情報処理安全確保支援士（登録セキスペ、SC） 試験概要

試験の特徴・概要

• 情報セキュリティ方針の策定、リスクアセスメントの実施、情報セキュリティ管理策の導入・運用を主導・支援する能力が求められます。
• セキュアなシステム設計・開発（セキュアプログラミング、脆弱性診断等）や、セキュアな運用体制（監視、ログ分析、パッチ管理等）の構築・維持を指導します。
• CSIRT/SOCの構築・運用支援、セキュリティインシデント発生時の対応指揮、フォレンジック調査による原因究明と再発防止策の策定を行います。
• 情報セキュリティ監査の計画・実施、国内外の法令・ガイドライン・標準への準拠性評価と改善指導、経営層への助言も重要な役割です。

試験構成

• 午前Ⅰ：共通知識（多肢選択式30問／50分）※一定条件で免除可
• 午前Ⅱ：情報セキュリティ専門知識（多肢選択式25問／40分）
• 午後：情報セキュリティ実践力に関する記述式問題（出題数3問 うち2問選択／150分）

合格基準午前Ⅰ：60%以上の得点、午前Ⅱ：60%以上の得点、午後：60%以上の得点

対象者像

• サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者

求められる主な能力・役割

• 情報セキュリティマネジメントシステム（ISMS）の構築・運用・監査能力
• 脅威分析、脆弱性診断、リスクアセスメント手法の理解と実践力、効果的なリスク対応策の策定・導入能力
• セキュアなシステムライフサイクル（企画、設計、開発、テスト、運用、保守）全般にわたるセキュリティ対策の指導・推進能力
• インシデントハンドリングプロセス（検知、分析、封じ込め、根絶、復旧、教訓化）の主導、CSIRT/SOC機能の構築・運用支援能力
• フォレンジック調査技術の基礎知識と証拠保全、関連法規・標準（個人情報保護法、サイバーセキュリティ経営ガイドライン等）の深い理解と適用能力

求められる知識

• 情報セキュリティガバナンス、リスクマネジメント（ISO 27001/27002, NIST CSF等）、情報セキュリティ関連法規・標準
• 暗号技術、認証技術、アクセス制御、ネットワークセキュリティ（FW, IDS/IPS, WAF, VPN等）、エンドポイントセキュリティ（EDR等）
• セキュアプログラミング、Webアプリケーションセキュリティ（OWASP Top10等）、データベースセキュリティ、クラウドセキュリティ（IaaS/PaaS/SaaS）
• マルウェア対策、脆弱性管理、ペネトレーションテスト、脅威インテリジェンス、デジタルフォレンジック
• インシデントレスポンス体制（CSIRT/SOC）、事業継続計画（BCP）、情報セキュリティ監査、情報倫理、セキュリティ教育・啓発

求められる技能

• 情報セキュリティ戦略・計画の立案、経営層への説明・提言能力
• 複雑な情報システムにおけるセキュリティリスクの特定・分析・評価スキル
• 技術的対策と組織的対策を組み合わせた多層防御の設計・実装指導スキル
• インシデント発生時の迅速かつ的確な判断力・指示能力・関係各所との連携・調整スキル
• セキュリティポリシー・規程類の作成、監査報告書の作成、セキュリティ教育の企画・実施スキル

攻略ポイント・学習アドバイス

• 午前Ⅰ・Ⅱは過去問演習を繰り返し、知識の定着を図る。特に午前Ⅱは専門用語や技術要素の正確な理解が不可欠。
• 午後の記述式問題は、長文の問題からセキュリティ上の課題や要求事項を正確に読み取り、具体的かつ論理的に解答を構成する能力が問われる。複数の出題テーマ（インシデント対応、セキュリティ設計、リスク分析、監査等）に対応できるよう、幅広い知識と深い洞察力を養う。
• 解答は、設問の意図を的確に捉え、簡潔かつ分かりやすく記述することを心掛ける。図や表を効果的に用いることも有効な場合がある。時間配分も重要なので、過去問演習で感覚を掴む。
• 最新のサイバー攻撃事例、脆弱性情報、法改正、セキュリティ技術動向（ゼロトラスト、SASE、AI活用セキュリティ等）を常にフォローし、自身の知識ベースを更新し続ける。
• IPA公式のシラバス、過去問題、採点講評を熟読し、出題傾向と評価のポイントを深く理解する。可能であれば、実務経験と関連付けて学習を進めると効果的。

シラバス概要

1. 情報セキュリティマネジメントの推進・支援

• 情報セキュリティガバナンス体制の構築・運用支援、情報セキュリティ方針・規程群の策定
• リスクアセスメントの実施と管理策の選択・導入、ISMS（ISO 27001等）の適合性評価・維持改善
• 情報セキュリティ教育・訓練の計画・実施、情報資産管理と分類、委託先管理

2. 情報システムの企画・設計・開発・運用におけるセキュリティ確保

• セキュアなシステム開発ライフサイクル（SSDLC）の導入・推進、セキュリティ要件定義・設計
• セキュアプログラミング、脆弱性診断・ペネトレーションテストの計画・評価
• ネットワークセキュリティ、サーバセキュリティ、エンドポイントセキュリティ、クラウドセキュリティの設計・構築・運用
• 暗号技術の適切な利用、認証・アクセス制御の設計・実装、ログ管理と監視体制の構築

3. 情報セキュリティインシデント管理の推進・支援

• CSIRT/SOCの構築・運用とインシデントレスポンス計画の策定
• インシデントの検知・分析・評価、封じ込め・根絶・復旧活動の指揮・支援
• デジタルフォレンジックによる証拠保全・原因究明、再発防止策の策定と報告
• 事業継続計画（BCP）における情報セキュリティの位置づけと連携

4. 情報セキュリティ動向・事例・規範等の活用とコンプライアンス

• 最新の脅威動向、攻撃手口、脆弱性情報の収集・分析と組織内への周知
• 国内外のセキュリティインシデント事例の分析と教訓の活用
• 関連法規（個人情報保護法、不正アクセス禁止法、サイバーセキュリティ基本法等）の遵守と対応
• 情報セキュリティ監査の計画・実施・報告、セキュリティ標準・ガイドライン（NIST SP800シリーズ等）の活用