

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズを始める→
すぐに利用可能!
情報処理安全確保支援士試験 過去問・解説一覧
年度・セッション別の情報処理安全確保支援士試験過去問題集
情報処理安全確保支援士試験の過去問演習について
本ページでは情報処理安全確保支援士試験の過去問を年度・セッション別に計986問収録しています。情報処理安全確保支援士試験は過去問演習が合格への最短ルートです。年度別・セッション別の問題リストから自由に問題を選び、解答・解説を確認できます。
スマートフォンにも最適化されているため、通勤・通学などのスキマ時間学習にも活用してください。情報処理安全確保支援士試験の試験概要・出題形式・難易度・合格率の推移は、このページ下部にまとめて掲載しています。
情報処理安全確保支援士とは(試験概要)
情報処理安全確保支援士試験(SC)は、サイバーセキュリティに関する専門的な知識・技能を活用して、企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、サイバーセキュリティ対策の調査・分析・評価、指導・助言を行う人材を認定する国家試験(レベル4)です。情報セキュリティマネジメントからインシデント対応、関連法規まで広範な領域をカバーします。
| 項目 | 内容 |
|---|---|
| 区分 | SC |
| レベル | レベル4 |
| 実施方式 | CBT方式(令和8年度〜) |
| 実施時期 | 前期(2026年11月頃)/ 後期(2027年2月頃)※年2回 |
| 試験科目 | 科目A-1 / 科目A-2 / 科目B(旧:午前Ⅰ/午前Ⅱ/午後) |
| 公式情報 | IPA公式ページ |
| シラバス | Ver.2.1(2023年12月25日掲載) |
特徴・概要
- 情報セキュリティ方針の策定、リスクアセスメントの実施、情報セキュリティ管理策の導入・運用を主導・支援する能力が求められます。
- セキュアなシステム設計・開発(セキュアプログラミング、脆弱性診断等)や、セキュアな運用体制(監視、ログ分析、パッチ管理等)の構築・維持を指導します。
- CSIRT/SOCの構築・運用支援、セキュリティインシデント発生時の対応指揮、フォレンジック調査による原因究明と再発防止策の策定を行います。
- 情報セキュリティ監査の計画・実施、国内外の法令・ガイドライン・標準への準拠性評価と改善指導、経営層への助言も重要な役割です。
試験の形式・出題構成・採点方式
情報処理安全確保支援士試験(SC)は、令和8年度(2026年度)試験からCBT(Computer Based Testing)方式へ移行し、従来の「午前Ⅰ・午前Ⅱ・午後」がそれぞれ「科目A-1・科目A-2・科目B」へ名称変更されました。出題形式・出題数・試験時間は従来から変更ありません。
| 試験科目 | 旧名称 | 時間 | 出題形式・構成 |
|---|---|---|---|
| 科目A-1 | 午前Ⅰ | 50分 | 多肢選択式(四肢択一)30問。情報技術の共通知識。一定条件で免除可 |
| 科目A-2 | 午前Ⅱ | 40分 | 多肢選択式(四肢択一)25問。情報セキュリティの専門知識 |
| 科目B | 午後 | 150分 | 記述式。4問出題・2問選択。情報セキュリティの実践力を問う |
令和5年度に旧「午後Ⅰ(90分)」「午後Ⅱ(120分)」が単一の「午後(150分)」へ統合され、令和8年度のCBT移行でこれが「科目B」となりました。
採点・合格基準: 各科目とも100点満点で60点以上が基準点。科目A-1→A-2→Bの順に採点され、いずれかが基準点未満だと、その時点で不合格(以降は採点されない)。
科目A-1免除制度: 応用情報技術者試験の合格者や、過去2年以内に高度試験・支援士試験の科目A-1(旧午前Ⅰ)で基準点を満たした受験者などは、申請により科目A-1が免除されます。
実施時期・受験機会: 令和8年度は前期(2026年11月頃)・後期(2027年2月頃)の年2回実施予定。CBT化により、受験者が試験期間内で日時・会場を選んで受験します。最新の日程・申込方法はIPA公式で必ず確認してください。
2027年度からの新試験制度: 情報処理安全確保支援士試験は2027年度以降も継続しますが、IPAが2026年3月31日に公表した試験制度の見直しにより、現行形式は2026年度(令和8年度)の試験実施をもって終了し、2027年度夏〜秋頃から科目Aの出題体系変更・科目Bの見直し・試験時間や形式の変更を伴う新形式へ移行する予定です。現行形式での受験は2026年度が最後になる見込みです。
対象者像・求められる知識と技能
対象者像
- サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者
求められる主な能力・役割
- 情報セキュリティマネジメントシステム(ISMS)の構築・運用・監査能力
- 脅威分析、脆弱性診断、リスクアセスメント手法の理解と実践力、効果的なリスク対応策の策定・導入能力
- セキュアなシステムライフサイクル(企画、設計、開発、テスト、運用、保守)全般にわたるセキュリティ対策の指導・推進能力
- インシデントハンドリングプロセス(検知、分析、封じ込め、根絶、復旧、教訓化)の主導、CSIRT/SOC機能の構築・運用支援能力
- フォレンジック調査技術の基礎知識と証拠保全、関連法規・標準(個人情報保護法、サイバーセキュリティ経営ガイドライン等)の深い理解と適用能力
求められる知識
- 情報セキュリティガバナンス、リスクマネジメント(ISO 27001/27002, NIST CSF等)、情報セキュリティ関連法規・標準
- 暗号技術、認証技術、アクセス制御、ネットワークセキュリティ(FW, IDS/IPS, WAF, VPN等)、エンドポイントセキュリティ(EDR等)
- セキュアプログラミング、Webアプリケーションセキュリティ(OWASP Top10等)、データベースセキュリティ、クラウドセキュリティ(IaaS/PaaS/SaaS)
- マルウェア対策、脆弱性管理、ペネトレーションテスト、脅威インテリジェンス、デジタルフォレンジック
- インシデントレスポンス体制(CSIRT/SOC)、事業継続計画(BCP)、情報セキュリティ監査、情報倫理、セキュリティ教育・啓発
求められる技能
- 情報セキュリティ戦略・計画の立案、経営層への説明・提言能力
- 複雑な情報システムにおけるセキュリティリスクの特定・分析・評価スキル
- 技術的対策と組織的対策を組み合わせた多層防御の設計・実装指導スキル
- インシデント発生時の迅速かつ的確な判断力・指示能力・関係各所との連携・調整スキル
- セキュリティポリシー・規程類の作成、監査報告書の作成、セキュリティ教育の企画・実施スキル
シラバス概要
- 1. 情報セキュリティマネジメントの推進・支援
- 情報セキュリティガバナンス体制の構築・運用支援、情報セキュリティ方針・規程群の策定
- リスクアセスメントの実施と管理策の選択・導入、ISMS(ISO 27001等)の適合性評価・維持改善
- 情報セキュリティ教育・訓練の計画・実施、情報資産管理と分類、委託先管理
- 2. 情報システムの企画・設計・開発・運用におけるセキュリティ確保
- セキュアなシステム開発ライフサイクル(SSDLC)の導入・推進、セキュリティ要件定義・設計
- セキュアプログラミング、脆弱性診断・ペネトレーションテストの計画・評価
- ネットワークセキュリティ、サーバセキュリティ、エンドポイントセキュリティ、クラウドセキュリティの設計・構築・運用
- 暗号技術の適切な利用、認証・アクセス制御の設計・実装、ログ管理と監視体制の構築
- 3. 情報セキュリティインシデント管理の推進・支援
- CSIRT/SOCの構築・運用とインシデントレスポンス計画の策定
- インシデントの検知・分析・評価、封じ込め・根絶・復旧活動の指揮・支援
- デジタルフォレンジックによる証拠保全・原因究明、再発防止策の策定と報告
- 事業継続計画(BCP)における情報セキュリティの位置づけと連携
- 4. 情報セキュリティ動向・事例・規範等の活用とコンプライアンス
- 最新の脅威動向、攻撃手口、脆弱性情報の収集・分析と組織内への周知
- 国内外のセキュリティインシデント事例の分析と教訓の活用
- 関連法規(個人情報保護法、不正アクセス禁止法、サイバーセキュリティ基本法等)の遵守と対応
- 情報セキュリティ監査の計画・実施・報告、セキュリティ標準・ガイドライン(NIST SP800シリーズ等)の活用
分野別の出題数・出題傾向(学習テーマ別)
情報処理安全確保支援士試験の午前問題の出題範囲を、情報処理推進機構(IPA)が公表する公式シラバス(Ver.2.1)を読み解いたうえで、戦国IT独自の切り口で学習テーマ別に整理し、テーマごとの出題数を集計しました。そのため、IPA公式の分野区分とは、分類のまとめ方や名称が一部異なります(公式の正式な分野構成はIPAのシラバスでご確認ください)。どのテーマが多く問われているかの目安としてご活用ください。
午前問題 全825問を、戦国IT独自の学習テーマ別に分類した出題数の分布です。
| 学習テーマ | 出題数 | 割合 |
|---|---|---|
| 情報セキュリティ方針・ガバナンス | 14問 | 1.7% |
| 情報セキュリティリスクマネジメント | 16問 | 1.9% |
| 情報セキュリティ諸規程・コンプライアンス | 10問 | 1.2% |
| 情報セキュリティ監査 | 28問 | 3.4% |
| 動向・脅威インテリジェンス | 29問 | 3.5% |
| セキュア企画・設計・導入 | 79問 | 9.6% |
| セキュリティ機能・セキュアプログラミング | 89問 | 10.8% |
| セキュリティテスト・脆弱性診断 | 23問 | 2.8% |
| 運用・保守(監視・ログ・バックアップ) | 22問 | 2.7% |
| 暗号・アクセス管理 | 208問 | 25.2% |
| ネットワーク・マルウェア・脆弱性対応 | 278問 | 33.7% |
| 物理的セキュリティ管理・人的管理・サプライチェーン | 5問 | 0.6% |
| 情報セキュリティインシデント管理・証拠の収集及び分析 | 18問 | 2.2% |
| 横断・複合領域 | 3問 | 0.4% |
| その他 | 3問 | 0.4% |

出題範囲とサンプル問題(学習テーマ別)
ここからは、上の分布で示した学習テーマごとに、何が問われるかの要点と、実際に出題された午前の過去問を1問ずつ紹介します。
本セクションで扱う学習テーマは全14テーマです。
- 情報セキュリティ方針・ガバナンス
- 情報セキュリティリスクマネジメント
- 情報セキュリティ諸規程・コンプライアンス
- 情報セキュリティ監査
- 動向・脅威インテリジェンス
- セキュア企画・設計・導入
- セキュリティ機能・セキュアプログラミング
- セキュリティテスト・脆弱性診断
- 運用・保守(監視・ログ・バックアップ)
- 暗号・アクセス管理
- ネットワーク・マルウェア・脆弱性対応
- 物理的セキュリティ管理・人的管理・サプライチェーン
- 情報セキュリティインシデント管理・証拠の収集及び分析
- 横断・複合領域
情報セキュリティ方針・ガバナンス
このテーマで問われること
組織の目的・事業特性に沿って情報セキュリティ方針を策定し、運用できる状態にするための統治を扱う。方針の位置付け(上位方針・下位文書との関係)、適用範囲、役割と責任、意思決定・承認の仕組み、目標設定と継続的改善などを通じて、セキュリティ活動を経営・業務プロセスに組み込み、実効性ある管理体制へ落とし込む力が問われる。
出題の焦点
- 方針の目的・適用範囲・例外の定義
- ガバナンス体制(責任・権限・承認)
- セキュリティ目標と指標(KPI/KRI)
- 継続的改善(PDCA)の回し方
- 方針の周知・浸透と教育
問題 ― 令和5年春期午前2 問9
NIST“サイバーセキュリティフレームワーク:重要インフラのサイバーセキュリティを改善するためのフレームワーク1.1版”における“フレームワークコア”を構成する機能はどれか。
- ア:観察、状況判断、意思決定、行動
- イ:識別、防御、検知、対応、復旧
- ウ:準備、検知と分析、封じ込め/根絶/復旧、事件後の対応
- エ:責任、戦略、取得、パフォーマンス、適合、人間行動
正解と解説
正解:イ
- 結論:NISTサイバーセキュリティフレームワークのフレームワークコアは「識別、防御、検知、対応、復旧」の5つの機能で構成されます。
- 根拠:フレームワークコアは重要インフラのサイバーセキュリティを体系的に管理するための基本的な活動群として定義されています。
- 差がつくポイント:各機能の役割を正確に理解し、他の類似用語や段階的プロセスと混同しないことが重要です。
情報セキュリティリスクマネジメント
このテーマで問われること
情報資産を守るために、リスクを特定・分析・評価し、優先度に基づいて対応を決めて管理する一連のプロセスを扱う。資産価値、脅威、脆弱性、既存対策を踏まえたリスク算定や、許容可能なリスク水準の設定、リスク対応(低減・回避・移転・保有)の選択、対策計画への落とし込みと残留リスクの判断が中心となる。事業継続や外部委託も含めた観点での判断が求められる。
出題の焦点
- リスク特定(資産・脅威・脆弱性)
- 定性/定量評価と優先度付け
- リスク対応の選択(低減・回避・移転・保有)
- 残留リスクと受容判断
- 対策計画・管理策への具体化
問題 ― 令和5年秋期午前2 問11
JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち、適切なものはどれか。
- ア:脅威とは、一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点のことである。
- イ:脆弱性とは、システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因のことである。
- ウ:リスク対応とは、リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。
- エ:リスク特定とは、リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。
正解と解説
正解:エ
- 結論:リスク特定はリスク源や事象、原因、結果を認識し記述するプロセスであり、選択肢エが正しいです。
- 根拠:JIS Q 27000:2019ではリスク特定を「リスクを発見、認識及び記述するプロセス」と定義し、リスク源や事象の特定を含むと明記しています。
- 差がつくポイント:脅威や脆弱性、リスク対応の定義を正確に理解し、用語の混同を避けることが重要です。
情報セキュリティ諸規程・コンプライアンス
このテーマで問われること
セキュリティを組織的に実行するための規程・基準・手順(情報取扱い、アクセス権付与、委託管理、インシデント報告など)を整備し、改定・周知・遵守確認まで含めて運用する領域を扱う。加えて、法令・規制・契約・ガイドライン等の要求事項を把握し、社内ルールや業務プロセスへ反映して違反リスクを低減する。文書体系の整合、例外管理、証跡の確保など実務的な設計力が問われる。
出題の焦点
- 規程体系(方針・規程・手順)の整合
- 改定管理(版管理・承認・周知)
- 法令・規制・契約要求の取り込み
- 例外申請とリスク承認
- 遵守状況のモニタリングと是正
問題 ― 令和7年秋期午前2 問23
商用目的で開発するソフトウェアの開発請負契約書には、企業間で様々な事項を取り決めておく必要がある。この開発請負契約書に取決めがない場合に、ソフトウェアの著作権の帰属先に関する説明として、適切なものはどれか。ここで、ソフトウェアは注文者から委託された請負人が開発するものとする。
- ア:請負人、注文者のどちらにも帰属しない。
- イ:請負人と注文者の両方に帰属する。
- ウ:請負人に帰属する。
- エ:注文者に帰属する。
正解と解説
正解:ウ
- 結論→注文者と請負人の間で著作権の帰属に関する特段の合意がない場合、著作権は開発を実際に行った請負人に帰属します。
- 根拠→著作権の原則は「創作した者が著作者」であり、請負契約でも別段の定めがなければ実際の創作者に権利があることになります。
- 差がつくポイント→契約書で「著作権譲渡」や「利用許諾」を明記すること、納品物の物理的所有と著作権は別物である点を押さえてください。
情報セキュリティ監査
このテーマで問われること
情報セキュリティ対策が方針・規程や要求事項に適合し、有効に運用されているかを独立した立場で評価する監査を扱う。監査計画(目的・範囲・基準・手続)、証拠収集(文書確認、インタビュー、サンプリング、ログ確認等)、監査所見の整理、是正措置の提案とフォローアップまでの流れを理解することが重要である。保証型・助言型の違いや、監査人の独立性・職業倫理も問われる。
出題の焦点
- 監査目的・範囲・基準の設定
- 監査手続と証拠の十分性・適切性
- 内部統制/管理策の有効性評価
- 指摘事項の根拠付けと報告書作成
- 是正措置のフォローアップ
問題 ― 平成24年秋期午前2 問25
システム監査で用いる統計的サンプリングに関する記述のうち、適切なものはどれか。
- ア:開発プロセスにおけるコントロールを評価する際には、開発規模及び影響度の大きい案件を選定することによって、母集団全体への評価を導き出すことができる。
- イ:コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。
- ウ:正しいサンプリング手順を踏むことによって、母集団全件に対して検証を行う場合と同じ結果を常に導き出すことができる。
- エ:母集団からエラー対応が行われたデータを選定することによって、母集団全体に対してコントロールが適切に行われていることを確認できる。
正解と解説
正解:イ
- 結論:統計的サンプリングでは、コントロールの有効性を判断するために必要なサンプル数を事前に決定できることが重要です。
- 根拠:統計的手法により、母集団の特性を推定するために必要なサンプルサイズを計算し、効率的かつ信頼性の高い監査を実施します。
- 差がつくポイント:サンプリングは全件検証ではなく、適切な手順とサンプル数の設定が成功の鍵であり、偏った選定やエラー対応済みデータの利用は誤りです。
動向・脅威インテリジェンス
このテーマで問われること
攻撃手法、脆弱性、インシデント事例、法規制や技術標準の変化など、情報セキュリティを取り巻く外部動向を継続的に収集・分析し、組織の意思決定や対策に活用する領域を扱う。信頼できる情報源の選定、IOC/IOA等の活用、影響評価と優先順位付け、関係部署への展開、対策や監視ルールへの反映といった実務が中心となる。単なる知識ではなく、施策へ結び付ける分析力が問われる。
出題の焦点
- 情報源の評価(信頼性・鮮度・関連性)
- 攻撃動向・事例からの教訓抽出
- 影響評価と優先度付け
- インテリジェンスの共有と展開
- 検知ルール・対策への反映
問題 ― 令和7年春期午前2 問13
IoC(Indicator of Compromise) に該当するものはどれか。
- ア:JVN上で公開されている、あるソフトウェアに関する脆弱性情報
- イ:ある認証局が公開している公開鍵証明書の失効リスト
- ウ:あるネットワーク機器のログに残された C&Cサーバとの通信履歴
- エ:あるファイアウォールに設定されたパケットフィルタリングルール
正解と解説
正解:ウ
- 結論:IoCとは、侵害の痕跡を示す証拠であり、ネットワーク機器のログに残るC&Cサーバとの通信履歴が該当します。
- 根拠:IoCはマルウェア感染や不正アクセスの兆候を示す具体的なデータやログを指し、通信履歴は攻撃の証拠となるため重要です。
- 差がつくポイント:脆弱性情報や証明書の失効リストは予防や管理の情報であり、IoCとは異なる点を理解することが合格の鍵です。
セキュア企画・設計・導入
このテーマで問われること
システムの企画・要件定義からアーキテクチャ設計、製品・サービス導入、開発環境整備までをセキュリティの観点で具体化する領域を扱う。セキュリティ要求(機密性・完全性・可用性、プライバシ等)の定義、脅威分析に基づく設計、信頼境界・データフローの整理、クラウド/委託利用時の責任分界、セキュア設定と導入時検証、開発基盤のアクセス制御や秘密情報管理など、上流での作り込みが問われる。
出題の焦点
- 要件定義でのセキュリティ要求の明確化
- 脅威分析とセキュリティ設計への反映
- 信頼境界・権限境界の設計
- 導入時のセキュア設定・初期構成レビュー
- 開発環境の保護(秘密情報、権限、CI/CD)
- クラウド/委託の責任分界と管理
問題 ― 令和3年秋期午前2 問24
情報システムの設計の例のうち、フェールソフトの考え方を適用した例はどれか。
- ア:UPSを設置することによって、停電時に手順どおりにシステムを停止できるようにする。
- イ:制御プログラムの障害時に、システムの暴走を避け、安全に運転を停止できるようにする。
- ウ:ハードウェアの障害時に、パフォーマンスは低下するが、構成を縮小して運転を続けられるようにする。
- エ:利用者の誤操作や誤入力を未然に防ぐことによって、システムの誤動作を防止できるようにする。
正解と解説
正解:ウ
- 結論:フェールソフトは障害発生時に機能を縮小しつつもシステムを継続稼働させる設計思想です。
- 根拠:完全停止ではなく、部分的な性能低下を許容しながら安全に運用を続けることが特徴です。
- 差がつくポイント:障害時の「停止」ではなく「継続運転」を目指す点を理解し、誤操作防止や安全停止とは区別することが重要です。
セキュリティ機能・セキュアプログラミング
このテーマで問われること
システムに必要なセキュリティ機能を適切に設計・実装し、脆弱性を作り込まない開発を行う領域を扱う。認証・認可、セッション管理、入力値検証、暗号利用、監査ログ、エラーハンドリング等の機能要件を、攻撃パターンを踏まえて具体化することが中心となる。安全なコーディング規約、依存ライブラリの扱い、設計上のセキュリティ原則(最小権限、防御の多層化など)を実装へ落とす力が問われる。
出題の焦点
- 認証・認可・セッション管理の実装要点
- 入力値検証と出力エスケープ
- セキュアなエラー処理と情報露出防止
- 安全な暗号利用(モード・乱数・IV等)
- セキュリティログ設計(何を残すか)
- 依存コンポーネント管理と安全な利用
問題 ― 平成29年春期午前2 問16
サンドボックスの仕組みに関する記述のうち、適切なものはどれか。
- ア:Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には、その通信を遮断する。
- イ:クラウド上で動作する複数の仮想マシン(ゲストOS)間で、お互いの操作ができるように制御する。
- ウ:プログラムの影響がシステム全体に及ばないように、プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。
- エ:プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後、実際の値を割り当てる。
正解と解説
正解:ウ
- 結論:サンドボックスはプログラムの動作範囲やアクセス権限を制限し、システム全体への影響を防ぐ仕組みです。
- 根拠:プログラムが実行できる機能やアクセスできるリソースを限定することで、不正や誤動作による被害を最小化します。
- 差がつくポイント:サンドボックスは攻撃検知や仮想マシン間の操作制御ではなく、プログラムの安全な実行環境の提供に特化している点を理解しましょう。
セキュリティテスト・脆弱性診断
このテーマで問われること
実装・構成が安全要件を満たしているかを検証し、脆弱性を早期に発見・是正する領域を扱う。テスト計画(範囲、観点、合否基準)、静的解析・動的解析、ペネトレーションテスト、設定レビュー、脆弱性診断結果のトリアージと再現確認、修正後のリテストまでを理解することが重要である。開発工程に組み込む継続的な検証(自動化、CI連携)や、誤検知・過検知の扱いなど実務判断も問われる。
出題の焦点
- セキュリティテスト計画と合否基準
- 静的解析/動的解析の使い分け
- 脆弱性診断結果の評価(重大度・影響)
- 再現確認と原因分析、修正方針
- リテストと回帰テスト
- テスト自動化と開発プロセスへの組込み
問題 ― 令和6年春期午前2 問9
JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。
- ア:IT 製品の脆弱性を評価する手法
- イ:製品を識別するためのプラットフォーム名の一覧
- ウ:セキュリティに関連する設定項目を識別するための識別子
- エ:ソフトウェア及びハードウェアの脆弱性の種類の一覧
正解と解説
正解:エ
- 結論:CWEはソフトウェアやハードウェアの脆弱性の種類を体系的に分類した一覧である。
- 根拠:JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトは、脆弱性の種類を共通の基準で整理するためにCWEを採用している。
- 差がつくポイント:CWEは脆弱性の「種類」を示すものであり、製品の評価手法や識別子とは異なる点を正確に理解することが重要。
運用・保守(監視・ログ・バックアップ)
このテーマで問われること
システム運用段階でのセキュリティ確保を扱い、監視・ログ・バックアップを軸に、日常運用から障害・インシデント時の継続性までをカバーする。監視設計(検知対象、閾値、アラート運用)、ログ取得・保全(改ざん防止、保管期間、時刻同期)、分析とエスカレーション、変更管理やパッチ適用計画、バックアップ方式(フル/増分等)と復旧試験、手順書整備などが問われる。運用の実効性と証跡の確保が重要となる。
出題の焦点
- 監視設計(検知対象・閾値・運用体制)
- ログの取得・保全(改ざん防止、保管期間)
- ログ分析と相関、エスカレーション
- 変更管理・構成管理・パッチ運用
- バックアップ方式と復旧手順・復旧試験
- 時刻同期と証跡の信頼性確保
問題 ― 平成24年秋期午前2 問21
データベースのデータを更新するトランザクションが、実行途中で異常終了したとき、更新中のデータに対して行われる処理はどれか。
- ア:異常終了時点までの更新ログ情報を破棄することによって、データをトランザクション開始前の状態に回復する。
- イ:チェックポイント時点からコミットが完了しているトランザクションの更新をロールフォワードすることによって、データを回復する。
- ウ:トランザクションの更新ログ情報を使って異常終了時点までロールフォワードすることによって、データを回復する。
- エ:ロールバックすることによって、データをトランザクション開始前の状態に回復する。
正解と解説
正解:エ
- 結論:異常終了したトランザクションの更新はロールバックにより開始前の状態に戻す処理が行われます。
- 根拠:ロールバックはトランザクションの原子性を保証し、不完全な更新を取り消すために用いられます。
- 差がつくポイント:ロールフォワードはコミット済みの更新を反映する処理であり、異常終了時の未完了更新の取り消しには使いません。
暗号・アクセス管理
このテーマで問われること
暗号技術の適切な利用と鍵管理、ならびにアカウント・アクセス権の統制を扱う。暗号方式の選定(用途適合、強度、運用要件)と鍵の生成・配布・保管・更新・失効・廃棄といったライフサイクル管理、証明書運用や秘密情報の保護が中心となる。また、利用者ID管理、権限設計(RBAC等)、特権ID管理、認証強化(多要素等)、定期的な棚卸しといったアクセス管理の実務が問われる。
出題の焦点
- 暗号方式選定(共通鍵/公開鍵/ハッシュ)
- 鍵管理ライフサイクル(生成〜廃棄)
- 証明書・PKIの基本運用
- 権限設計(最小権限、職務分掌、RBAC)
- 特権ID管理と監査証跡
- アカウント棚卸し・失効の運用
問題 ― 令和5年春期午前2 問1
デジタル庁、総務省及び経済産業省が策定した“電子政府における調達のために参照すべき暗号のリスト (CRYPTREC 暗号リスト)”に関する記述のうち、適切なものはどれか。
- ア:CRYPTREC暗号リストにある運用監視暗号リストとは、運用監視システムにおける利用実績が十分であると判断され、電子政府において利用を推奨する暗号技術のリストである。
- イ:CRYPTREC暗号リストにある証明書失効リストとは、政府共用認証局が公開している、危殆化した暗号技術のリストである。
- ウ:CRYPTREC暗号リストにある推奨候補暗号リストとは、安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
- エ:CRYPTREC暗号リストにある電子政府推奨暗号リストとは、互換性維持目的に限った継続利用を推奨する暗号技術のリストである。
正解と解説
正解:ウ
- 結論:CRYPTREC暗号リストの「推奨候補暗号リスト」は安全性と実装性能が確認され、将来的に推奨リストに掲載される可能性がある暗号技術のリストです。
- 根拠:デジタル庁・総務省・経済産業省が策定したリストは、電子政府の暗号技術選定基準として安全性や実績を重視しています。
- 差がつくポイント:各リストの役割や意味を正確に理解し、「推奨候補」と「推奨」や「運用監視」などの違いを区別できることが重要です。
ネットワーク・マルウェア・脆弱性対応
このテーマで問われること
ネットワークと端末・機器を対象に、攻撃の入口を減らし、侵害の兆候に素早く対応する技術領域を扱う。ネットワーク分離や境界防御、機器のハードニング、通信の保護、マルウェア対策(検知・隔離・駆除・再発防止)、脆弱性情報の収集と評価、パッチ適用・緩和策・設定変更などの対応プロセスを理解することが重要である。運用制約を踏まえた優先順位付けや、影響評価に基づく判断が問われる。
出題の焦点
- ネットワーク機器のハードニングと設定管理
- セグメンテーションとアクセス制御
- マルウェア感染時の初動(隔離・封じ込め)
- 脆弱性情報の収集と評価(CVSS等)
- パッチ管理と緩和策(迂回策・設定変更)
- 影響評価に基づく優先度付け
問題 ― 令和3年秋期午前2 問11
ネットワークカメラなどのIoT機器ではTCP23番ポートへの攻撃が多い理由はどれか。
- ア:TCP23番ポートはIoT機器の操作用プロトコルで使用されており、そのプロトコルを用いると、初期パスワードを使った不正ログインが成功し、不正にIoT機器を操作できることが多いから
- イ:TCP23番ポートはIoT機器の操作用プロトコルで使用されており、そのプロトコルを用いると、マルウェアを添付した電子メールをIoT機器に送信するという攻撃ができることが多いから
- ウ:TCP23番ポートはIoT機器へのメール送信用プロトコルで使用されており、そのプロトコルを用いると、初期パスワードを使った不正ログインが成功し、不正にIoT機器を操作できることが多いから
- エ:TCP23番ポートはIoT機器へのメール送信用プロトコルで使用されており、そのプロトコルを用いると、マルウェアを添付した電子メールをIoT機器に送信するという攻撃ができることが多いから
正解と解説
正解:ア
- 結論:TCP23番ポートはTelnetプロトコルが使われ、初期パスワードを狙った不正ログインが多発しているため攻撃対象となりやすいです。
- 根拠:多くのIoT機器はTelnetを操作用に利用し、初期設定のまま放置されることが多く、攻撃者に狙われやすい環境ができています。
- 差がつくポイント:TCP23番ポートはメール送信用ではなくTelnet用であること、またマルウェア添付メール送信はTelnetの役割ではない点を正確に理解しましょう。
物理的セキュリティ管理・人的管理・サプライチェーン
このテーマで問われること
設備・人・取引関係といった非技術面を含め、組織全体の防御力を底上げする管理領域を扱う。入退室管理、媒体・端末の持出し、保管庫や監視カメラ等の物理対策に加え、教育・訓練、採用・異動・退職時の手続、内部不正の抑止と検知、職務分掌など人的統制が中心となる。さらに、委託先・ベンダ・サプライチェーンに対するセキュリティ要求、評価、契約条項、監督・是正までを含め、外部リスクを管理する力が問われる。
出題の焦点
- 入退室管理と物理ゾーニング
- 媒体・端末の持出し/保管/廃棄管理
- 教育・訓練とセキュリティ意識向上
- 内部不正対策(抑止・検知・対応)
- 委託先管理(評価・監督・是正)
- サプライチェーン要求の契約反映
問題 ― 平成27年春期午前2 問24
データセンタにおけるコールドアイルの説明として、適切なものはどれか。
- ア:IT機器の冷却を妨げる熱気をラックの前面(吸気面)に回り込ませないための板であり,IT機器がマウントされていないラックの空き部分に取り付ける。
- イ:寒冷な外気をデータセンタ内に直接導入してIT機器を冷却するときの、データセンタへの外気の吸い込み口である。
- ウ:空調機からの冷気とIT機器からの熱排気を分離するために、ラックの前面(吸気面)同士を対向配置したときの、ラックの前面同士に挟まれた冷気の通る部分である。
- エ:発熱量が多い特定の領域に対して、全体空調とは別に個別空調装置を設置するときの、個別空調用の冷媒を通すパイプである。
正解と解説
正解:ウ
- コールドアイルはラックの前面(吸気面)同士を向かい合わせに配置し、冷気の通路を確保する設計手法です。
- これにより、空調機からの冷気とIT機器の熱排気が混ざらず効率的な冷却が可能になります。
- 差がつくポイントは「ラックの前面同士を対向配置し冷気の通路を作る」という物理的配置の理解です。
情報セキュリティインシデント管理・証拠の収集及び分析
このテーマで問われること
インシデントに備えた体制整備から、発生後の評価・対応、証拠保全と分析までの一連を扱う。CSIRT等の役割分担、手順・連絡網、訓練、外部機関との連携を整え、事象発生時にはトリアージ(重要度判定、影響範囲推定)を行う。対応では封じ込め・根絶・復旧・再発防止を計画的に進め、証拠の収集・保全(チェーン・オブ・カストディ)とログ等の分析によって原因究明と説明責任を果たす力が問われる。
出題の焦点
- インシデント対応体制(CSIRT、役割分担)
- トリアージ(重要度・影響範囲の評価)
- 封じ込め・根絶・復旧の手順設計
- 関係者連絡と対外対応(報告・公表判断)
- 証拠保全とチェーン・オブ・カストディ
- ログ/端末/ネットワーク証跡の分析
問題 ― 令和5年春期午前2 問13
マルウェア感染の調査対象のPCに対して、電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち、最も優先して保全すべきものはどれか。
- ア:調査対象のPCで動的に追加されたルーティングテーブル
- イ:調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
- ウ:調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
- エ:調査対象のPCのシステムログファイル
正解と解説
正解:ア
- 結論:電源を切る前に最優先で保全すべきは「動的に追加されたルーティングテーブル」である。
- 根拠:ルーティングテーブルは揮発性メモリ上にあり、電源断で消失するため、即座に取得が必要。
- 差がつくポイント:揮発性情報と不揮発性情報の違いを理解し、消失リスクの高い情報から保全することが重要。
横断・複合領域
このテーマで問われること
技術・管理・法務・経営など複数領域をつなぎ、関係者と合意形成しながらセキュリティ施策を推進する力を扱う。経営層、利用部門、開発・運用、監査、法務、委託先など利害の異なる相手に対して、リスクと対策の必要性を分かりやすく説明し、要件・優先順位・責任分界を明確にすることが重要である。インシデント時の調整や平時の教育・周知も含め、コミュニケーションの設計と実践が問われる。
出題の焦点
- 利害関係者の整理と合意形成
- リスクの説明(影響・確率・優先度)
- 責任分界と役割定義(RACI等)
- 経営層への報告資料・説明の要点
- 平時の周知・教育と現場への浸透
- 対外関係者(委託先等)との調整
問題 ― 平成25年秋期午前2 問21
分散データベースシステムにおける“分割に対する透過性”を説明したものはどれか。
- ア:データの格納サイトが変更されても、利用者のアプリケーションや操作法に影響がないこと
- イ:同一のデータが複数のサイトに格納されていても、利用者はそれを意識せずに利用できること
- ウ:一つの表が複数のサイトに分割されて格納されていても、利用者はそれを意識せずに利用できること
- エ:利用者がデータベースの位置を意識せずに利用できること
正解と解説
正解:ウ
- 結論:分割に対する透過性とは、一つの表が複数のサイトに分割されていても利用者が意識せずに利用できる性質です。
- 根拠:分散データベースではデータを分割して複数の場所に配置することが多く、利用者の利便性を保つために透過性が求められます。
- 差がつくポイント:分割に対する透過性は「分割されたデータの統合的利用」に着目し、位置や複製の透過性と混同しないことが重要です。
攻略ポイント・学習アドバイス
- 午前Ⅰ・Ⅱは過去問演習を繰り返し、知識の定着を図る。特に午前Ⅱは専門用語や技術要素の正確な理解が不可欠。
- 午後の記述式問題は、長文の問題からセキュリティ上の課題や要求事項を正確に読み取り、具体的かつ論理的に解答を構成する能力が問われる。複数の出題テーマ(インシデント対応、セキュリティ設計、リスク分析、監査等)に対応できるよう、幅広い知識と深い洞察力を養う。
- 解答は、設問の意図を的確に捉え、簡潔かつ分かりやすく記述することを心掛ける。図や表を効果的に用いることも有効な場合がある。時間配分も重要なので、過去問演習で感覚を掴む。
- 最新のサイバー攻撃事例、脆弱性情報、法改正、セキュリティ技術動向(ゼロトラスト、SASE、AI活用セキュリティ等)を常にフォローし、自身の知識ベースを更新し続ける。
- IPA公式のシラバス、過去問題、採点講評を熟読し、出題傾向と評価のポイントを深く理解する。可能であれば、実務経験と関連付けて学習を進めると効果的。
関連リンク
情報処理安全確保支援士試験の難易度・合格率の推移
以下は年度ごとの受験者数・合格者数・合格率・合格者平均年齢の推移データです。合格率の傾向を把握し、学習計画の目安にしてください。
年度別 統計データ(表形式)
各年度ごとの合格率・平均年齢・合格者数などの推移です。
※ 表は横にスクロールできます
| 年度 | 受験申込者数(人) | 受験者数(人) | 合格者数(人) | 合格率(%) | 合格者平均年齢(才) |
|---|---|---|---|---|---|
| 2009 春期 | 25377 | 16094 | 2580 | 16.0 | 34.0 |
| 2009 秋期 | 26666 | 17980 | 3326 | 18.5 | 34.0 |
| 2010 春期 | 30296 | 19951 | 3045 | 15.3 | 34.2 |
| 2010 秋期 | 28989 | 19391 | 2759 | 14.2 | 33.4 |
| 2011 春期 | 30704 | 19445 | 2712 | 13.9 | 34.1 |
| 2011 秋期 | 26539 | 17753 | 2398 | 13.5 | 33.3 |
| 2012 春期 | 29756 | 19711 | 2707 | 13.7 | 34.2 |
| 2012 秋期 | 28188 | 19381 | 2700 | 13.9 | 33.5 |
| 2013 春期 | 28930 | 19013 | 2490 | 13.1 | 34.0 |
| 2013 秋期 | 27522 | 17892 | 2657 | 14.9 | 34.0 |
| 2014 春期 | 27246 | 17644 | 2543 | 14.4 | 33.6 |
| 2014 秋期 | 27735 | 18460 | 2528 | 13.7 | 33.2 |
| 2015 春期 | 27339 | 18052 | 2623 | 14.5 | 34.3 |
| 2015 秋期 | 28274 | 18930 | 3141 | 16.6 | 33.6 |
| 2016 春期 | 26864 | 18143 | 2988 | 16.5 | 34.1 |
| 2016 秋期 | 32492 | 22171 | 3004 | 13.5 | 34.4 |
| 2017 春期 | 25130 | 17266 | 2822 | 16.3 | 36.5 |
| 2017 秋期 | 23425 | 16218 | 2767 | 17.1 | 35.5 |
| 2018 春期 | 23180 | 15379 | 2596 | 16.9 | 35.3 |
| 2018 秋期 | 22447 | 15257 | 2818 | 18.5 | 36.8 |
| 2019 春期 | 22175 | 14556 | 2744 | 18.9 | 36.1 |
| 2019 秋期 | 21229 | 13964 | 2703 | 19.4 | 36.1 |
| 2020 秋期 | 16597 | 11597 | 2253 | 19.4 | 34.1 |
| 2021 春期 | 16273 | 10869 | 2306 | 21.2 | 35.9 |
| 2021 秋期 | 16354 | 11713 | 2359 | 20.1 | 34.8 |
| 2022 春期 | 16047 | 11117 | 2131 | 19.2 | 34.3 |
| 2022 秋期 | 18749 | 13161 | 2782 | 21.1 | 34.3 |
| 2023 春期 | 17265 | 12146 | 2394 | 19.7 | 34.2 |
| 2023 秋期 | 20432 | 14964 | 3284 | 21.9 | 34.8 |
| 2024 春期 | 19565 | 14342 | 2769 | 19.3 | 34.0 |
| 2024 秋期 | 24032 | 17324 | 2615 | 15.1 | 33.9 |
年度別 統計推移グラフ
各年度ごとの合格者数・受験者数・合格率・平均年齢の推移
合格者数

受験者数

合格率(%)

合格者平均年齢

