「情報セキュリティマネジメント試験(SG)はITパスポートより範囲が狭いから簡単」
この言説、IT資格情報サイトやSNSで度々目にする。確かに数字だけを見ると、令和5年度のSG合格率は72.6%、対するITパスポート(IP)は50%前後。合格率という観点ではSGの方が「通りやすい」のは事実だ。
しかし、本当にSGはIPより「簡単」なのか。
筆者は現役エンジニアであり、現在は情報処理安全確保支援士(登録セキスペ/通称:支援士)の取得を目指している立場から、SGとIPの試験範囲・学習負荷・難易度を公開データで徹底検証する。結論を先に言うと、「範囲が狭い=簡単」は半分正しく、半分ミスリードだ。
SGとはどんな試験か—2026年時点の最新情報
情報セキュリティマネジメント試験(SG)は、IPA(独立行政法人 情報処理推進機構)が実施する国家試験のひとつ。対象者像は「情報システム利用部門における情報セキュリティリーダー」、CCSF(共通キャリア・スキルフレームワーク)におけるレベル2に位置づけられている。
最新シラバスはVer.4.1(2025年4月適用)。試験形式は以下の通り。
- 試験時間:120分
- 出題形式:CBT(コンピュータベース試験)方式の通年実施
- 出題数:60問(科目A 48問+科目B 12問)
- 配点:IRT(項目応答理論)方式、1000点満点中600点で合格
- 採点対象:60問中54問(残り6問は今後の問題評価用)
ここで押さえておきたいのが、2023年4月の制度変更だ。それまでの「春期・秋期の年2回、紙のマークシート」から、「CBT方式の通年受験」へ移行した。同時に、旧『午前試験/午後試験』が『科目A/科目B』に再編され、合否判定も両科目の総合評価へと変わっている。
この変更は後述する合格率の動向に大きく影響している。
「範囲が狭い」は本当か—IPとの出題範囲を定量比較
本記事の中心テーマである「範囲」について、数字で確認していく。
ITパスポートはIT全般を「広く浅く」カバーする入門資格。出題分野は3系統に分かれる。
- ストラテジ系(経営戦略、システム戦略、企業活動など):約32%
- マネジメント系(プロジェクトマネジメント、ITサービスマネジメント、システム監査など):約18%
- テクノロジ系(基礎理論、コンピュータシステム、技術要素、ネットワーク、セキュリティなど):約50%
総出題数100問の中で、セキュリティ分野が占める割合はおおむね10〜15%程度に留まる。
対するSGは、セキュリティに振り切った設計だ。科目A 48問の内訳は以下のような構成になっている。
- 重点分野「セキュリティ」:約30問
- 第二重点分野「法務」:約4問
- 関連分野(ネットワーク、データベース、システム監査、サービスマネジメント等):各1問程度
科目A全体に占めるセキュリティ・法務関連の比率は約7割。さらに科目Bの長文ケーススタディも、ほぼすべてが情報セキュリティ管理の実践問題で構成される。
つまり数字で見ると、IPは100問中セキュリティ関連が10〜15問なのに対し、SGは60問中セキュリティ関連が40問以上を占める。「範囲が狭い」という言説は、純粋な出題分野の広さで見れば事実だ。ここまでは異論の余地がない。
問題は、ここから先である。
「狭いから簡単」の決定的な誤解—スコープと深度のトレードオフ
「範囲が狭ければ簡単」という思考の落とし穴は、スコープ(範囲)と深度(深さ)は別軸だという事実を見落とすことにある。
IPAが定めるCCSFでは、IPはレベル1、SGはレベル2に位置づけられる。レベル1は「職業人として最低限必要な共通知識」、レベル2は「定例的な業務を独力で遂行できる知識・技能」と定義される。同じセキュリティ分野でも、IPでは「用語の定義を理解している」レベルが問われ、SGでは「業務として実践できる」レベルが問われる。
具体例として、PKI(公開鍵基盤)を取り上げる。
IPで問われるのは、公開鍵暗号方式と共通鍵暗号方式の違い、認証局(CA)が証明書を発行する仕組みの概要——このあたりまでだ。
一方SGで問われるのは、ルート証明書・中間証明書の階層構造、CRL(証明書失効リスト)とOCSPの動作原理、TLSハンドシェイクにおける証明書検証フロー、デジタル署名の検証手順とハッシュ衝突の意味——ここまで踏み込む。
同じ「PKI」というキーワードでも、求められる理解の深さが明確に違う。SGではセキュリティ専門用語の定義に加えて、攻撃手法・対策・運用・法的観点までを統合的に問われる。
各種予備校・合格体験記をもとにした学習時間の目安は、IT初学者の場合でIPが100〜150時間、SGが200〜250時間。業務経験者の場合でIPが30〜50時間、SGが50〜80時間とされる。初学者ベースで見ると、SGはIPの約1.5〜2倍の学習時間が必要という計算になる。「範囲が狭い」という事実だけを切り取ると、この負荷は見えてこない。
合格率70%のトリック—3つの因子で分析
ここまで読んで、「でも実際の合格率はSGの方が高いじゃないか」という疑問を持たれた方もいるはず。確かに数字は嘘をつかないが、その数字の背景を読み解くと、別の景色が見えてくる。
因子1:CBT通年化で「準備が整った段階で受験」が可能に
2023年4月以前は年2回の固定日程だったため、勉強の進度に関わらず試験日が来た。一方、現在は通年でいつでも受験可能。「自分が合格できると判断したタイミングで受験する」自己選別が働いている。
実際、平成28年春期の初回試験合格率は88%という極端な高水準を記録し、その後の紙試験時代は50〜60%台で推移。CBT化以降の令和5年度は72.6%、令和6年度は69.1%と再び70%前後に戻っている。試験形式そのものが合格率に与える影響は大きい。
因子2:受験者属性のバイアス
IPは大学・専門学校でカリキュラムに組み込まれているケースが多く、IT未経験の学生が大量に受験する。一方SGは、業務でセキュリティに関わる社会人や情シス担当者が中心。受験者の母集団そのものが違う。同じ試験形式・同じ難易度でも、業務経験者の比率が高い試験ほど合格率は上がる。
因子3:スコープ限定による対策パターンの類型化
範囲が狭いことの裏返しとして、過去問・対策本がカバーすべき領域が明確になる。sg-siken.com(情報セキュリティマネジメント試験ドットコム)などの無料学習サイトで過去問が網羅されており、頻出パターンの暗記学習が機能しやすい。
合格率70%の正体は、「試験が簡単になった」のではなく、「合格しやすい設計に変わった」と理解する方が正確だ。試験そのものの知識要求水準は、レベル2の名に恥じない設計が維持されている。
ネットワークエンジニアにとってのSG—アドバンテージと弱点
ここからは筆者の専門領域であるネットワーク・インフラ系エンジニア(以下、NE)の視点で、SG受験のリアルを共有する。
アドバンテージ1:CCNAで学んだ知識がそのまま得点源になる
CCNAで習得するVLAN・ACL・ポートセキュリティ、IPsec/TLS/SSH/SSL-VPN、ARPスプーフィングやMACフラッディング等のL2攻撃、ファイアウォール・IDS/IPSの動作原理、DNS・DHCP関連の攻撃手法といったトピックは、SG科目Aで頻出する内容と直接的に対応する。CCNA保有者であれば、科目Aのテクノロジ系セキュリティ問題の大半は追加学習なしで正答できる。
アドバンテージ2:実務での読解力が科目Bで効く
科目Bは長文ケーススタディ。「サーバ管理者が委託先に作業を依頼するシナリオ」「リモートワーク環境でのインシデント対応」など、現場で起きうる状況設定が中心だ。業務でルーティング・FW設定・脆弱性対応に触れているNEなら、問題文を読みながら「これは権限分離が問題」「これは委託先管理の責任分界点」といった当たりがつく。読解スピードと判断精度で初学者と差がつく場面である。
弱点:マネジメント系は意識的な補強が必要
逆にNEが苦手としやすいのが、ISMS(情報セキュリティマネジメントシステム)関連の体系知識だ。ISO/IEC 27001の管理策、リスクアセスメント手法(リスク分析・リスク評価・リスク対応)、委託先管理・内部監査・教育訓練計画、個人情報保護法・不正アクセス禁止法・不正競争防止法——これらは技術ではなく「組織として情報を守る枠組み」の話。技術畑出身者は意識的に時間を割いて補強する必要がある。
ネットワークエンジニア観点でのSGは、CCNAで積み上げた知識を起点にSGを経て情報処理安全確保支援士(SC、レベル4)へと連なる、自然な踏み台として機能する。SGの出題範囲はSCの午前II試験と相当オーバーラップしており、SCを目指す前段階としてのウォームアップ的な意味合いも大きい。
「SGは意味ない」論への反論—2026年の市場価値
検索すれば「SG 意味ない」というキーワードがサジェストに上がる。この論調にも一定の根拠はあるが、2026年現在の市場環境を踏まえると反論材料は多い。
レバテックが2026年2月に発表したITエンジニア転職市場レポートによれば、セキュリティ関連職種の求人倍率は50倍を超え、全職種中トップ。同レポートではセキュリティPM(プロジェクトマネージャ)の求人増加率が前年比214%、セキュリティコンサルタントが195%と、突出した伸びを示している。DX推進、クラウドシフト、サイバー攻撃の高度化、サプライチェーンリスクへの対応など、企業のセキュリティニーズは構造的に拡大している。
「SGは意味ない」という言説の主な出所は、開発専業エンジニアの視点(応用情報や認定スクラム系の方が直接業務に効く)、FE至上主義(「IT技術者の登竜門は基本情報技術者試験」という古い慣習)、上位資格保有者の視点(SCやCISSPと比べれば確かに見劣りする)——この3パターンに分類できる。いずれも対象読者のキャリア軸では正しいが、SGの対象者像(情報セキュリティリーダー)から外れた立ち位置からの評価だ。
企業内評価の実態は様々だが、IT・SIer企業では取得奨励金(1〜3万円)の対象資格に含めるケースが多く、一般企業の情シス部門では昇格要件や担当業務アサインの基準に組み込まれ、公共系・金融系では入札要件や顧客提出資料での記載資格として認知される。「履歴書映え」の観点でも、セキュリティリテラシーを客観的に示せる国家資格として、書類選考で確実にプラス材料になる。
加えて、2024〜2026年は個人情報保護法改正、能動的サイバー防御法案の議論、サイバーセキュリティ基本法の見直しなど、セキュリティ関連法規の動きが活発な時期だ。SGの出題範囲には法務分野が含まれており、これらの最新動向をシラバス改訂を通じて学べる点も実務面での利点である。
効率的な学習ロードマップ
実際にSGを受験するなら、学習期間の目安は完全未経験者で3〜4ヶ月(約200時間)、IT初学者・IP合格者で2〜3ヶ月(約100〜150時間)、業務経験者・CCNA保有者で1〜2ヶ月(約50〜80時間)が現実的なラインだ。
科目Aは過去問パターンの暗記学習が圧倒的に効率的だ。参考書を1周して用語と概念をざっくり把握したら、sg-siken.com(情報セキュリティマネジメント試験ドットコム)で過去問を時代順に解く。間違えた問題と曖昧な問題を抽出して参考書で該当箇所を読み直し、直近2〜3年分を最低3周する。科目Aで得点を稼ぐ戦略が合格への近道である。
科目Bの長文ケーススタディには独特のコツがある。問題文を上から読まず、設問から逆引きで該当箇所を特定する。登場人物の役職と権限を整理する(管理者・利用者・委託先など)。ISMSの基本フレーム(機密性・完全性・可用性、リスク対応の4選択肢)で判断する。科目Bは公開過去問が少ないため、最新の市販問題集に収録された予想問題で慣れておく必要がある。
2026年時点で評価が高いのは、入門テキストと問題集を組み合わせた2冊体制だ。翔泳社の『出るとこだけ!』シリーズはシラバスVer.4.1対応の最新版(2026年版)が出ており、テキストと予想+過去問題集を併用するのが王道とされている。
SGを取るべき人・取らなくていい人
最後に、SG受験を迷っている方向けの判断材料を整理する。
取るべきなのは、インフラ系・ネットワーク系の若手でセキュリティ知識を体系化したい人、情シス部門・社内SE・ヘルプデスク担当者、SES参画者で客先要件にセキュリティリテラシーが含まれる立場の人、IT資格初学者でIPからのステップアップ先を探している人、そして情報処理安全確保支援士を将来的に目指している人だ。
逆に、アプリ開発専業でセキュリティ実装より機能開発が業務の中心の人、CISSP・情報処理安全確保支援士を直接狙える知識量がある人、既に応用情報技術者試験以上の上位資格を保有している人は、無理にSGを取る必要はない。CCNA・ネスペの次に取るべき資格を見定めてから、自分の業務領域とキャリア方向に照らし合わせて判断するのが正解だ。
まとめ:「範囲が狭いから簡単」の真実
情報セキュリティマネジメント試験はITパスポートより範囲が狭いから簡単という言説の検証結果をまとめる。範囲が狭いのは事実で、セキュリティ分野が出題の約7割を占める。ただし深度はレベル2基準であり、同じテーマでもIPより踏み込んだ理解を要求される。学習時間は初学者で1.5〜2倍に達し、「狭いから少ない時間で済む」とは限らない。合格率70%の正体は、試験形式・受験者属性・対策の類型化による「合格しやすい設計」であって、試験が易しくなったわけではない。そして市場価値は2026年現在も高水準で、セキュリティ人材需要の構造的拡大がそれを支えている。
「範囲が狭い=簡単」は半分正しく、半分ミスリード。業務でセキュリティ実務に触れている人にとってはコスパ抜群の資格だが、完全な初学者にとってはIPよりも明らかに重い試験設計になっている。自分の立ち位置と目的を照らし合わせて、戦略的に受験判断をしてほしい。
