情報セキュリティマネジメント試験の難易度|合格率・他資格比較
情報セキュリティマネジメント試験(SG)は、IPAが位置づけるCCSFレベル2の国家試験で、非エンジニアでも十分に狙いやすい資格です。
実際、近年の合格率は約7割で、ITパスポートの次に何を受けるか迷っている人や、総務・営業・企画など実務でセキュリティ知識を求められる人に向いています。
ただし、取りやすそうに見えて油断しやすいのもこの試験の特徴で、120分・60問のうち科目B 12問の読解と判断で失点すると不合格になりやすいのが利点です。
この記事では、公式データをもとにした難易度の実像、ITパスポートや基本情報との違い、独学の進め方、さらに2026年度のCBT申込で見落としやすい注意点まで、実務目線で整理していきます。
関連記事:ITパスポートの学習法、基本情報技術者の独学法。
情報セキュリティマネジメント試験の難易度は?結論は易しめの国家資格だが油断は禁物
難易度をひと言で表すなら、国家資格としては取り組みやすい部類ですが、感覚的には「楽勝」ではありません。
情報セキュリティマネジメント試験は 『情報セキュリティマネジメント試験とは|IPA』 で示されている通り、組織の情報セキュリティ確保に貢献する基本的なスキルを認定する試験で、位置づけはCCSFレベル2相当です。
ITパスポートより一段上で、基本情報技術者試験と同じレベル帯に置かれていますが、求められる中身は実務寄りです。
数字だけを見ると難易度は低めに見えるかもしれません。
直近の公表統計ではおおむね7割前後の合格率となっており(年度別の詳細はIPAの統計情報の該当表を参照してください)、非エンジニアでも十分に合格圏を狙える水準です。
この試験が向いているのは、いわゆる開発エンジニアだけではありません。
むしろ総務、営業、企画、経理、管理部門のように、日常業務で個人情報や社内データを扱い、情報セキュリティの運用ルールに関わる人と相性がいい資格です。
標的型メールへの対応、パスワード管理、委託先管理、インシデント時の初動といったテーマは、現場の業務判断と直結します。
資格としての難しさよりも、「仕事でありそうな場面を適切に処理できるか」を問われる試験だと捉えると、位置づけが見えやすくなります。
一方で、油断しにくい理由も明確です。
現行試験は120分で60問、うち科目Aが48問、科目Bが12問です。
全体平均で見ると1問あたり約2分ですが、実際の体感は均一ではありません。
用語や基本知識を問う科目Aはテンポよく進めやすい一方、合否を分けやすいのは科目Bのケーススタディです。
文章量のある設問を読み、登場人物の立場や社内ルール、リスクの優先度を踏まえて判断する必要があるため、知識だけで押し切りにくい構成になっています。
筆者の感覚では、この試験は「知っているか」だけでなく「読んで判断できるか」が問われます。
たとえば科目Aは1問あたり1.5分程度で進めても回せますが、科目Bは1問に4分前後かけるつもりで臨んだほうが自然です。
120分の試験時間は、集中し続けるとちょうど映画1本分くらいの長さがあります。
前半で飛ばしすぎると後半の読解で失速しやすく、逆に慎重すぎると科目Bに必要な思考時間が足りません。
数字上の合格率より、当日の時間運用のほうが難所になりやすい試験です。
💡 Tip
情報セキュリティマネジメント試験の難しさは、専門技術の深さよりも「基礎知識を前提に、現場の状況を読み解けるか」にあります。IT未経験者でも届く一方、用語が曖昧なまま事例問題に入ると一気に苦しくなります。
基本情報技術者試験と比べると、アルゴリズムやプログラミング寄りの負荷がないぶん、SGのほうが取り組みやすいと感じる人は多いはずです。
ただし、同じCCSFレベル2でも「技術的に易しい」ことと「何も対策しなくてよい」ことは別です。
特に非エンジニアの受験者は、横文字の用語が曖昧なまま進めると科目Aで取りこぼし、ケース問題でも選択肢を絞れなくなります。
逆に、用語の土台を先に固めてから事例問題に慣れていくと、急に得点が安定しやすい試験でもあります。
この資格の難易度を言い換えるなら、「狙いやすいが、準備不足だと普通に落ちる」 です。
合格率の高さに安心するより、用語の基礎理解と科目B対策をバランスよく積み上げた人がきちんと受かる試験だと考えるのが実態に近いです。
特に実務でセキュリティ推進を任される人にとっては、単なる取りやすい資格ではなく、現場での判断力を言語化してくれる資格として見る価値があります。
難易度を示す公式データ|合格率・試験形式・合格基準
合格率
難易度を数字で見るうえで、直近の公表統計ではおおむね7割前後の合格率とされています(年度別の詳細はIPAの統計情報を参照してください)。
国家試験としては高めの水準ですが、この数値だけで「誰でも無対策で通る」と結論づけるべきではありません。
ただ、この数値は「誰でも無対策で通る」という意味ではありません。
実際には、情報セキュリティの基礎を一通り学んだうえで受験する人が多く、受験者層と試験の目的が比較的噛み合っていることも、この合格率を支えています。
特にSGは、実務でありがちなルール運用や判断場面を扱うため、学習経験や業務経験がそのまま点につながりやすい試験です。
数字としては7割前後ですが、ここで重要なのは「高合格率=易問中心」と単純化しないことです。
前述の通り、得点を崩しやすいのは事例を読む力が問われる部分で、表面的な数字以上に“安定して点を取れるか”が差になります。
試験時間と出題数
現行の情報セキュリティマネジメント試験は、120分60問です。
単純計算では1問あたり平均2分で解くペースになります。
数字だけなら余裕がありそうに見えますが、実際の体感はもう少しタイトです。
短く処理できる問題と、文脈を読み込む必要がある問題の差が大きいからです。
筆者はこの形式を見ると、2時間の模試を通しで解けるかどうかが重要だと感じます。
120分は、集中し続けるとちょうど映画1本分くらいの長さです。
途中でペース配分を崩すと、知識不足より先に時間管理で失点しやすい試験だと分かります。
試験仕様を整理すると、全体像は次の通りです。
| 項目 | 内容 |
|---|---|
| 試験時間 | 120分 |
| 出題数 | 60問 |
| 構成 | 科目A 48問、科目B 12問 |
| 実施方式 | CBT方式 |
| 合格基準 | 総合評価点600点以上 |
科目A/Bの構成
問題構成は、科目A48問/科目B12問です。
科目Aは、基礎的な知識、用語理解、情報セキュリティ管理の基本を問う比重が大きく、試験全体の土台にあたります。
たとえば脅威の種類、リスク対応、法務・ガイドライン、組織での運用ルールといった領域を広く押さえているかが見られます。
一方の科目Bは、ケーススタディ型の出題です。
単純な暗記ではなく、登場人物の立場、組織のルール、想定されるリスクを踏まえて「この場面では何が適切か」を判断する形式が中心になります。
ここがSGらしいところで、実務寄りと言われる理由もこの12問に集約されています。
時間感覚としては、全60問を均等に2分ずつではなく、科目Aを1.5分前後、科目Bを4分前後で考えると全体が収まりやすい設計です。
計算すると、科目Aは48問で約72分、科目Bは12問で約48分になり、ちょうど120分です。
試験仕様そのものが、知識確認パートと判断パートでメリハリを付ける構成になっていると理解すると、難易度の実態が見えやすくなります。
ℹ️ Note
SGの難しさは、問題数の多さよりも「短時間で知識問題を処理し、読解が必要なケース問題に時間を残せるか」にあります。数字上の120分より、配分設計のほうが勝敗を分けやすい試験です。
合否判定はIRT(項目応答理論)に基づく総合評価点で行われます。
合格は総合評価点が所定の基準点以上で判定されますが、評価点の表示スケールや詳細な基準点の表記方法は要綱やIPAの公表資料に従います。
配点の細部は公表資料を確認してください(詳細はIPAの試験要綱を参照)。
CBT方式(通年実施)のポイント
実施方式はCBT方式で、令和5年度から年間を通じて随時受験できる形に変わっています。
『情報セキュリティマネジメント試験、基本情報技術者試験(CBT方式)|IPA』 でも示されている通り、従来の春・秋の一斉実施ではなく、会場と日時を選んで受けるスタイルです。
制度面だけ見れば、学習計画を立てやすくなったのは大きな変化です。
難易度の見え方にも、このCBT化は影響しています。
試験日が固定されていた頃よりも、「仕上がったタイミングで受けやすい」ため、準備ができた受験者が集まりやすくなりました。
合格率を読むときも、この通年実施という前提を外して考えないほうが自然です。
運用面では、申込開始時期や受験期限に個別の注意事項が設定されることがあります。
たとえばCBT-Solutionsの受験者ポータルでは、2026年5月以降の試験申込開始時刻や、申込時期に応じた受験期限、バウチャーの有効期限が案内されています。
ここで重要なのは、SGが「年に一度の本番」に照準を合わせる試験ではなく、通年で受験できる代わりに、申込ルールもCBT運用に沿って理解する試験になったことです。
制度の柔軟さと、実務的な手続き理解の両方が求められる点も、現行SGの特徴です。
情報セキュリティマネジメント試験、基本情報技術者試験(CBT方式) | 試験情報 | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティマネジメント試験、基本情報技術者試験(CBT方式)」に関する情報です。
www.ipa.go.jpなぜ合格率は高いのに簡単とは言い切れないのか
数字だけを見るとSGは「受かりやすい試験」に見えますが、その印象をそのまま体感難易度に置き換えるのは危険です。
実際の受験現場では、合格率を押し上げやすい受験者の特徴、CBTならではの受験行動、そして科目Bの読み解き力が重なって、統計と手応えにズレが出やすくなっています。
受験者層と合格率の関係
まず見ておきたいのは、受験者の母集団です。
SGは完全なIT未経験者だけが集まる試験ではなく、総務、事務、社内SE、ヘルプデスク、情報システム部門、監査や管理系の職種など、日頃から情報管理やセキュリティ意識に触れている人が受けやすい資格です。
技術者に限らない実務層を含む試験として位置づけられています。
この層は、まったく白紙の状態で受けに来るケースが少なめです。
業務でパスワード管理、アクセス権、標的型攻撃メール、インシデント対応の初動といった話題に触れているだけでも、問題文の理解速度が変わります。
さらに、会社の推奨や自己研鑽の一環で受験する人は、ある程度準備してから本番に入る傾向があります。
結果として、合格率は高く出やすいのが利点です。
つまり、高い合格率は「誰にとっても楽な試験」という意味ではなく、受ける人の側に一定の前提知識や準備意識があることの反映でもあります。
統計上は易しく見えても、初学者が同じ感覚で臨むとギャップを感じやすい理由はここにあります。
情報セキュリティマネジメント試験とは | 試験情報 | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティマネジメント試験とは」に関する情報です。
www.ipa.go.jpCBTで受験タイミングを最適化できる影響
SGはCBT方式なので、通年の中で自分の準備状況に合わせて受験日を選べます。
この仕組みは受験しやすさを高める一方で、合格率の見え方にも影響します。
固定日程の試験だと「まだ仕上がっていないけれど試験日が来たので受ける」という人が一定数出ますが、CBTではその層が受験を後ろ倒しにしやすいからです。
この仕組みは受験しやすさを高める一方で、合格率の「見え方」に影響を与えうる点もあります。
CBT化により準備が整った受験者が本番に入りやすくなった可能性があるため、合格率を読む際は実施方式の変化を踏まえて解釈してください。
この意味で、SGの高い合格率には試験制度の柔軟さも織り込まれています。
試験自体が甘いというより、受験タイミングを自分で最適化できることで、準備不足の受験が減っていると考えるほうが実態に近いです。
科目B(ケーススタディ)が与える体感難易度
体感を難しくしている中心は、やはり科目Bです。
ここでは短い知識確認ではなく、ケース文の状況を追いながら、登場人物の立場、組織のルール、起きている問題、取るべき対策の優先順位を整理して答える必要があります。
知っている用語を選ぶだけでは解けず、文章を読んで状況判断する力が問われます。
特に厄介なのは、1つのケースの中で複数の設問が連動することです。
最初の理解を少し誤ると、その後の設問でもズレが続きやすくなります。
科目Aでテンポよく進められても、科目Bで文章を読み返す回数が増えると、一気に時間が苦しくなります。
前のセクションで触れた時間配分が重要になるのは、この構造があるからです。
SGの「簡単ではない」と感じる瞬間は、難解な専門技術そのものよりも、ケース文から必要情報を拾って判断軸を揃える場面に集まります。
実務でメール誤送信、権限設定ミス、委託先管理の不備といった題材に触れたことがある人は入りやすい一方、初学者は「何が論点なのか」をつかむまでに時間を実用的です。
💡 Tip
SGの難所は、知識問題の難解さより「読んで、整理して、優先順位を決める」工程です。ここに慣れていないと、合格率の印象以上に重く感じます。
IT用語リテラシー差の影響
もう1つ見逃せないのが、IT用語への慣れの差です。
SGでは、脅威、脆弱性、機密性、完全性、可用性、認証、アクセス制御、マルウェア、ログ管理といった基礎用語が自然に登場します。
これらを見た瞬間に意味が浮かぶ人と、頭の中で毎回言い換えながら読む人では、同じ問題でも消費時間が大きく変わります。
この差は科目Aで特に出ます。
用語の処理が遅いと、科目Aの1問ごとの判断に余計な時間がかかり、後半の科目Bにしわ寄せが行きます。
すると、本来は落ち着いて読めば解けるケース問題まで急ぎ足になり、条件の読み落としや選択肢の比較不足が増えます。
つまり、IT用語に不慣れなことが科目Aだけの失点で終わらず、科目Bの崩れにも直結するわけです。
逆に言えば、SGの難易度はプログラミング経験の有無より、基礎用語をストレスなく扱えるかどうかで大きく変わります。
ここができている人にとっては「素直な試験」に映りやすく、できていない人にとっては「思ったより読めない試験」になります。
合格率の高さと体感難易度が食い違う背景には、このリテラシー差も大きく効いています。
SGは、統計上は易しめでも、受験者の前提知識や準備度を外して見ると実像をつかみにくい試験です。
数字としての易しさと、本番で感じる難しさは別物として捉えたほうが、難易度の理解はずっと正確になります。
ITパスポート・基本情報技術者試験と比較した難易度
比較表|ITパスポート/SG/基本情報
資格選びでまず押さえたいのは、ITパスポートはレベル1、SGと基本情報技術者試験(FE)はどちらもレベル2という位置づけです。
ここだけ見るとSGとFEは同じ難易度に見えますが、実際には「同じレベル帯の別資格」と考えたほうが理解が深まります。
SGは情報セキュリティを軸に、業務上の判断や管理の感覚を問う試験です。
一方のFEは、コンピュータの仕組み、アルゴリズム、開発、ネットワーク、データベースなどを広く扱う、より技術者向けの試験です。
筆者は受験相談でこの2つを並べて聞かれたとき、SGのほうが非エンジニアでも取り組みやすいと整理しています。
理由は明快で、SGは「組織でセキュリティをどう扱うか」という文脈で理解しやすいのに対し、FEは「ITを作る・支える側」の視点が濃く、学ぶ範囲も広いからです。
レベル表記は同じでも、要求される下地は大きく違います。
| 項目 | ITパスポート試験 | 情報セキュリティマネジメント試験 | 基本情報技術者試験 |
|---|---|---|---|
| CCSFレベル | レベル1 | レベル2 | レベル2 |
| 主な対象 | IT初学者全般 | 非エンジニアを含むセキュリティ実務層 | IT技術者・エンジニア志望 |
| 出題特性 | IT基礎を広く浅く学ぶ入門型 | セキュリティに特化し、実務・管理寄り | 技術範囲が広く、開発・計算系も含む |
| 学習負荷 | 3資格の中では最も軽め | 中程度。用語理解とケース問題対策が中心 | 3つの中では重め。技術分野を広く積む必要がある |
| 向いている人 | まずIT全体像をつかみたい人 | セキュリティ知識を実務に結びつけたい人 | エンジニアとして基礎技術を固めたい人 |
| つまずきやすい点 | 用語量の多さ | ケース文の読解と判断 | アルゴリズム、計算、技術範囲の広さ |
この3つを一直線の「易しい→難しい」で並べるなら、一般にはITパスポート → SG → FEと捉えるのが実感に近いです。
特にFEは、レベル2であること以上に「技術者として必要な基礎を横断的に問う」性格が強く、SGより学習の幅が広がります。
SGも油断できる試験ではありませんが、資格の性格としてはFEより入口が広いです。
どちらから受けるべき?判断基準
SGとFEで迷う人は多いですが、選び方はそこまで複雑ではありません。基準になるのは、今の仕事で必要な知識が何かと、今後どの方向に進みたいかです。
ITそのものがまだ初学者で、業務でIT用語に触れる機会も少ないなら、ITパスポートから入るのが自然です。
レベル1なので、セキュリティに限らず経営、システム、ネットワークといった基礎を薄く広く押さえられます。
土台づくりとしては相性がいいです。
一方で、総務、営業、事務、企画、内部統制、ヘルプデスクのように、IT部門以外でもセキュリティ判断が実務に直結する立場なら、SGから始める価値は高いです。
標的型メール対応、パスワード運用、権限管理、委託先管理、インシデント初動といったテーマは、エンジニアでなくても業務イメージを持ちやすいからです。
前のセクションで触れた通り、SGは知識の暗記だけでなく「読んで判断する」力が問われますが、その分、仕事との接続が見えやすい資格でもあります。
逆に、プログラマー、インフラエンジニア、社内SE、あるいはそれらを目指す学生なら、FEの優先度が上がります。
FEでは技術の基礎体力が問われるため、合格までの負荷はSGより重くなりやすいものの、技術職の入口資格としての汎用性は高いです。
開発や設計に進むつもりなら、SGより先にFEを取る判断にも十分な合理性があります。
筆者の経験上、迷ったときは次のように切り分けると判断できます。
- IT全般の入口がほしいならITパスポート
- 非エンジニア寄りで、セキュリティ実務を強くしたいならSG
- エンジニア職を見据えて、技術の土台を広く固めたいならFE
ℹ️ Note
「レベル2だからSGとFEは同じ難しさ」と見ると選択を誤ることがあります。実際は、SGは業務判断型、FEは技術基盤型で、求められる筋力が違います。
SGがFEより取り組みやすいと言われるのは、単に問題が軽いからではありません。
学習の入口を作りやすいことが大きいです。
セキュリティはニュース、社内研修、業務ルールと結びつきやすく、初学者でも文脈を持って学べます。
FEは理解が進むほど面白い試験ですが、最初の段階では「なぜこの計算や仕組みを学ぶのか」が見えにくく、そこで手が止まりがちです。
この差が、実際の取り組みやすさに効いてきます。
上位資格(情報処理安全確保支援士)との関係
SGの位置づけを考えるうえでは、上位にある情報処理安全確保支援士との関係も知っておくと整理がつきます。
IPAの試験区分で見ると、情報処理安全確保支援士はレベル4に位置づけられ、SGのレベル2より一段どころか大きく上です。
ここにあるのは単なる難化ではなく、実務でセキュリティを扱う人材としての専門性の深さの違いです。
SGは、組織でセキュリティを適切に運用するための基礎を固める資格です。
情報資産の扱い、リスク把握、基本的な対策、事故発生時の判断といった「現場で困らないための土台」を作る役割が強いです。
これに対して情報処理安全確保支援士は、脅威分析、技術的対策、法制度、マネジメント、運用設計まで含めて、より専門家としての視点が求められます。
この関係を実務ベースで言い換えると、SGはセキュリティを理解して正しく関わる人の資格で、情報処理安全確保支援士はセキュリティを設計・主導する人の資格です。
したがって、SGは上位資格への直接の通行証というより、セキュリティ分野に進むかどうかを見極めるための入口として機能します。
筆者が見てきた範囲でも、非エンジニアや若手がいきなり情報処理安全確保支援士を目指すより、まずSGで土台を作り、その後にFEや応用的な学習へ広げたほうが、知識が実務に定着します。
資格の名前だけで段階を飛ばすより、SGで業務感覚を固めてから専門性を上げるほうが、キャリアのつながりも自然です。
独学で合格できる人・難しく感じやすい人
独学で合格できる人の特徴
SGを独学で進めやすいのは、セキュリティを“仕事の話”として読める人です。
ここでいう仕事の話とは、エンジニアとして設計や実装をしている人に限りません。
むしろ、事務、総務、営業、企画、内部統制、ヘルプデスクのように、日常業務の中で「情報をどう扱うか」「社内ルールをどう守るか」に触れている人は相性がいいです。
たとえば総務でセキュリティ規程や端末利用ルールの周知に関わっている人、企画や管理部門でISMSの運用補助や教育資料の作成を担当したことがある人、営業で顧客情報の取り扱いや委託先との情報共有ルールを意識している人は、問題文の背景が頭に入りやすい試験です。
SGは専門的な実装知識よりも、組織の中で適切に判断する感覚が得点に直結しやすいためです。
独学に向く人は、用語を丸暗記するだけでなく「この対策はなぜ必要なのか」を業務場面に結びつけて理解できます。
たとえば標的型メール対策、アクセス権限の運用、持ち出し管理、インシデント初動、委託先管理といったテーマに対して、ニュースや社内研修で見聞きした記憶があるだけでも理解の吸収速度が上がります。
文脈があることで知識を実戦で使える形に整理しやすくなるため、独学の効率が高まります。
もう一つ大きいのが、ITパスポートをすでに学習済みの人です。
ITパスポートでネットワーク、データベース、認証、マルウェア、内部統制といった基礎用語を一度通っていると、SGでは「知らない言葉が多すぎて問題文が読めない」という状態を避けやすくなります。
SGは入門資格ではありますが、完全なゼロベースより、すでに基礎語彙を持っている人のほうが明らかに有利です。
独学で安定して合格しやすい人は、知識量そのものよりも文章から状況を整理する力があります。
試験はまとまった時間、ほぼ休憩なしで集中することになるので、2時間通しで読む体力も地味に効きます。
映画1本ぶんに近い長さを集中して走り切れる人は、科目Bでも安定します。
難しく感じやすい人の傾向
SGを必要以上に難しく感じやすい人もいます。
典型なのは、IT用語に強い苦手意識がある人です。
実際にはそこまで高度な技術試験ではなくても、「認証」「脆弱性」「可用性」「アクセス制御」といった言葉が並ぶだけで思考が止まるタイプは、問題文の内容以前に構えてしまいます。
これは知識不足そのものより、言葉への拒否反応が失点を増やすパターンです。
長文読解が苦手な人もつまずくことがあります。
SGの難しさは、専門計算より前提条件を読み落とさずに判断することにあります。
担当者の立場、事故の原因、優先すべき対応、社内規程との整合など、問題文には判断材料が複数入っています。
このとき、読んでいる途中で前提を忘れたり、「誰の視点で答えるのか」が曖昧になったりすると、一見もっともらしい誤答を選びやすくなります。
特に科目Bで崩れやすいのは、ケースを読みながら前提条件の保持ができなくなる人です。
たとえば「委託先で発生した事案なのか」「社内利用者の誤操作なのか」「初動で求められているのか、再発防止策を問われているのか」が頭の中で混ざると、正解に必要な論点がずれます。
知識不足というより、情報整理のミスで点を落とすわけです。
非エンジニアだから不利、という見方は正確ではありません。
ただし、事務・総務・営業などの職種でも、社内ルールや情報管理にほとんど触れたことがなく、IT関連の会話を避け続けてきた人は、最初の立ち上がりで苦戦しやすくなります。
SGは非エンジニア向けの入口を持つ試験ですが、最低限の用語への慣れはやはり必要です。
💡 Tip
「IT未経験だから難しい」のではなく、「用語に慣れていないまま長文判断に入る」と難しくなります。逆に言えば、用語の壁を先に越えるだけで体感難易度は下がります。
IT未経験者向け:自己診断チェックリスト
IT未経験者がSGにそのまま進んでよいかは、感覚ではなく小さく測ると判断しやすくなります。
最初に見たいのは、用語を読んで意味の輪郭が浮かぶかどうかです(以下、自身で試せるチェック項目を示します)。
もう一つの分かれ目は、答えの根拠を言葉で説明できるかです。
正解できたかどうかだけでは不十分で、「なぜその選択肢なのか」「なぜ他の選択肢ではないのか」を自分の言葉で言えるかが欠かせません。
SGはたまたま当たるより、根拠を持って選べる状態に入った人が安定します。
ここが曖昧なままだと、本番で似た問題に出会ったとき再現できません。
判断フローとしてはシンプルです。
ITパスポート未学習で、しかも用語に不安が強い人は、先にITパスポートから入るほうが効率的です。
レベル1の範囲で土台を作ってからSGに進むと、用語の壁とケース問題の壁を同時に相手にしなくて済みます。
反対に、ITパスポート既習者、または実務でセキュリティ規程・ISMS・社内教育に触れている人なら、SGから始めても十分戦えます。
自己診断は、次の3点で見るとぶれません。
- 基本用語10個を見て、意味を自分の言葉で説明できるか
- 公開問題の科目Bを解いて、論点を追いながら時間内に処理できるか
- 正解の理由を説明し、誤答を外した理由まで言えるか
この3つのうち1つ目で止まるならITパスポート寄り、2つ目と3つ目まで届くならSGに進みやすい状態です。資格選びで大事なのは背伸びではなく とです。
合格に必要な勉強法|科目A→科目Bの順で進める
学習順序の設計
この試験で点を安定させるなら、科目Aを先に固めてから科目Bに入る順番がいちばん効率的です。
理由はシンプルで、科目Bのケース問題は、長文読解そのものよりも「文中の用語を正確に読めるか」で難しさが変わるからです。
機密性・完全性・可用性、認証、アクセス制御、脆弱性、ログ、委託先管理といった言葉が自然に入ってくる状態なら、ケース文の意味を追いやすくなります。
逆に、用語が曖昧なまま科目Bの演習を増やしても、読むたびに止まります。
これは読解力不足というより、語彙の不足で文章処理コストが上がっている状態です。
先に科目Aで用語と基礎論点を反復し、「読めば意味が浮かぶ」状態を作っておくと、科目Bでは判断に集中できます。
学習の流れとしては、まず科目Aで頻出テーマを一通り回し、正誤の理由まで説明できるようにします。
そのあとで科目Bのケース問題に入り、登場人物の役割や事故の原因、優先すべき対策を文章から拾う練習に進む形です。
この順番のほうが途中で息切れしにくく、実務にもつながる学び方になります。
SGは暗記量で押し切る試験ではなく、基礎知識を土台に判断する試験だからです。
科目Aの攻略ポイント
科目Aは、広く見えるわりに、実際には何度も出てくる定番テーマがあります。
ここを反復しておくと、単なる得点源になるだけでなく、科目Bの理解も一気に楽になります。
優先度が高いのは、機密性・完全性・可用性、マルウェア、暗号、アクセス制御、リスク評価、法令です。
このあたりは、SGの世界観そのものを作っている論点だと考えると整理できます。
たとえば機密性・完全性・可用性は、単語だけ覚えても伸びません。
「誰に見せないべきか」「改ざんをどう防ぐか」「止めないために何をするか」という実務の問いに置き換えて覚えると、選択肢の判断がぶれにくくなります。
暗号も、方式名だけを追うより、「盗み見防止なのか」「改ざん検知なのか」「本人確認に関わるのか」と役割で整理したほうが強いです。
公開問題では、こうしたテーマが形を変えて繰り返し出ます。
活用法として大事なのは、正解した問題を流さないことです。
正解でも根拠が曖昧なら、次に聞かれ方が変わったときに落とします。
筆者なら、1問ごとに「この選択肢が正しい理由」と「他の選択肢がずれる理由」を短く言い直します。
その積み重ねで、用語が単語帳の知識ではなく、判断材料に変わっていきます。
科目Aは短時間で処理しやすいぶん、雑に回すと伸びが止まりやすいパートでもあります。
用語暗記に見えて、実際には概念の切り分けが問われています。
似た用語を混同しないこと、リスクと脅威、脆弱性と攻撃、認証と認可のような近い概念を分けて理解することが、科目Bまで含めた得点力につながります。
科目Bの読解・根拠づけ訓練
科目Bは、知識問題というよりケースを読んで根拠を拾う訓練で伸びます。
やることを固定すると、苦手意識が減ります。
筆者が勧めたい流れは、ケース文を読んだら、まず短く要約し、そのうえで登場人物・資産・脅威・対策を抜き出し、設問ごとに根拠箇所をマーキングするやり方です。
この手順が有効なのは、問題文の情報を頭の中だけで持たなくてよくなるからです。
SGのケース問題では、「誰が」「何を扱い」「どこに危険があり」「何を優先すべきか」が散らばって書かれています。
それを漫然と読むと、途中で前提が混ざります。
要約してから部品ごとに整理すると、論点が見えます。
たとえば、委託先が関わる事案なら、登場人物には自社担当者、委託先、利用者が出てくるかもしれません。
資産は顧客情報、業務端末、認証情報、ログなどです。
脅威はマルウェア感染や不正アクセス、誤送信、設定不備かもしれません。
対策は技術的対策だけでなく、権限管理、教育、手順整備、監査といった管理的対策も含まれます。
ここまで見えると、選択肢の「それっぽさ」に引っ張られにくくなります。
設問演習では、答えを出したあとに根拠が本文のどこにあったかを必ず言語化したいところです。
SGは感覚で当てるより、本文の条件に沿って選ぶほうが安定します。
正答の根拠を探すだけでなく、誤答がなぜ違うのかまで確認すると、読解の精度が上がります。
科目Bは難問を解くというより、条件整理のミスを減らす競技に近いです。
ℹ️ Note
科目Bは「長文が難しい」のではなく、「本文の条件と設問の要求を結びつける」練習量で差がつきます。要約→抽出→根拠マーキングの順を固定すると、再現性が上がります。
本番の時間配分と見直し戦略
本番では、前半で秒で解ける科目Aを先に確保し、余剰時間を科目Bに回す考え方が合っています。
全体では1問あたり平均2分の計算ですが、実戦では均等配分ではなく、科目Aを軽く、科目Bを重く見るほうが自然です。
筆者なら、科目Aはテンポよく進め、迷う問題には執着しません。
そのぶん科目Bで本文と設問を丁寧に照合します。
感覚としては、科目Aは「即答できる問題を先に取る」パートです。
読んですぐ判断できるもの、基礎知識で切れるものは止まらず進める。
逆に、選択肢が紛らわしい問題や、用語の記憶が曖昧な問題に時間を使いすぎると、科目Bに入った時点で焦りが出ます。
焦った状態でケース文を読むと、根拠確認が雑になります。
そのため、本番ではフラグ運用が欠かせません。
少し迷う問題は印をつけて先に進み、全体を一周してから戻る。
CBTでは画面上の操作にも慣れておくと、この切り替えがスムーズです。
公開されているサンプル問題で画面操作を触っておく価値があるのは、知識面というより試験中の認知負荷を減らせるからです。
見直しでは、単に「全部もう一回読む」より、優先順位を決めたほうが効率的です。
科目Aはフラグを付けた問題だけを再確認し、科目Bは選んだ選択肢の根拠が本文にあるかを見直す。
このとき、「なんとなくこれっぽい」で選んだ問題を重点的に点検すると、修正の精度が上がります。
2時間通しの試験は、映画1本ぶんに近い長さで集中し続ける感覚なので、後半ほど判断が甘くなる傾向があります。
だからこそ、見直しも根性ではなく手順で回すのが有効です。
公開問題・サンプル問題の活用法
教材選びで外しにくいのは、IPAの公開問題とサンプル問題を軸にすることです。
理由は、出題テーマの確認だけでなく、CBT形式の見え方や操作感まで含めて慣れを作れるからです。
『IPAのCBT案内ページ』 でも、SGがCBT方式で実施され、サンプル問題への導線が用意されています。
紙の問題集だけで仕上げるより、本番に近い形で練習しておくほうが安定します。
公開問題の使い方で重要なのは、単なる実力チェックで終わらせないことです。
科目Aでは頻出テーマの抜け漏れ確認に使い、間違えた論点を小さく戻って補強する。
科目Bでは、ケース文を時間内に処理する訓練として使い、要約と根拠マーキングまでセットで回す。
この使い分けをすると、問題演習がそのまま学習計画になります。
学内や社内でミニ模試を行うのも有効です。
特に、120分通しで解く経験は、知識確認とは別の価値があります。
途中で集中が切れやすい人は、短い演習だけでは本番のペース配分がつかみにくくなります。
時間を区切って通しで解くと、自分がどこで止まりやすいか、科目Aで時間を使いすぎるのか、科目Bで根拠探しが遅いのかが見えます。
SG対策では、この「詰まる場所の可視化」を怠ると結果に響きます。
学習全体を整理すると、次のように見るとぶれません。
| 項目 | 科目A | 科目B |
|---|---|---|
| 主な役割 | 用語・基礎知識の定着 | ケース読解と判断 |
| 重点対策 | 頻出テーマの反復、正誤理由の説明 | 要約、要素抽出、根拠マーキング |
| つまずきやすい点 | 似た用語の混同 | 前提条件の取り違え |
| 演習の回し方 | 公開問題で弱点論点を潰す | サンプル問題・公開問題で形式に慣れる |
| 本番での意識 | 速く確実に取る | 時間を使って根拠を合わせる |
この試験は、科目Aと科目Bを別物として見るより、Aで語彙と基礎を作り、その語彙でBを読むと捉えたほうが学習効率が高いです。
難易度の話を実際の勉強に落とし込むなら、この順番がもっとも再現性があります。
2026年度の申込・受験で注意したい最新情報
申込開始日・受付の基本
情報セキュリティマネジメント試験は、IPAのCBT案内で示されている通りCBT方式で通年実施です。
春期・秋期のような固定日程を待つ試験ではなく、空席のある会場と日時を選んで受ける運用が基本になります。
従来の「年に何回あるか」で考えるより、自分の学習進度に合わせて受験枠を取りに行く試験として見たほうが実態に合っています。
そのうえで、2026年度の申込まわりでは日付の切り替わりに注意が必要です。
CBT-Solutionsの受験者ポータルでは、2026年5月以降の試験申込受付は2026年3月24日21時30分以降に始まる案内が出ています。
通年実施とはいえ、先の月の予約が常時フルオープンになるわけではなく、申込可能期間には区切りがあります。
受験時期を5月以降で考えている人ほど、この受付開始タイミングを把握しておく意味があります。
実務感覚でいうと、CBT試験は「いつでも受けられる」ように見えて、実際には申込開始タイミングと会場空席の2つで日程が決まることが多いです。
学習計画だけ先に固めていても、予約可能日が想定より後ろにずれることはあります。
特に年度替わりの時期は、制度上の切り替えと予約運用が重なりやすい分岐点です。
受験期限・再受験の扱い
2026年度で見落としやすいのが、申込日によって実際の受験期限が縛られるケースです。
CBT-Solutionsでは、2025年12月27日以降に申し込んだ場合は、2026年12月27日までに受験するよう案内されています。
言い換えると、申込だけ済ませて長く寝かせておける仕組みではなく、申込時点で受験可能な期間の上限を意識する必要があります。
ここで厄介なのは、「CBTだから後ろ倒ししやすい」と考えやすい点です。
実際には、年末に近い時期へ引っ張りすぎると、会場都合や希望日時の埋まり方によって選択肢が狭まります。
2026年12月28日以降の試験日は選べないという注意ともつながるため、期限日の直前に詰め込む前提は危ういです。
再受験を考える場合も、通年実施だからこそ「すぐ受け直せるはず」と楽観しすぎないほうがいいです。
制度としてCBTで随時受けられるのは事実ですが、実際の運用は申込条件と予約可能枠の中で動きます。
1回目の結果を見てから再挑戦するつもりなら、年内の残り日数と会場枠の現実まで含めて見ておく視点が必要です。
バウチャーの有効期限
会社経由や研修経由で受験する人は、申込そのものよりバウチャーの期限管理が重要になることがあります。
2025年4月26日以降に発行されたバウチャーの有効期限は2026年4月26日までとされています。
ここは「発行から1年」と雑に覚えるより、一律の期限日で管理される可能性があると捉えたほうが安全です。
バウチャーは持っているだけでは受験したことになりません。
期限内に申込と受験日設定まで進める必要があるため、手元にコードがあることと、実際に使えることは別です。
特に企業配布のケースでは、配られた時点では余裕がありそうでも、配属や繁忙期で先送りになり、そのまま期限が近づくことがあります。
💡 Tip
バウチャー管理で起きやすいミスは「自分の勉強計画」ではなく「有効期限の認識違い」です。受験日ベースで逆算するより、まず期限日を固定で押さえてから学習スケジュールを当てはめるほうがずれにくくなります。
また、期限切れバウチャーは使えない前提で案内されているため、予約の空きが少ない時期ほど早めに日程を押さえる発想が重要になります。
SGは受けやすい試験区分ですが、バウチャー運用が絡むと、学習より事務手続きで取りこぼす人が出る傾向があります。
最新日程の確認フロー
この試験は制度変更というより、運用上の告知更新を取りこぼすと混乱しやすいタイプです。
日程、申込開始、受験期限、バウチャー期限は固定知識として覚えるより、確認手順を持っておくほうが実用的です。
筆者なら、最新日程を見るときは次の順で整理します。
- まずIPAのCBT案内で、SGが通年のCBT実施であることと、制度上の扱いに変化がないかを見る
- 次にCBT-SolutionsのSG受験者ポータルで、申込開始日時や受験可能期間の案内を確認する
- バウチャーを使う場合は、別ページのバウチャー案内で有効期限を切り分けて確認する
- 予約画面で実際に選べる会場・日付まで見て、計画上の日程と実在する空席を一致させる
この流れにしておくと、IPAで制度の全体像を押さえ、CBT-Solutionsで実務上の運用条件を見る、という役割分担がはっきりします。
SGはCBTで柔軟に受けられる一方、年度切り替えやシステム更新の時期には細かな条件が動くことがあります。
2026年度分も、申込開始日、2026年12月27日までの受験条件、バウチャー期限といった日付情報は、記憶より公式表示を基準に追うほうがぶれません。
まとめ|SG試験はこんな人におすすめ
SG試験は、非エンジニアの立場でセキュリティ実務の基礎を体系立てて固めたい人や、ITパスポート合格後の次の一歩を探している人に向いています。
逆に、長文読解への苦手意識が強く、用語の土台づくりも飛ばしたい人には遠回りになりやすいので、まずはITパスポートで語彙を固めるほうが進められます。
受ける価値があるかの判断は、「技術者になるため」ではなく、実務でセキュリティ判断の質を上げたいかで決めるとぶれません。
受験するなら、IPA公式で制度と申込を確認し、公開問題で科目A・Bの手触りを見たうえで、受験日を仮決めして学習を逆算で始めてください。
IT業界10年の経験を持つキャリアコンサルタント。基本情報技術者・応用情報・AWS認定・G検定を保有。200人以上のIT資格合格をサポートしてきた実績を活かし、実務で活きる資格の選び方を発信しています。
関連記事
IT資格は転職に有利?職種別おすすめと取得順
IT転職で資格はたしかに武器になりますが、評価されるのは「資格そのもの」よりも、基礎知識を持ち、学び続ける姿勢が見えることです。企業が中途採用で最も重視するのはプロジェクト情報であり、資格は実務経験や成果物の代わりにはなりません。
AWS認定12資格の難易度と取得順|2026対応
AWS認定は長く12資格が中核でしたが、2025〜2026年は CloudOps Engineer - Associate への移行や Machine Learning - Specialty の終了予定、Generative AI Developer – Professional の新設予定まで重なり、
IT資格おすすめと取る順番|初心者向けロードマップ
IT資格は数が多く、最初の1つで迷いやすいですが、選び方の軸は意外とシンプルです。本記事は、未経験からIT業界を目指す人や、文系・非IT職から学び直したい人に向けて、基礎→応用→専門の順番で無理なく進める資格ルートを整理します。
秘書検定2級・準1級の合格率と対策|どちらを受けるべき?
秘書技能検定は、公益財団法人 実務技能検定協会が実施し、文部科学省が後援するビジネス資格です。就活で2級を取るべきか、実務力まで示せる準1級まで狙うべきかで迷う人は多いのですが、違いは試験方式と求められる力にかなりはっきり表れます。