sg risk_assessment security_management it_security_operations sg-security-management
まず結論
SG試験の誤答は「目的とズレた対策を選んでしまうこと」が原因です。
「CIAと一致しているか」で選択肢を切ることが最重要です。
直感的な説明
間違いはだいたい同じです。
- 強そうな対策を選ぶ
- とりあえず安全そうなものを選ぶ
- 用語を知っているから選ぶ
👉 全部ダメです
正しくは👇
👉 「この問題で必要な対策か?」を見る
定義・仕組み
誤答の原因(3パターン)
① CIAのズレ
- 問題:可用性
- 選択:機密性対策 → ❌
例:
- DDoS対策 → 暗号化 ❌
② 手段と目的の混同
- 手段だけ見て選ぶ
例:
- ボットネット=攻撃そのもの ❌
→ 実際は攻撃の仕組み
③ 現実性の無視
- 完璧すぎる対策を選ぶ
例:
- サービス停止(回避)を選ぶ ❌
→ 業務が成り立たない
どんな場面で使う?
SG試験の典型ミス
問題文👇
- 「サービス停止を防ぐ」
- 「情報漏えいを防止」
なのに👇
- 違う目的の対策を選ぶ
👉 ここで落とす人が多い
正しい判断の流れ
- 何が問題か
- CIAで分類
- 対策が一致しているか
👉 この3つで切る
よくある誤解・混同
❌ 暗号化は万能
→ ⭕ 機密性だけ
❌ バックアップは最強
→ ⭕ 可用性中心
❌ 強い対策=正解
→ ⭕ 目的に合っているかが重要
SG試験のひっかけ(超重要)
パターン①
- DDoS問題
→ 暗号化・認証を選ばせる
👉 ❌(可用性とズレ)
パターン②
- 改ざん問題
→ バックアップを選ばせる
👉 ❌(直接対策ではない)
パターン③
- 現実的判断
→ 回避(サービス停止)を選ばせる
👉 ❌(過剰対応)
まとめ(試験直前用)
- 誤答の原因=CIAのズレ
- まずCIAを判断する
- 対策が一致しているか確認
- 強そうな選択肢に注意
- SG試験は「目的一致」で切る
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】