試験の位置づけ
- 情報処理技術者試験のレベル4(高度)。組織のセキュリティを設計・運用・監督する立場として、原則・規程・リスク判断・インシデント統治を問われます。
- 本サイトでは知識問題に特化して学習します(設定・構築・コマンド操作などの“技術問題”は扱いません)。実施方式や配点は最新の公式情報を必ずご確認ください。
出題の全体観(知識領域)
- ガバナンス/GRC:ISMSやポリシー階層、責任分解(RACI)、監査・是正、委託先管理。
- リスクマネジメント:資産・脅威・脆弱性、残留リスク、リスク受容基準、リスク対応計画。
- アーキテクチャ原則:多層防御、ゼロトラストの考え方、境界からアイデンティティ中心への移行、BCP/BCM。
- アクセス管理:IDライフサイクル、MFA、最小権限・職務分離、特権管理、証跡の保持。
- 運用と監視:ログ戦略、変更・構成管理、脆弱性・パッチ運用、バックアップと復旧、サプライチェーン。
- 暗号・鍵管理(概念):共通鍵/公開鍵、電子署名・PKI、ハッシュと完全性、鍵のライフサイクル。
- インシデント対応:検知→初動→封じ込め→根絶→復旧→再発防止、報告体制、証跡保全(チェーン・オブ・カストディ)。
- 法令・契約:個人情報・秘匿義務・越境データ、責任分界、違反時の報告義務等(最新の公的資料を確認)。
知識問題の攻略法
- 定義→目的→効果で一問を要約:例)最小権限=「付与の原則で被害範囲を抑制」。
- 似た用語の線引き:認証と認可/可用性と耐障害性/監視と監査/封じ込めと根絶。
- 因果で覚える:脆弱性放置→攻撃成立→証跡不足→再発…を、事前統制・発見統制・是正統制にマッピング。
- ケースで固定:誤送信・情報持ち出し・設定ミス等を題材に「誰が何を・どの手順で・何を記録」を逆算。
当サイトでの学習手順(レベル数は変動するためページ誘導)
- 原則・用語の土台固め(GRC/多層防御/ゼロトラスト/PKIの“役割”)。
- ポリシー体系と役割分担、委託・供給網、監査・是正の流れ。
- アクセス管理・運用管理(変更/構成/ログ/脆弱性/バックアップ)を手順のライフサイクルで整理。
- インシデント対応を時系列で暗記(検知KPI・報告窓口・証跡保全・後追い改善)。
- 学習はレベル一覧から開始(固定数ではなくページへ誘導):
👉 レベル一覧へ
合格ミニロードマップ(例:6–8週間)
- Week1:GRC・ポリシー・リスク評価/頻出語を定義で一言化。
- Week2:アクセス管理・証跡・ID運用(特権・MFA・職務分離)。
- Week3:運用管理(変更・構成・脆弱性・バックアップ)+サプライチェーン。
- Week4:暗号・PKIの概念と鍵管理ライフサイクル。
- Week5:インシデント対応の時系列と報告・再発防止。
- Week6–8:弱点回収+**本番速度(45–60秒/問)**で回転、誤答の「用語‐目的‐効果」再要約。
よくある質問
- 技術操作が出ますか?
本ガイドは知識問題に特化。構築手順や設定画面の操作は扱いません。 - 暗号はどこまで?
方式の目的・使い分け・鍵管理の原則理解が中心。数式や実装詳細は出題範囲外として扱います。 - 学習時間の目安
実務経験なしでも1–2時間/日×6–8週間の集中インプット+回転演習で合格圏を狙えます。
※制度や範囲は更新される場合があります。最新の公式情報を確認のうえ、本ガイド(知識問題中心)を学習計画に組み込んでください。