情報処理安全確保支援士試験 学習ガイド

情報処理安全確保支援士試験(略称 SC、英名 Registered Information Security Specialist Examination)は、独立行政法人情報処理推進機構(IPA)が実施する経済産業省管轄の国家試験です。情報処理技術者試験のなかで最上位のレベル 4(高度試験)に位置付けられ、IT 分野で唯一の<strong>国家資格を伴う情報セキュリティ試験</strong>として扱われています。 試験に合格して所定の登録手続きを行うと、『情報処理安全確保支援士』(通称『支援士』『登録セキスペ』)として国家資格者の資格簿に登録され、名称独占の有資格者となります。サイバーセキュリティ基本法に基づく数少ない国家資格であり、IT セキュリティ部門のリーダー候補・コンサルタント・監査人としてのキャリアアップを目指す人の到達点として位置付けられます。 想定される受験者像は、ネットワーク・Web・OS・暗号・認証の技術知識を体系的に持ち、企業・組織のセキュリティ施策を計画し他者に助言できるレベルの人材です。受験資格に学歴・年齢・実務経験の制限はなく、未経験者でも受験可能ですが、応用情報技術者試験(AP)合格相当の地力が前提となります。

受験資格に制限はありません。受験料は税込 7,500 円です。申込みは IPA 公式サイト(ipa.go.jp/shiken)から行い、利用者登録 → 受験申込み → 受験料支払い → 受験票の流れで完了します。 SC は<strong>年 2 回(春期 4 月・秋期 10 月)</strong>の<strong>ペーパー試験(PBT)</strong>で実施されます。FE や SG のような通年 CBT 化はまだ行われておらず、決められた試験日に全国の指定会場で受験する形式です。試験当日は本人確認書類と受験票が必要で、午前 I から午後までを通し受験します(免除制度あり、後述)。 合格発表は受験から 2 か月後で、合格者は所定の登録申請(登録手数料・登録免許税)を経て、はじめて『情報処理安全確保支援士』として名乗ることができます。合格自体に有効期限はありませんが、登録後は 1 年ごとのオンライン講習と 3 年ごとの実践講習が義務付けられている点に注意してください(後述の『登録・更新制度』を参照)。

SC の試験構成は、午前 I(50 分・30 問・多肢選択)、午前 II(40 分・25 問・多肢選択)、午後(150 分・記述式)の 3 区分です。令和 5 年度までは午後 I・午後 II の 2 部構成でしたが、<strong>令和 6 年度から午後区分は 1 つに統合</strong>され、150 分で 3 問選択(出題は 4 問)の記述式となりました。 午前 I: 応用情報技術者試験レベルの基礎問題で、テクノロジ系・マネジメント系・ストラテジ系が幅広く問われます。<strong>免除制度</strong>があり、応用情報技術者試験(AP)合格者、または高度試験のいずれか(SC・NW・DB・ES・SA・ST・SM・PM・AU)の合格者は、合格証明の有効期間(2 年間)に限り午前 I が免除されます。 午前 II: SC 専門知識を問う四肢択一で、情報セキュリティ・ネットワーク・データベース・システム開発・サービスマネジメント等が出題されます。情報セキュリティ分野が約 6 割を占めます。 午後: 長文ケーススタディの記述式問題で、Web アプリケーション、ネットワーク基盤、OS・サーバ、認証・暗号、インシデント対応、セキュリティマネジメントなどの実装・設計・運用シナリオが扱われます。具体的な攻撃手口や対策、ログ解析、設定の不備を読み取って原因と是正策を記述する出題が中心です。

合格基準は、午前 I・午前 II・午後の<strong>すべての区分で 100 点満点中 60 点以上</strong>です。1 区分でも 60 点未満があると不合格となるため、苦手区分を作らず全体をまんべんなく仕上げる学習設計が必要です。 合格率は例年 17〜21% 前後で推移しており、高度試験のなかでは比較的高めの数値です。受験者層の母集団に AP 合格レベルの実力者が多いことが背景で、設問の難易度が低いわけではありません。 受験者の学習動機としては、(1) セキュリティ部門・SOC・CSIRT・脆弱性診断ベンダー等での実務でのキャリアアップ、(2) 個人情報保護や ISO/IEC 27001 関連の組織内整備、(3) サイバーセキュリティ基本法に紐づく公的な役割への就任、(4) 高度試験全体の登竜門としての位置付け、が代表的です。

標準的な学習時間は、応用情報技術者試験(AP)に合格済みの場合で <strong>150〜250 時間</strong>、AP 未取得・実務経験 1〜2 年程度の場合は <strong>250〜400 時間</strong> が目安です。1 日 1.5 時間ペースなら 4〜6 か月、1 日 2.5 時間ペースなら 2〜4 か月が現実的なレンジになります。 学習の段階は、(1) 参考書または専門書でセキュリティ技術・管理・法規の全体像を 1 周通読(3〜4 週間)、(2) 午前 II の過去問を回して頻出論点を体得(4〜6 週間)、(3) 午後問題のケーススタディを 1 問あたり 30〜45 分かけて解いて記述に慣れる(4〜8 週間)、(4) 直近 3〜4 回の本試験を時間計測で通し演習(2 週間) というサイクルが定番です。 午後対策は単なる暗記ではなく『どこに着眼して何を書くか』の訓練が必要です。模範解答を読み込み、設問のキーワード(構成図・通信フロー・コマンドオプション・ログの該当行)を起点に解答を構成する手順を身につけてください。

Web セキュリティ: SQL インジェクション、クロスサイトスクリプティング、CSRF、セッション固定、ディレクトリトラバーサル、安全でない直接オブジェクト参照などの代表的な攻撃と対策を、HTTP リクエスト/レスポンスのレベルで言語化できるようにします。OWASP Top 10 の項目ごとに『脆弱性 → 攻撃シナリオ → 対策(セキュアコーディング・WAF・設定変更)』を整理しておくと、午後の記述で根拠を素早く書けるようになります。 ネットワークセキュリティ: TLS のハンドシェイク、IPsec、VPN、ファイアウォール、IDS / IPS、ゼロトラスト、DNS のキャッシュポイズニングと DNSSEC、メールの SPF / DKIM / DMARC など。プロトコルの仕様と、攻撃の前提・成立条件・防御策を対にして覚えてください。 認証・暗号・PKI: 公開鍵暗号、ハッシュ、デジタル署名、X.509 証明書、相互 TLS、シングルサインオン、多要素認証、OAuth 2.0 / OpenID Connect、FIDO2 / WebAuthn。証明書チェーンの検証手順や、共通鍵を安全に配送するための鍵交換プロトコルが頻出です。 セキュリティマネジメント: ISMS(JIS Q 27001)、リスクアセスメント、CSIRT、SOC、脆弱性管理、インシデントレスポンスのフェーズ(検知 → 封じ込め → 根絶 → 復旧 → 学習)、サプライチェーン管理、教育・訓練、内部監査。フレームワークの構造を絵で描けるようにしておくと、午後の記述が安定します。 関連法令: サイバーセキュリティ基本法、個人情報保護法、不正アクセス禁止法、刑法の電子計算機関連条文、不正競争防止法、電子署名法、マイナンバー法。各法律が『何を守るためのものか/何を禁じているか』を 1 行で要約できる状態を目標にしてください。

合格.dev の SC は、現在『試験概要・受験動線・学習ガイド・分野別攻略』の独自編集情報を先行公開しています。午前 II の過去問演習データと iOS アプリは現在準備中で、整備が完了次第このページからアクセスできるようになります。 学習ガイドと FAQ は、本サイトの編集部が IPA 公表資料・公式シラバスと、実際の試験問題の傾向を踏まえて独自に書き起こした二次著作物です。生成 AI による下書きは補助として用いる場合がありますが、最終的な公開コンテンツは人手で校正しています。 本ガイドを足がかりに、参考書・専門書での学習計画を立てつつ、過去問データの公開を待っていただければと思います。並行して、関連する情報セキュリティマネジメント試験(SG)や応用情報技術者試験(AP)の過去問演習を本サイトで進めることで、午前 I / 午前 II の知識基盤を厚くできます。

SC 試験に合格しただけでは『情報処理安全確保支援士』を名乗ることはできず、所定の登録手続きを経てはじめて国家資格者として活動できます。登録には登録手数料(10,700 円)と登録免許税(9,000 円)が必要で、合格証明書・履歴書・誓約書等を IPA に提出します。 登録後は、<strong>毎年 1 回のオンライン講習(約 20,000 円)</strong>と、<strong>3 年に 1 回の実践講習(約 80,000 円・集合形式)</strong>の受講が義務付けられています。これらを 3 年サイクルで完了しないと、登録が抹消され名称を使用できなくなる点に注意してください。 更新コストが大きいため、合格後に登録するかどうかは、自身のキャリアプラン(セキュリティコンサル・脆弱性診断・公共セクター業務など)と費用対効果を踏まえて判断するとよいでしょう。なお、合格自体は登録の有無に関係なく一生有効です。免除対象になる『高度試験合格』としても利用できます。

本ガイドの内容についてさらに細かい疑問は SC の FAQ を参照してください。情報セキュリティ分野の基礎から固めたい方は、情報セキュリティマネジメント試験(SG)、午前 I の免除を取りたい方は応用情報技術者試験(AP)のページもあわせてご利用ください。SC の過去問演習および iOS アプリは現在準備中です。整備が完了次第このページから案内します。