンピュータシステム，技術要素，開発技術），マネジメント系（プロジェクトマネジメント，サービスマネジメント），ストラテジ系（システム戦略，経営戦略，企業と法務）の全分野にわたるので，幅広い分野に関する知識が要求されます。
日ごろから情報処理技術全般に関する知識を習得するとともに，関連する過去問題を多く解いておくようにしましょう。
また，午前Ⅰで出題される30問は，応用情報技術者試験で出題される問題の中から抽出されるようになっています。
なお，午前Ⅰの出題分野の全分野に関し時間を費やしていくことは，あまりお勧めできません。
例えば，論理回路の問題などは，考え方を理解するのに少し時間がかかります。こうした問題に時間をかけても意味がありません。
捨てる分野の問題を決めながら，効率的に学習していくとよいでしょう。

午前2試験の対策

出題数は25問，試験時間は40分です。出題の重点分野は，技術要素のうち，セキュリティとネットワークです。
この他には，技術要素のデータベース，開発技術のうち，システム開発技術とソフトウェア開発管理技術，サービスマネジメントのうち，サービスマネジメントとシステム監査の分野からも出題されます。
令和4年度春期試験の出題数は，技術要素が21問，開発技術とサービスマネジメントが，それぞれ2問ずつで，ここ数回の試験とも同じです。
なお，技術要素のうち，セキュリティとネットワークの出題数は，どちらの技術に分類しても差し支えない問題（例えば，TLSやIPsec，DNS，電子メールのセキュリティなど）があるので，セキュリティが17問，ネットワークが3問という比率で定着していると考えて問題ありません。
難易度についてはレベル4の問題も出題されますが，セキュリティとネットワークに関する午前Ⅱ試験の問題は，午後試験対策を十分に実施していけば，ほぼ全問正解できるレベルになってきます。
したがって，午前Ⅱ試験は，特別な対策を実施する必要はなく，午後対策に必要な技術知識を十分に身に付けていくとよいでしょう。

午後試験の対策

試験時間は150分で，4問の中から2問を選択して解答します。
令和元年度秋期試験から4期連続でWeb関連のセキュリティ問題は出題されませんでしたが，令和4年度春期試験では，3問のうち，2問がWeb関連のセキュリティ問題になっていました。
このように，2問ともWeb関連の問題になると，必ず1問を選択せざるを得ません。
そこで，IPAが公表している「安全なウェブサイトの作り方」などの資料を事前に学習し，HTMLのコードのほか，HTTPのヘッダ情報やクッキー属性などについては，十分に理解しておくことが必要です。
なお，午後の試験問題の選択に当たっては，個々の受験者が持ち合わせている技術知識などの差に依存しますので，できるだけ自分自身の得意とする分野の問題を選択していくようにしましょう。
また，一度選択した問題については，最後までやり抜くようにすることも必要です。
それは，問題文をよく読んでいけば，問題の中にヒントが記述されていることが多く，それらを手掛かりにして正解を導いていくことが可能だからです。
しかし，ヒントを見つけることができるかどうかについては，各自が持ち合わせている知識が多いか少ないかなどの差によって決まります。
そこで，試験を受験するに当たっては，できるだけ知識レベルを向上させておくことが必要です。
例えば，セキュリティ技術分野では，Webアプリケーションに対する様々な攻撃とその対策，迷惑メール対策や標的型攻撃に関する対策，IoT機器に関連するセキュリティ問題，クラウドサービスの利用と認証連携，電子証明書の検証方法，メッセージ認証，本人認証，ディジタル署名，暗号化技術，セキュリティプロトコル，VPN技術，ファイアウォールの設定，IDSやIPSなど，多くの技術知識を吸収していくことが必要です。
また，Webアプリケーションなどに対するセキュアプログラミングの問題では，C/C++やJava，ECMAScript（JavaScript）をはじめ，HTMLなどの知識が要求されます。
この他，ネットワーク技術分野では，TCP/IP（HTTP，HTTPS，IPsec，TLSなど），インターネット利用・接続技術，DNSの仕組み，電子メールの配送の仕組みなど，データベース技術分野では，データベースへのアクセス権限，SQL文の読み方，ログ管理など，幅広い技術知識を習得していくことが必要です。
さらに，情報セキュリティポリシやリスク分析などのマネジメント系の問題に加えて，フィッシングやフォレンジックスなど最新のトピックも含めて出題されるので，幅広く知識を吸収していくことが必要です。
また，JIS Q 27001やJIS X 5070などの標準化動向の把握も忘れないようにしましょう。

図表類も多いので，最初から図表類を含め，詳細に読んでいくと問題の全体像が把握できなくなります。
そこで，問題の全体像や，何がポイントになっているかなどをつかむためには，問題文を最初から最後まで読み通してみることも有効であると思われます。
そして，設問で問われていることを確認し，該当箇所の問題文や図表の中身をチェックしながら解答を作成していけばよいのではないでしょうか。
いずれにしても，午後の試験問題に取り組んでいく際には，問題の記述内容のほか，図表類の条件を十分に把握しながら，解答を導いていくことが基本です。
しかし，このような動作が着実にできるようになるには，まず，情報セキュリティに関する総合的な知識を十分に身に付けておかなければなりません。
そして，午後試験は問題が長文になることから，「あわてず，あせらず，あきらめず」という精神で臨むことも必要です。