情報セキュリティマネジメント試験の勉強法は、科目Aで知識を固め、科目Bでケース判断に慣れる流れが基本です。出題傾向、問題の特徴、学習期間の目安を整理します。

sg sg-security-overview sg-security-management it_security_operations

まず結論

情報セキュリティマネジメント試験の勉強法は、科目Aで基本知識を固め、科目Bで業務場面の判断に慣れるのが基本です。

SG試験では、セキュリティ用語を丸暗記するだけではなく、

この場面で何を守るべきか

どのリスクを優先して対応すべきか

どの選択肢が現実的な運用として適切か

なぜ他の選択肢は誤りなのか

を判断できるかが問われます。

そのため、勉強するときは「正解を覚える」よりも、選択肢を切る理由を説明できるようにすることが大切です。

受験までの期間は、ITの基礎知識がある人なら1〜2か月、初学者や独学で進める人なら3〜5か月程度を目安にすると取り組みやすいです。

直感的な説明

SG試験の勉強は、車の運転に少し似ています。

交通ルールを覚えるだけでは、安全に運転できません。

実際には、交差点、歩行者、雨の日、見通しの悪い道など、その場の状況に合わせて判断する必要があります。

SG試験も同じです。

科目Aでは、交通ルールにあたる基本知識を学びます。

たとえば、

機密性・完全性・可用性

脅威と脆弱性

マルウェア対策

アクセス管理

リスクアセスメント

インシデント管理

個人情報保護法

などです。

一方、科目Bでは、実際の業務場面を読んで、どの対応が安全かを判断します。

たとえば、

委託先に個人情報を渡す前に何を確認するか

退職者のアカウントをどう扱うか

不審なメールを受け取ったとき誰に報告するか

クラウドサービスを使う前にどのリスクを確認するか

といった問題です。

つまり、SG試験の勉強では、知識を覚える段階と、業務の場面で使えるようにする段階の両方が必要です。

SG試験では「用語を知っているか」だけでなく、「その知識を使って、安全な行動を選べるか」と問われることが多いです。

出題傾向と問題の特徴

SG試験は、科目Aと科目Bで構成されています。

現在の試験では、科目Aと科目Bを合わせて120分で解きます。

科目Aの特徴

科目Aは、情報セキュリティの基本知識を問う問題です。

主な出題分野は次のとおりです。

分野 主な内容 勉強するときの見方

情報セキュリティ全般 CIA、脅威、脆弱性、攻撃手法、暗号、認証 何を守るための考え方か 情報セキュリティ管理 情報資産管理、リスク、ISMS、インシデント管理、CSIRT 組織としてどう管理するか 情報セキュリティ対策 マルウェア対策、不正アクセス対策、情報漏えい対策、アクセス管理 どのリスクに効く対策か 情報セキュリティ関連法規 個人情報保護法、不正アクセス禁止法など 何を守るためのルールか 関連分野 ネットワーク、データベース、監査、サービスマネジメントなど セキュリティとどう関係するか

科目Aでは、単語だけを覚えるのではなく、目的とセットで覚えることが大切です。

たとえば、アクセス制御は「ログインできるかどうか」だけではありません。

誰に、どの情報へ、どの範囲まで操作を許可するかを管理する考え方です。

選択肢では、用語の意味を少しずらしてくることがあります。

そのため、勉強するときは「この用語は何のために使うのか」を意識します。

科目Bの特徴

科目Bは、業務現場を想定したケーススタディ問題です。

主なテーマは次のとおりです。

情報資産管理

リスクアセスメント

IT利用における情報セキュリティ確保

委託先管理

情報セキュリティ教育・訓練

科目Bでは、長めの文章を読み、状況に合った対応を選びます。

ここで大切なのは、問題文の中から判断の根拠を見つけることです。

たとえば、委託先管理の問題なら、

どの情報を委託先に渡しているか

契約で管理項目が決まっているか

再委託があるか

問題発生時の報告ルートがあるか

業務終了後の情報削除や返却が決まっているか

を確認します。

選択肢では、一見正しそうでも、本文の状況に合っていないものがあります。

SG試験では、一般論として正しいかではなく、このケースで適切かを判断することが大切です。

問題で狙われやすい特徴

SG試験の問題には、いくつかのよくある特徴があります。

特に注意したいのは、次のような選択肢です。

注意したい表現 なぜ注意するか

一度実施すればよい セキュリティ対策は継続的に見直すものだから 担当者に任せる 組織として管理する視点が抜けやすいから すべて禁止する 業務継続やリスクに応じた対応になっていないことがあるから リスクをゼロにする 現実にはリスクを許容範囲まで下げる考え方だから 退職後も権限を残す 不正利用や情報漏えいのリスクがあるから 委託先に任せればよい 委託元にも管理責任が残るから

SG試験では「正しそうな強い対策」が、必ずしも正解とは限りません。

現場で運用できるか、リスクに見合っているか、組織として継続管理できるかを確認します。

どんな順番で勉強する?

SG試験の勉強は、次の順番で進めると理解しやすいです。

  1. まず出題範囲の全体像をつかむ

最初から細かい用語を覚えようとすると、途中で疲れやすくなります。

まずは、SG試験が何を問う試験なのかをつかみます。

大きく見ると、次の流れです。

情報資産を把握する

リスクを考える

必要な対策を決める

ルールや教育で運用する

インシデントが起きたら対応する

委託先やクラウド利用も管理する

この流れが見えると、個別の用語がつながりやすくなります。

  1. 科目Aの基本用語を固める

次に、科目Aの基本用語を学びます。

最初に押さえたいのは、次のような用語です。

CIA

脅威

脆弱性

リスク

リスクアセスメント

ISMS

情報資産管理

アクセス管理

認証と認可

マルウェア

不正アクセス

インシデント管理

CSIRT

個人情報保護法

委託先管理

この段階では、完璧に暗記しようとしなくても大丈夫です。

まずは、各用語について、

何のための用語か

どんな場面で使うか

何と混同しやすいか

を整理します。

SG試験では、用語の細部よりも、役割の違いを問われることが多いです。

  1. 公開問題・過去問で選択肢を切る練習をする

基本用語を一通り見たら、公開問題や過去問に取り組みます。

このとき、正解だけを確認して終わらないようにします。

大切なのは、

なぜこの選択肢が正しいのか

なぜ他の選択肢は違うのか

どの言葉がひっかけだったのか

本文のどこが根拠になっているのか

を確認することです。

特に科目Bでは、本文中に判断材料があります。

問題を解いたあとに、本文のどこを見れば判断できたのかを確認すると、次の問題で迷いにくくなります。

  1. 科目Bは短時間で解く練習もする

科目Bは文章が長いため、時間配分も大切です。

最初はゆっくり読んで構いません。

ただし、本番に近づいたら、時間を決めて解く練習をします。

おすすめの読み方は次の順番です。

  1. 何の業務・組織の話か確認する

  2. 何の情報資産を守る問題か見る

  3. 問題になっているリスクを探す

  4. 現在の管理策の不足を探す

  5. 選択肢が本文の状況に合っているか確認する

長文問題では、すべてを細かく覚える必要はありません。

誰が、何を、どのリスクから守るのかを意識すると読みやすくなります。

  1. 最後は弱点分野を戻って確認する

過去問を解くと、苦手な分野が見えてきます。

たとえば、

法律問題で迷う

ネットワーク用語で止まる

リスク対応の選択肢が切れない

委託先管理の判断で迷う

科目Bの文章を読むのに時間がかかる

などです。

この段階では、最初から全部を読み直すより、間違えた分野だけ戻って確認します。

SG試験では、苦手分野を少しずつ減らしていくほうが効率的です。

学習期間の目安

学習期間は、これまでの知識や勉強時間によって変わります。

目安としては、次のように考えるとよいです。

受験者タイプ 目安期間 勉強時間の目安

ITパスポート合格済み・IT基礎あり 1〜2か月 50〜100時間 ITは使うが資格勉強は久しぶり 2〜3か月 100〜150時間 セキュリティ初学者・独学 3〜5か月 150〜200時間 仕事が忙しく週末中心 4〜6か月 150〜200時間

毎日まとまった時間が取れない場合でも、少しずつ進めれば大丈夫です。

平日は用語確認、休日は過去問・科目B演習という分け方にすると続けやすいです。

よくある誤解・失敗しやすい勉強法

誤解1:用語を暗記すれば合格できる

用語の暗記は必要ですが、それだけでは科目Bで迷いやすくなります。

SG試験では、用語を知っていることに加えて、業務の場面で使えるかが問われます。

たとえば、リスクアセスメントという言葉を知っていても、実際のケースで「どのリスクを優先するか」を判断できなければ得点につながりません。

選択肢では、用語だけは正しいが、場面に合っていないものが出ることがあります。

そのため、用語は意味・目的・使う場面をセットで覚えます。

誤解2:科目Bは国語の問題だから対策しなくてよい

科目Bには読解力も必要ですが、単なる国語の問題ではありません。

本文を読むだけでなく、セキュリティの考え方を使って判断する必要があります。

たとえば、委託先管理の問題では、契約、再委託、報告、監査、情報の返却・削除などの観点を知らないと、重要な部分を読み落としやすくなります。

科目Bは、科目Aの知識を現場の文章に当てはめる練習として対策します。

誤解3:強い対策を選べばよい

SG試験では、強い対策がいつも正解とは限りません。

たとえば、すべての通信を禁止する、すべての外部サービスを禁止する、全員の権限を厳しくしすぎる、といった対応は、業務が成り立たなくなることがあります。

情報セキュリティでは、リスクを下げることが大切ですが、業務を継続できることも大切です。

選択肢では、過度に極端な対応に注意します。

誤解4:一度勉強した分野は見直さなくてよい

セキュリティ管理は、用語同士のつながりが大切です。

たとえば、情報資産管理、リスクアセスメント、アクセス管理、委託先管理は別々の用語ですが、科目Bではまとめて出てくることがあります。

一度学んだ分野でも、過去問を解いたあとに戻って確認すると理解が深まります。

SG試験では、点の知識を線でつなぐことが大切です。

誤解5:古い過去問だけを繰り返せばよい

過去問演習は大切ですが、試験制度や出題形式は変わることがあります。

そのため、古い問題だけでなく、最新の公開問題やサンプル問題も確認します。

古い過去問は、用語理解や考え方の練習として使います。

一方で、現在の試験に近い形式に慣れるためには、公開問題やサンプル問題も必ず確認しておくと安心です。

まとめ(試験直前用)

SG試験は、暗記だけでなく、業務現場で安全な判断を選ぶ試験。

科目Aで基本知識を固め、科目Bでケース判断に慣れる流れが基本。

過去問は、正解を覚えるより「なぜ他の選択肢が誤りか」を確認する。

科目Bは、本文から根拠を探し、場面に合わない選択肢を切る練習が重要。

学習期間は、基礎がある人で1〜2か月、初学者なら3〜5か月を目安にする。