受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
個人や組織が安全で効果的なITの活用を進めるためには、IT業界やIT職種に限らず、ITを利用する側のすべての人々がITや情報セキュリティに関する知識を持つことが必要です。また、デジタルトランスフォーメーション(DX)の進展に伴い、ITやセキュリティに関する専門知識や業務経験がない人々にとっても、企業内外でセキュリティの専門人材と協力する機会が増加しています。このような協力関係を築くためにも、ITや情報セキュリティに関する知識を習得しておくことが望まれます。従業員一人一人にITや情報セキュリティの知識を身につけてもらうための有効な手段の一つが、情報処理技術者試験の受験です。情報処理技術者試験に合格するには、ITリテラシーおよび情報セキュリティに関する基礎知識を習得する必要があるからです。組織全体で従業員一人一人のセキュリティ意識を高めることは、組織の安全な運営に不可欠です。また、組織内のセキュリティ専門人材不足の問題の解消にも役立ちます。まずは情報処理技術者試験の全体像を紹介します。
図100. ITヒューマンスキル概念図
(出典) IPA「情報処理技術者試験・情報処理安全確保支援士試験 試験要綱」をもとに作成
各試験の出題分野の全体像を以下の表に示します。
※ITパスポート試験については、「23-1-1. ITソフトウェア領域」を参照してください。
| 試験区分
出題分野 |
情報セキュリティマネジメント試験(参考) | 基本情報技術者試験(科目A) | >応用情報技術者 | 高度試験・支援士試験 | |||
| 午前Ⅰ(共通知識) | 午前Ⅱ(専門知識) | ||||||
| 情報処理安全確保支援士試験 | |||||||
| テクノロジー系 | 基礎理論 | 基礎理論 | 〇2 | 〇3 | 〇3 | ||
| アルゴリズムとプログラミング | |||||||
| コンピュータシステム | コンピュータ構成要素 | ||||||
| システム構成要素 | 〇2 | ||||||
| ソフトウェア | |||||||
| ハードウェア | |||||||
| 技術要素 | ユーザーインターフェース | ||||||
| 情報メディア | |||||||
| データベース | 〇2 | 〇3 | |||||
| ネットワーク | 〇2 | ◎4 | |||||
| セキュリティ | ◎2 | ◎2 | ◎3 | ◎3 | ◎4 | ||
| 開発技術 | システム開発技術 | 〇2 | 〇3 | 〇3 | 〇3 | ||
| ソフトウェア開発管理技術 | 〇3 | ||||||
| マネジメント系 | プロジェクトマネジメント | プロジェクトマネジメント | 〇2 | ||||
| サービスマネジメント | サービスマネジメント | 〇2 | 〇3 | ||||
| システム監査 | 〇2 | 〇3 | |||||
| ストラテジ系 | システム戦略 | システム戦略 | 〇2 | ||||
| システム企画 | 〇2 | ||||||
| 経営戦略 | 経営戦略マネジメント | ||||||
| 技術戦略マネジメント | |||||||
| ビジネスインダストリ | |||||||
| 企業と法務 | 企業活動 | 〇2 | |||||
| 法務 | ◎2 | ||||||
注記1:○は出題範囲であることを、◎は出題範囲のうちの重点分野であることを表す。
注記2:2、3、4は技術レベルを表し、4が最も高度で、上位は下位を包含する。
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
上記の表の「セキュリティ」分野の内容を詳細に説明します。
| 大分類 | 中分類 | 小分類 | 知識項目例 |
| 技術要素 | セキュリティ | 情報セキュリティ | 情報の機密性・完全性・可用性、多層防御、脅威、マルウェア・不正プログラム、脆弱性、不正のメカニズム、攻撃者の種類・動機、サイバー攻撃(SQLインジェクション、クロスサイトスクリプティング、DoS攻撃、フィッシング、パスワードリスト攻撃、標的型攻撃、AIを悪用した攻撃ほか)、暗号技術(共通鍵、公開鍵、秘密鍵、RSA、AES、ハイブリッド暗号、ハッシュ関数ほか)、認証技術(デジタル署名、メッセージ認証、タイムスタンプほか)、利用者認証(利用者ID・パスワード、多要素認証、パスワードレス認証、アイデンティティ連携(OpenID、SAML)ほか)、生体認証技術、公開鍵基盤(PKI、認証局、デジタル証明書ほか)、政府認証基盤(GPKI、ブリッジ認証局ほか)など |
| 情報セキュリティ管理 | 情報資産とリスクの概要、情報資産の調査・分類、リスクの種類、情報セキュリティリスクアセスメントおよびリスク対応、情報セキュリティ継続、情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程)、ISMS、情報セキュリティ管理策(組織的管理策、人的管理策、物理的管理策、技術的管理策)、情報セキュリティ組織・機関(CSIRT、SOC(Security Operation Center)、エシカルハッカーほか)、コンピュータ不正アクセス対策基準、コンピュータウイルス対策基準、PCI DSSなど | ||
| セキュリティ技術評価 | ISO/IEC 15408(コモンクライテリア)、JISEC(ITセキュリティ評価および認証制度)、JCMVP(暗号モジュール試験および認証制度)、CVSS、脆弱性検査、ペネトレーションテストなど | ||
| 情報セキュリティ対策 | 情報セキュリティ啓発(教育、訓練ほか)、組織における内部不正防止ガイドライン、マルウェア・不正プログラム対策、ランサムウェア対策、不正アクセス対策、情報漏えい対策、アカウント管理、ログ管理、脆弱性管理、入退室管理、アクセス制御、侵入検知/侵入防止、検疫ネットワーク、携帯端末(携帯電話、スマートフォン、タブレット端末ほか)のセキュリティ、クラウドサービスのセキュリティ、IoTのセキュリティ、AIを使ったセキュリティ技術、AIそのものを守るセキュリティ技術、セキュリティ製品・サービス(ファイアウォール、WAF、DLP、SIEMほか)、デジタルフォレンジックスなど | ||
| セキュリティ実装技術 | セキュアプロトコル(IPsec、SSL/TLS、SSH、WPA3ほか)、認証・認可技術(SPF、DKIM、SMTP-AUTH、OAuth、DNSSECほか)、セキュアOS、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティ、コンテナセキュリティ、セキュアプログラミングなど |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
| 詳細理解のため参考となる文献(参考文献) | |
| IPA 試験要綱・シラバスについて | https://www.ipa.go.jp/shiken/syllabus/gaiyou.html |
| 情報処理技術者試験 情報処理安全確保支援士試験 試験要綱 | https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014lt-att/youkou_ver5_3.pdf |
セキュリティに関する知識やスキルを身につけるためには、以下の試験が推奨されます。
● ITパスポート
● 情報セキュリティマネジメント試験
● 基本情報技術者試験
● 応用情報技術者試験
● 情報処理安全確保支援士試験
上記の試験に焦点を当て、各試験について説明します。
※ITパスポート試験については、「23-1-1. ITソフトウェア領域」を参照してください。
| 対象者 | 情報システムの利用部門にあって、情報セキュリティリーダーとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内諸規程)の目的・内容を適切に理解し、情報および情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者。 |
| 業務と役割 | 情報システムの利用部門において情報セキュリティが確保された状況を実現し、維持・改善するために、次の業務と役割を果たします。
① 部門における情報資産の情報セキュリティを維持するために必要な業務を遂行します。 ② 部門の情報資産を特定し、情報セキュリティリスクアセスメントを行い、リスク対応策をまとめます。 ③ 部門の情報資産に関する情報セキュリティ対策および情報セキュリティ継続の要求事項を明確にします。 ④ 部門の業務のIT活用推進に伴う情報システムの調達に際して、利用部門として必要となる情報セキュリティ要求事項を明確にする。また、IT活用推進の一部を利用部門が自ら実現する活動の中で、必要な情報セキュリティ要求事項を提示します。 ⑤ 業務の外部委託に際して、情報セキュリティ対策の要求事項を契約で明確化し、その実施状況を確認します。 ⑥ 部門の情報システムの利用時における情報セキュリティを確保します。 ⑦ 部門のメンバーの情報セキュリティ意識、コンプライアンスを向上させ、内部不正などの情報セキュリティインシデントの発生を未然に防止します。 ⑧ 情報セキュリティインシデントの発生またはそのおそれがあるときに、情報セキュリティ諸規程、法令・ガイドライン・規格などに基づいて、適切に対処します。 ⑨ 部門または組織全体における情報セキュリティに関する意見・問題点について担当部署に提起します。 |
| 活用方法 | ① 部門の情報セキュリティマネジメントの一部を独力で遂行できます。
② 情報セキュリティインシデントの発生またはそのおそれがあるときに、情報セキュリティリーダーとして適切に対処できます。 ③ IT全般に関する基本的な用語・内容を理解できます。 ④ 情報セキュリティ技術や情報セキュリティ諸規程に関する基本的な知識を持ち、部門の情報セキュリティ対策の一部を独力で、または上位者の指導の下に実現できます。 ⑤ 情報セキュリティ機関、他の企業などから動向や事例を収集し、部門の環境への適用の必要性を評価できます。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
| 対象者 | ITを活用したサービス、製品、システムおよびソフトウェアを作る人材に必要な基本的知識・技能を持ち、実践的な活用能力を身につけた者。 |
| 業務と役割 | 上位者の指導の下に、次のいずれかの役割を果たします。
① 組織および社会の課題に対する、ITを活用した戦略の立案、システムの企画・要件定義に参加します。 ② システムの設計・開発、汎用製品の最適組み合わせ(インテグレーション)によって、利用者にとって価値の高いシステムを構築します。 ③ サービスの安定的な運用の実現に貢献します。 |
| 活用方法 | ① IT全般に関する基本的な事項を理解し、担当する活動に活用できます。
② 上位者の指導の下に、IT戦略に関する予測・分析・評価に参加できます。 ③ 上位者の指導の下に、システムまたはサービスの提案活動に参加できます。 ④ 上位者の指導の下に、システムの企画・要件定義に参加できます。 ⑤ 上位者の指導の下に、情報セキュリティの確保を考慮して、システムの設計・開発・運用ができます。 ⑥ 上位者の指導の下に、ソフトウェアを設計できます。 ⑦ 上位者の方針を理解し、自らプログラムを作成できます。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
| 対象者 | ITを活用したサービス、製品、システムおよびソフトウェアを作る人材に必要な応用的知識・技能を持ち、高度IT人材としての方向性を確立した者。 |
| 業務と役割 | 独力で次のいずれかの役割を果たします。
① 組織および社会の課題に対する、ITを活用した戦略の立案、システムの企画・要件定義を行います。 ② システムの設計・開発、汎用製品の最適組み合わせ(インテグレーション)によって、利用者にとって価値の高いシステムを構築します。 ③ サービスの安定的な運用を実現します。 |
| 活用方法 | ① 経営戦略・IT戦略の策定に際して、経営者の方針を理解し、経営を取り巻く外部環境を正確に捉え、動向や事例を収集できます。
② 経営戦略・IT戦略の評価に際して、定められたモニタリング指標に基づき、差異分析などを行うことができます。 ③ システムまたはサービスの提案活動に際して、提案討議に参加し、提案書の一部を作成できます。 ④ システムの企画・要件定義、アーキテクチャの設計において、システムに対する要求を整理し、適用できる技術の調査が行うことができます。 ⑤ 運用管理チーム、オペレーションチーム、サービスデスクチームなどのメンバーとして、担当分野におけるサービス提供と安定稼動の確保が行うことができます。 ⑥ プロジェクトメンバーとして、プロジェクトマネージャ(リーダー)の下でスコープ、予算、工程、品質などの管理ができます。 ⑦ 情報システム、ネットワーク、データベース、組込みシステムなどの設計・開発・運用・保守において、上位者の方針を理解し、自ら技術的問題を解決できます。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
各分野スペシャリスト試験については、概要を説明します。
ITストラテジスト試験(ST)
| 対象者 | 高度IT人材として確立した専門分野を持ち、企業の経営戦略に基づいて、ビジネスモデルや企業活動における特定のプロセスについて、情報技術(IT)を活用して事業を改革・高度化・最適化するための基本戦略を策定・提案・推進する者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
ITストラテジスト試験は、経営戦略に基づいてIT戦略を策定し、ITを高度に活用した事業革新、業務改革、および競争優位を獲得する製品・サービスの創出を企画・推進して、ビジネスを成功に導くCIOやCTO、ITコンサルタントを目指す方に最適な試験です。
システムアーキテクト試験(SA)
| 対象者 | 高度IT人材として確立した専門分野を持ち、ITストラテジストからの提案を受けて、情報システムを利用したシステムの開発に必要となる要件を定義し、それを実現するためのアーキテクチャを設計し、開発を主導する者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
システムアーキテクト試験は、システム開発の上流工程を主導する立場で、豊富な業務知識に基づいて的確な分析を行い、業務ニーズに適した情報システムのグランドデザインを設計し完成に導く、上級エンジニアを目指す方に最適な試験です。
プロジェクトマネージャ試験(PM)
| 対象者 | 高度IT人材として確立した専門分野を持ち、組織の戦略の実現に寄与することを目的とするシステム開発プロジェクトにおいて、プロジェクトの目的の実現に向けて責任を持ってプロジェクトマネジメント業務を単独でまたはチームの一員として担う者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
プロジェクトマネージャ試験は、プロジェクトを取り巻く環境変化やステークホルダの多様な要求に柔軟に対応しながら、プロジェクトを確実に成功に導くマネージャを目指す方に最適な試験です。
ネットワークスペシャリスト試験(NW)
| 対象者 | 高度IT人材として確立した専門分野を持ち、ネットワークに関係する固有技術を活用し、最適な情報システム基盤の企画・要件定義・開発・運用・保守において中心的な役割を果たすとともに、固有技術の専門家として、情報セキュリティを含む情報システムの企画・要件定義・開発・運用・保守への技術支援を行う者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
ネットワークスペシャリスト試験は、ネットワークの固有技術からサービス動向まで幅広く精通し、目的に適合した大規模かつ堅牢なネットワークシステムを構築し運用できるネットワークエンジニアやインフラ系エンジニアを目指す方に最適な試験です。
データベーススペシャリスト試験(DB)
| 対象者 | 高度IT人材として確立した専門分野を持ち、データベースに関係する固有技術を活用し、最適な情報システム基盤の企画・要件定義・開発・運用・保守において中心的な役割を果たすとともに、固有技術の専門家として、情報システムの企画・要件定義・開発・運用・保守への技術支援を行う者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
データベーススペシャリスト試験は、企業活動を支える膨大なデータ群を管理し、パフォーマンスの高いデータベースシステムを構築して、顧客のビジネスに活用できるデータ分析基盤を提供するデータベース管理者やインフラ系エンジニアを目指す方に最適な試験です。
エンベデッドシステムスペシャリスト試験(ES)
| 対象者 | 高度IT人材として確立した専門分野を持ち、IoTを含む組込みシステムの開発に関係する広い知識や技能を活用して、市場動向・関連業界の動向を踏まえて最適な組込みシステムの事業戦略や製品戦略を策定し、ハードウェアとソフトウェアの要求仕様の策定、および要求仕様に基づいた組込みシステムの設計・構築・製造を主導的に行う者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
エンベデッドシステムスペシャリスト試験は、スマート家電、自動運転などあらゆるモノがつながるIoTが進展する中で、新たな機能を実現するために、ハードウェアとソフトウェアを適切に組み合わせたシステムの企画・開発を推進し、必要な機能・性能・品質・セキュリティなどを確保する、組込み・IoT系のフルスタックエンジニアを目指す方に最適な試験です。
ITサービスマネージャ試験(SM)
| 対象者 | 高度IT人材として確立した専門分野を持ち、サービスの要求事項を満たし、サービスの計画立案、設計、移行、提供および改善のための組織の活動および資源を、指揮し、管理する者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
ITサービスマネージャ試験は、顧客ニーズを踏まえ、日々の継続的改善を通じて安全性と信頼性の高いITサービスを最適なコストで安定的に提供し、IT投資効果を最大化できるITサービスマネージャを目指す方に最適な試験です。
システム監査技術者試験(AU)
| 対象者 | 高度IT人材として確立した専門分野を持ち、高い倫理観の下、監査対象から独立かつ客観的な立場で、情報システムや組込みシステムを総合的に検証・評価して、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性などに対する保証を与える、または改善のための助言を行う者。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成
システム監査技術者試験は、情報システムに係るリスクを分析し、コントロールを評価・検証することによって、組織体の目標達成に寄与し、利害関係者に対する説明責任を果たす監査人や情報システム責任者などを目指す方に最適な試験です。
| 対象者 | サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者。 |
| 業務と役割 | 情報セキュリティマネジメントに関する業務、情報システムの企画・設計・開発・運用におけるセキュリティ確保に関する業務、情報および情報システムの利用におけるセキュリティ対策の適用に関する業務、情報セキュリティインシデント管理に関する業務に従事し、次の役割を主導的に果たすとともに、下位者を指導します。
① 情報セキュリティ方針および情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の策定、情報セキュリティリスクアセスメントおよびリスク対応などを推進または支援します。 ② システム調達(製品・サービスのセキュアな導入を含む)、システム開発(セキュリティ機能の実装を含む)を、セキュリティの観点から推進または支援します。 ③ 暗号利用、マルウェア対策、脆弱性への対応など、情報および情報システムの利用におけるセキュリティ対策の適用を推進または支援します。 ④ 情報セキュリティインシデントの管理体制の構築、情報セキュリティインシデントへの対応などを推進または支援します。 |
| 活用方法 | ① 情報システムおよび情報システム基盤の脅威分析に関する知識を持ち、セキュリティ要件を抽出できます。
② 情報セキュリティの動向・事例、およびセキュリティ対策に関する知識を持ち、セキュリティ対策を対象システムに適用するとともに、その効果を評価できます。 ③ 情報セキュリティマネジメントシステム、情報セキュリティリスクアセスメントおよびリスク対応に関する知識を持ち、情報セキュリティマネジメントについて指導・助言できます。 ④ ネットワーク、データベースに関する知識を持ち、暗号、認証、フィルタリング、ロギングなどの要素技術を適用できます。 ⑤ システム開発、品質管理などに関する知識を持ち、それらの業務について、セキュリティの観点から指導・助言できます。 ⑥ 情報セキュリティ方針および情報セキュリティ諸規程の策定、内部不正の防止に関する知識を持ち、情報セキュリティに関する従業員の教育・訓練などについて指導・助言できます。 ⑦ 情報セキュリティ関連の法的要求事項、情報セキュリティインシデント発生時の証拠の収集および分析、情報セキュリティ監査に関する知識を持ち、それらに関連する業務を他の専門家と協力しながら遂行できます。 |
(出典) IPA「情報処理技術者試験 情報処理安全確保支援士 試験要綱」をもとに作成