【エンジニア向け版】【2025-2026年版】情報セキュリティマネジメント試験・科目Bを完全攻略｜最新シラバス4.1対応

概要

2023年4月の大幅な試験制度改訂により、従来の「午前・午後」の区分から「科目A・科目B」へと統合され、試験時間や出題形式が抜本的に見直された。特に科目Bは、従来の午後試験が持っていた「実務における情報セキュリティ管理の実践力」を問う性質を継承しつつも、120分という限られた総時間の中で科目A（48問）と並行して解き進める必要があり、受験者には高度なタイムマネジメントと迅速な状況判断能力が求められている。本報告書では、2025年及び2026年の最新シラバス（Ver.4.1）に基づき、科目Bで出題される内容の精緻な分析、ケーススタディを突破するための具体的思考プロセス、そして最新の脅威トレンドを踏まえた学習戦略を包括的に提示する。

科目B試験の構造と評価メカニズムの再定義

試験形式の変遷と現在の位置付け

2023年4月以降、SG試験はCBT（Computer Based Testing）方式へと完全移行し、年間を通じて受験が可能となった。この変更に伴い、科目Aと科目Bは一つの試験枠（120分）として提供され、両科目の合計得点によって合否が判定される。

評価項目	詳細仕様
試験時間	120分（科目A・科目B合計）
出題数（科目A）	48問（四肢択一の小問形式）
出題数（科目B）	12問（多肢選択式のケーススタディ形式）
合計解答数	60問（全問必須）
合格基準	1,000点満点中600点以上（科目A・B合算）
採点方式	IRT（Item Response Theory：項目応答理論）方式

IRT方式の導入は、試験結果の平準化を目的としている。これにより、問題の難易度に関わらず、受験者の真の能力がスコアに反映されるようになる。科目Bにおいては、比較的長い問題文を読み解く必要があるため、IRT方式の下では「多くの受験者が正解する標準的な問題を確実に得点する」ことが、合格スコアを安定させるための極めて重要な戦略となる。

科目Bの出題領域と期待される役割

科目Bでは、IPAが定めるシラバスに基づき、以下の5つの具体的取組みが中心的なテーマとして扱われる。

1. 情報資産管理: 組織が保有する情報の機密性、完全性、可用性を維持するための識別と分類。
2. リスクアセスメント: 脅威と脆弱性を分析し、組織が許容できるリスクの範囲を決定するプロセス。
3. IT利用における情報セキュリティ確保: クラウドサービス、テレワーク、モバイルデバイス、AIの利用に伴う技術的・組織的対策。
4. 委託先管理: サプライチェーンを構成する外部ベンダーやサービスプロバイダに対する適切な評価と契約管理。
5. 情報セキュリティ教育・訓練: 従業員のセキュリティリテラシー向上と、インシデント発生時の初動対応能力の強化。

これらの領域は、実際の業務シナリオに即して出題されるため、受験者は「自らが組織のセキュリティ担当者または部門責任者である」という当事者意識を持って問題に取り組むことが求められる。

最新シラバス（Ver.4.1）における重点変更項目

法的フレームワークの刷新：情報流通プラットフォーム対処法

Ver.4.1における最も象徴的な変更は、「プロバイダ責任制限法」の削除と、その後継となる「情報流通プラットフォーム対処法」の追加である。この法律は、SNSや掲示板などの大規模プラットフォーム上での誹謗中傷や権利侵害に対し、事業者がより迅速かつ透明性の高い対応を行うことを目的としている。

項目	旧：プロバイダ責任制限法	新：情報流通プラットフォーム対処法
主要目的	プロバイダ等の免責要件の明確化	被害者の迅速な救済と運用の透明化
事業者の義務	任意の削除対応が主	申出から7日以内の判断、運用の公表義務
対象範囲	ネット全般の仲介業者	特に大規模プラットフォーム事業者を重視

科目Bのシナリオにおいては、企業が運営するコミュニティサイトや社内SNSにおける不適切な書き込みに対する管理責任や、法に基づく開示請求の手順などが、実務的な判断を伴う問題として出題される可能性が高い。

ISMS国際規格（ISO/IEC 27001:2022）の完全反映

情報セキュリティマネジメントの根幹をなすISMS規格が2022年に改訂されたことに伴い、国内規格であるJIS Q 27001:2023への対応が試験内容にも浸透している。管理策の構成が「組織的」「人的」「物理的」「技術的」の4つのカテゴリに再編され、特に以下の新規管理策に関連する実務シナリオが科目Bの重要テーマとなっている。

• 脅威インテリジェンス（5.7）: 外部の脅威に関する情報を収集・分析し、先回りして対策を講じる能力。
• クラウドサービス利用における情報セキュリティ（5.23）: クラウド事業者の選定、責任分界点の明確化、サービス終了時のデータ処理。
• 情報の削除（8.10）: 保有期限を過ぎた情報の確実な破棄。
• データマスキング（8.11）: テスト環境や外部共有時における機微情報の非表示化。
• データ漏えいの防止（8.12）: 内部不正や設定ミスによる情報の認可されていない開示の検出。

最新技術トレンドとサイバー攻撃の高度化

科目Bの問題文には、昨今のサイバー攻撃の実態を反映した用語や状況設定が頻出する。これらは、単に用語を知っているだけでなく、その「機序」を理解していることが正解への鍵となる。

• サプライチェーン攻撃の深化: ターゲット企業に直接侵入するのではなく、セキュリティの脆弱な関連会社や、使用しているソフトウェアライブラリ（OSS等）を足掛かりにする攻撃。これに関連してSBOM（ソフトウェア部品表）の管理が注目されている。
• ランサムウェア2.0（二重脅迫）: データの暗号化だけでなく、窃取した情報の公開を盾に金銭を要求する手口。これに伴い、バックアップの「3-2-1ルール」の重要性が増している。
• ビジネスメール詐欺（BEC）: 経営層や取引先になりすまし、巧妙な偽メールで送金を指示する。科目Bでは、メールの真正性を確認するためのSPF、DKIM、DMARCといった技術的対策と、人的なダブルチェックの組み合わせが問われる。
• AIの安全利活用: 生成AIの利用におけるプロンプトインジェクション（悪意ある入力による情報抽出）や、ハルシネーション（誤情報の生成）による意思決定のリスク。

科目B問題の具体的分析と解答プロセスの構築

ケーススタディの構成要素と読解法

多くの科目B問題は、以下の4つのセグメントで構成される。

1. 組織概要と環境: 業種、従業員数、利用しているITサービス（クラウド、テレワーク等）。
2. 規程・ルール: 情報セキュリティ方針、ガイドライン、対応マニュアル。
3. 発生した事象・実態: 実施した訓練の結果、発見された脆弱性、発生したインシデントの経緯。
4. 設問: ルールの不備指摘、事象に対する適切な処置、今後の改善策の選択。

受験者は、まず設問を先読みし、「何を探すべきか」を明確にした状態で本文（特に表や図）をスキャンすべきである。

実践的ケース1：標的型攻撃メールへの対応訓練

IPAのサンプル問題でも扱われているこのテーマは、組織の人的セキュリティ対策の典型例である。

• シナリオ: 従業員が不審なメールを受信した際、周囲への注意喚起のためにメールを転送してしまった。しかし、組織のルールでは「不審メールはそのままシステム部に報告する」と定められていたとする。
• 分析の視点: 「善意の行動」が「二次被害」を生む可能性に着目する。メールに添付されたマルウェアが、転送された先々で感染を広げるリスクを考慮しなければならない。
• 導き出される解決策: 注意喚起は個人が行うのではなく、集約された情報を基に専門部署が一括して、かつ安全な手段で行うべきであるという論理構成が正解となる。

実践的ケース2：脆弱性管理と適合性評価

表形式で示される「点検項目」と、実際の「運用記録」を照合させる問題は、正確な事務処理能力と規格への理解が問われる。

• シナリオ: 脆弱性診断を「年1回」かつ「重大な機能追加時」に実施すると定めている企業において、8月に新機能を追加したが、6月の定期診断のみで済ませていた場合。
• 分析の視点: 時間軸（カレンダー）を意識し、ルールのトリガー（条件）が引かれた瞬間に、対応するアクション（診断）が実行されているかを確認する。
• 正解への論理: 6月の定期診断は8月の機能追加をカバーしていないため、この事象は「不適合」と判断される。このように、論理的な矛盾を突くことが解法のポイントである。

実践的ケース3：マルウェア感染疑い時のテクニカル判断

インシデント発生時の初動対応は、スピードと正確性が求められるため、試験においても頻出する。

• シナリオ: 従業員のPCからC&Cサーバへの不審な通信が検知された。また、二要素認証の承認リクエストがスマホに届いた。
• 分析の視点: 攻撃のフェーズ（段階）を識別する。二要素認証の通知が来たということは、既に「ID・パスワード」が窃取されていることを意味する。
• 適切な指示の組み合わせ:
  • ネットワーク隔離: さらなる情報の流出と内部感染拡大を防ぐ。
  • 認証情報の無効化・変更: 窃取されたパスワードを使えないようにする。
  • ログの保存とフォレンジック: 証拠となるデータをハッシュ値等で保護しつつ保全する。

戦略的なタイムマネジメントと解き方のテクニック

理想的な時間配分モデル

セクション	解答目標時間	1問あたりの許容時間
科目A（48問）	40〜50分	約1分（知識で即答）
科目B（12問）	70〜80分	約6分（精読と分析）

科目Aは、過去問演習を通じて「見た瞬間に答えがわかる」レベルまで習熟しておくことが前提となる。これにより、科目Bで遭遇する初見のケーススタディに対し、十分な読解時間を割り当てることが可能になる。

多肢選択式問題（選択肢4〜10個）の攻略法

科目Bでは選択肢の数が非常に多い問題が存在するが、これらは「組み合わせ問題」であることが多い。

• 消去法の徹底: 「明らかに不適切な行動」が含まれる選択肢をまず排除する。例えば、「感染したPCでそのまま業務を継続させる」「バックアップデータを感染元のネットワークに接続したままにする」などの選択肢は即座に消去できる。
• 部分的な正解の確定: 複数の対策の組み合わせを問う設問では、まず確信が持てる一つの対策（例：パスワードの変更）に注目し、それが含まれていない選択肢を削ることで、候補を絞り込む。

IRT方式を逆手に取った得点戦略

IRT方式では、正答率の低い難問を正解することよりも、多くの受験者が正解すべき「基本的な問題」を取りこぼさないことが高スコアへの近道である。

• 深追い厳禁: 一つのケーススタディで思考が停止してしまった場合、潔く次の問題へ進む。科目Bは12問しかないため、全問に目を通し、確実に解ける問題を優先して得点源とすることが重要である。
• 一貫したロジックの適用: セキュリティ管理の定石（最小権限、職務分離、継続的改善）に基づいた解答を選択すれば、大崩れすることはない。

最新トレンドに基づく科目Bの頻出テーマ詳説

サプライチェーンと委託先管理の最適化

委託先からの情報漏えいは、委託元企業の社会的信用を大きく損なう。科目Bでは、委託先選定時および運用時の管理策が問われる。

• 選定時の評価: 第三者認証（ISMS認証、プライバシーマーク）の取得状況や、再委託の承認プロセスの確認。
• SLA（サービスレベル合意）の策定: セキュリティインシデント発生時の報告期限、復旧目標時間（RTO）の明文化。
• 定期的な監査: 書面または実地での点検が適切に行われているか。

クラウドセキュリティと責任分界モデル

自社でサーバを保有しないクラウド利用（SaaS, PaaS, IaaS）においては、どこまでが利用者の責任で、どこからが事業者の責任かを区別する「責任分界点」の理解が不可欠である。

• ID・アクセス管理: 利用者側の責任で、多要素認証（MFA）を有効にし、特権IDの管理を厳格に行う。
• 設定ミス（Misconfiguration）の防止: S3バケットなどのストレージが意図せず公開設定になっていないかを自動監視する。

物理的セキュリティの現代的再定義

テレワークの普及により、物理的セキュリティの境界はオフィス外へと拡張された。

• モバイルデバイスの管理: リモートワイプ、紛失時の連絡体制、暗号化（BitLocker等）の強制。
• クリアデスク・クリアスクリーン: 自宅やカフェでの作業時における、家族や第三者による情報の覗き見（ショルダーハッキング）防止。
• 物理的監視: 入退室記録の改ざん防止や、監視カメラによる死角の解消。

2025年・2026年合格に向けた具体的学習ロードマップ

フェーズ1：科目A知識の徹底インプット（1〜2週間）

科目Bのケーススタディを読み解くための「言語」を習得する期間である。

• 最新用語の定着: シラバス4.1で追加された「情報流通プラットフォーム対処法」「生成AIのリスク」「SBOM」などの定義を完璧にする。
• ISMS管理策の理解: ISO/IEC 27001:2022の新規管理策（特に脅威インテリジェンスとデータマスキング）がどのような業務シーンで使われるかをイメージする。
• 学習のコツ: YouTube等の聞き流し動画を活用し、用語との接触回数を最大化する。

フェーズ2：科目Bサンプル・公開問題の演習（1週間）

知識を実践的な判断力へと変換する期間である。

• 公式サンプルの精読: IPAが公開している科目Bサンプル問題を、自力で解いた後、解説を読み込んで「出題者の意図」を把握する。
• 長文慣れ: 最初は時間を気にせず、問題文の中にある「ルール」をマーカーで引き、「事実」との関連性を線で結ぶ練習をする。
• 基本情報の流用: 基本情報技術者試験の科目B（特に情報セキュリティ分野の問17〜20）は、SG試験の科目Bと酷似しているため、良質な演習材料となる。

フェーズ3：IRT方式を見据えた総仕上げ（最終週）

本番のシミュレーションと弱点補強を行う期間である。

• 模擬試験の実施: 120分をフルに使い、科目AからBへの移行スピードと、疲労による集中力の低下を体感する。
• 法改正・ガイドラインの最終確認: 個人情報保護法の改正点（個人関連情報の定義等）や、サイバーセキュリティ経営ガイドラインの要点を見直す。

結論

合格のために必要なのは、最新シラバスに準拠した正確な知識のアップデートと、ケーススタディ特有の「ルールと事実の照合」という思考パターンの習得である。IRT方式という客観的な評価軸の下では、基礎を疎かにせず、標準的な問題を確実に正答する姿勢が最も強力な武器となる。本報告書で詳述した戦略的アプローチを実践することで、受験者は単なる試験合格を超えて、実務における信頼されるセキュリティマネージャーとしての第一歩を踏み出すことができるだろう。