情報セキュリティマネジメント試験(SG)の頻出論点を1枚に凝縮した無料チェックシートです。試験直前の総点検や、学習の抜け漏れチェックにお使いください。最後にオリジナルのミニ模試(5問・解説つき)も用意しました。
SG要点チェックシート(2026)
1. 脅威と攻撃手法
- マルウェア:ランサムウェア(暗号化→身代金)、ワーム(自己増殖)、トロイの木馬(正規装い)、スパイウェア。挙動の違いで判別する設問が頻出。
- 標的型攻撃:APT、フィッシング/スピアフィッシング、ビジネスメール詐欺(BEC)、水飲み場型。
- 技術的攻撃:SQLインジェクション、クロスサイトスクリプティング(XSS)、CSRF、DoS/DDoS、中間者(MITM)、パスワードリスト攻撃。
- 人的脅威:ソーシャルエンジニアリング、内部不正、シャドーIT。
2. セキュリティ対策(技術/物理/人的)
- 認証・認可:多要素認証(MFA)、最小権限の原則、ゼロトラスト、シングルサインオン(SSO)。
- 暗号:共通鍵(高速・鍵配送が課題)vs 公開鍵(鍵配送に強い・低速)、ハイブリッド方式、ハッシュ(改ざん検知)、電子署名(否認防止+完全性)。
- 境界・通信:ファイアウォール、IDS/IPS、WAF、VPN、TLS。
- 運用:パッチ管理、バックアップ(3-2-1)、ログ監視、資産管理、脆弱性診断。
3. 法規・制度・標準
- 個人情報保護法:要配慮個人情報、第三者提供の同意、漏えい時の報告義務。
- 不正アクセス禁止法/サイバーセキュリティ基本法:禁止行為と責務の主体を区別。
- ISMS(ISO/IEC 27001):PDCA、リスクアセスメント、適用宣言書(SoA)。
- その他:マイナンバー法、不正競争防止法(営業秘密)、各種ガイドライン。
4. 組織的管理・リスクマネジメント
- リスク対応:低減・回避・移転(保険等)・受容の4分類を具体例で判別。
- CSIRT/インシデント対応:検知→初動→封じ込め→復旧→事後分析。
- BCP/事業継続:RTO(目標復旧時間)/RPO(目標復旧時点)の違い。
- 教育・規程:情報セキュリティポリシー(基本方針→対策基準→実施手順)の3階層。
オリジナル・ミニ模試(5問)
本番形式のオリジナル問題です。解答・解説は各問の下に折りたたんでいます。
Q1. 共通鍵暗号と比べた公開鍵暗号の特徴として最も適切なものはどれか。
- ア. 暗号化・復号が高速で大量データ向き
- イ. 鍵配送の問題を解決しやすい
- ウ. 送信者と受信者で同一の鍵を共有する
- エ. 鍵の管理数が利用者数の二乗に比例する
解答・解説
答え:イ。公開鍵暗号は公開鍵を配布できるため鍵配送問題に強い。ア・ウ・エは共通鍵暗号の特徴。
Q2. RPO(目標復旧時点)が示すものはどれか。
- ア. 障害発生後にシステムを復旧させるまでの目標時間
- イ. 障害発生時にさかのぼって許容できるデータ損失の時点
- ウ. 年間の許容ダウンタイムの上限
- エ. バックアップの世代数
解答・解説
答え:イ。RPOは「どの時点までのデータを守るか」。アはRTO。
Q3. リスク対応で「サイバー保険への加入」が分類されるものはどれか。
- ア. リスク低減
- イ. リスク回避
- ウ. リスク移転
- エ. リスク受容
解答・解説
答え:ウ。損失を第三者(保険会社)に移すのはリスク移転。
Q4. 電子署名が主に保証するものの組合せとして適切なものはどれか。
- ア. 機密性と可用性
- イ. 完全性と否認防止
- ウ. 可用性と認証
- エ. 機密性と完全性
解答・解説
答え:イ。署名は改ざん検知(完全性)と作成者の否認防止に用いる。秘匿(機密性)は暗号化の役割。
Q5. 情報セキュリティポリシーの3階層を上位から並べたものはどれか。
- ア. 実施手順 → 対策基準 → 基本方針
- イ. 基本方針 → 対策基準 → 実施手順
- ウ. 対策基準 → 基本方針 → 実施手順
- エ. 基本方針 → 実施手順 → 対策基準
解答・解説
答え:イ。基本方針(なぜ)→対策基準(何を)→実施手順(どうやって)。
さらに本番形式で演習したい方へ
上のミニ模試で手応えをつかんだら、本番同等の300問(5回分)・全選択肢の詳細解説つきで総仕上げができます。当ブログ読者向けに割引クーポンをご用意しました。
▶ 情報セキュリティマネジメント 模擬試験300問(クーポン適用)
関連:登録セキスペ(情報処理安全確保支援士)も受験予定の方は、こちらもどうぞ。
▶ 登録セキスペ 模擬試験260問(クーポン適用)
※クーポンは予告なく終了する場合があります。価格はクーポン適用後の表示をご確認ください。
