ある会社員のもとに、取引のある銀行を名乗るメールが届いた。「口座を一時停止しました。下記URLから本人確認をしてください」。慌ててリンクを開くと、本物の銀行サイトとほぼ同じ見た目のログイン画面が現れ、IDとパスワードの入力を求められる――これは当サイトに収録している実際の問題の一場面です。フィクションではありません。ITパスポートという試験が「教科書の中の知識」ではなく、自分や家族のスマホ・パソコンに今日にでも届きうる出来事を扱っている、という証拠でもあります。
この記事では、そうした実問題を入り口にしながら、当サイトが収録する300問のデータをもとに、ITパスポートのどこに学習時間を割くべきかを具体的に整理します。なんとなく対策本を1周するのではなく、出やすい場所から確実に積み上げる。そのための地図として使ってください。
冒頭の問題で何が問われているか
先ほどのメールの話に戻ります。設問はこう続きます。「このように、実在の組織をかたるメールで本物そっくりの偽サイトへ誘導し、認証情報を入力させて盗み取る攻撃を何というか」。選択肢は、スミッシング・ファーミング・フィッシング・ビジネスメール詐欺(BEC)の4つ。正解はフィッシングです。
| 選択肢 | 内容 | 正解との違い |
|---|---|---|
| スミッシング | SMS(ショートメッセージ)を使って偽サイトへ誘導する | 設問は電子メールを使っているため不一致 |
| ファーミング | DNSなどを書き換え、正しいURLを入力しても偽サイトに飛ばす | 設問は偽メールのリンクを踏ませる手口で、経路が異なる |
| フィッシング(正解) | 実在組織を装うメールで偽サイトに誘導し、認証情報を盗む | 「電子メール+偽サイトで入力させる」という設問の特徴に一致 |
| ビジネスメール詐欺(BEC) | 経営者や取引先になりすまし、送金や振込をさせる | 狙うのは認証情報ではなく送金そのものなので目的が異なる |
4つの選択肢は、どれも「なりすまし」という共通点を持ちながら、使う経路や狙うものが微妙に違います。ここを丸暗記ではなく構造で理解しておくと、似た言葉が並ぶ別の問題にも応用が利きます。経路がSMSならスミッシング、入口のDNSをいじるならファーミング、認証情報そのものを偽サイトで盗むならフィッシング、お金を直接動かさせるならビジネスメール詐欺。この4択は、セキュリティ分野で繰り返し問われる典型的な切り口です。
もう1問だけ、毛色の違う例も見ておきましょう。「公開鍵暗号方式の特徴として、最も適切なものはどれか」という設問では、答えは「暗号化に使う鍵を公開でき、復号には対応する秘密鍵を使うため、鍵を安全に配布しやすい」というものです。共通鍵暗号方式と比較しながら「鍵をどう安全に渡すか」という課題をどちらが解決しているかを考えさせる、典型的な仕組み理解型の問題です。フィッシングのような社会的な手口の問題と、公開鍵暗号方式のような技術の仕組みを問う問題、この2つが同じ「情報セキュリティ」という括りの中に同居しているのが、ITパスポートのセキュリティ分野の特徴だといえます。
300問を分野で見るとどうなるか
本試験は100問・120分のCBT方式で、総合600点かつテクノロジ系・ストラテジ系・マネジメント系の各分野で300点以上を取って初めて合格となります。1問あたりの配点が均等ではない以上、苦手分野をひとつ作るだけで合格ラインが遠のく仕組みです。当サイトが収録する300問を分野別に分けると、テクノロジ系135問、ストラテジ系105問、マネジメント系60問という構成になっています。技術寄りの問題が半分近くを占める一方で、経営や法務の知識を問うストラテジ系、運用やサービスの考え方を問うマネジメント系もそれぞれ無視できない比重を持っています。
この内訳をさらに小分類まで分解すると、出題が集中している領域がはっきり見えてきます。当サイト収録問題のうち、出題数が多い小分類は次の通りです。
- 情報セキュリティ:34問(脅威・暗号・認証・対策・管理)
- ビジネスインダストリ:25問(IoT・AI・生成AIなど各種ビジネスシステム)
- ネットワーク:24問
- サービスマネジメント:21問
- 企業活動:18問
- 法務:17問
- システム開発技術:16問
この7分類だけで155問、収録全体の半分以上を占めます。冒頭で取り上げたフィッシングと公開鍵暗号方式の2問は、いずれもこの最大勢力である情報セキュリティの中の出題です。先に紹介した攻撃手口の聞き分けと、暗号方式の仕組み理解。この2系統を押さえるだけでも、情報セキュリティという最頻出分野の骨格が見えてきます。
頻出テーマで見えてくる優先順位
情報セキュリティが突出しているのは、テクノロジ系の中でも特に身近で、なおかつ出題者が「実生活で使える知識」として重視している分野だからでしょう。脅威の種類、暗号化の仕組み、認証の方式、対策の考え方、そして組織としての管理体制まで、扱う範囲は広いものの、根っこにあるのは「何から何を守るか」というシンプルな問いです。用語を個別に丸暗記するのではなく、攻撃側の手口と防御側の対策をペアで覚えていくと、初見の問題にも対応しやすくなります。
2番目に多いビジネスインダストリは、IoTやAI、生成AIといった比較的新しい技術領域を含む分類です。ここが25問という厚みを持っているのは、試験そのものが時代の変化を反映しているからにほかなりません。数年前の参考書だけで対策すると、この領域は手薄になりがちです。ネットワークとサービスマネジメントは、それぞれプロトコルやIPアドレスといった技術の土台、そしてITサービスを安定して提供し続けるための運用の考え方を扱います。地味に見えても出題数は情報セキュリティに次ぐ規模であり、後回しにすると痛手になります。
企業活動と法務は、ストラテジ系の中でも特に頻出の領域です。経営指標や組織運営の基本、知的財産や労働関連法規、コンプライアンスといったテーマが並び、暗記量は多いものの出題のパターンはある程度決まっています。システム開発技術は、要件定義から設計、テスト、開発手法までの流れを問う分野で、実務経験がない受験者ほど後回しにしがちですが、出題数を見れば軽視できない位置にあることがわかります。
学習の組み立て方
ここまでの数字を踏まえると、学習の優先順位はおのずと決まってきます。まず情報セキュリティを土台として固め、次にビジネスインダストリとネットワークで技術分野の幅を広げる。並行してサービスマネジメント、企業活動、法務といったストラテジ系・マネジメント系の頻出テーマを積み増し、最後にシステム開発技術で開発の流れを押さえる。この順番なら、収録300問のうち半分以上をカバーする7分類を効率よく通過できます。
大切なのは、配点が1問ごとに均等であるという前提を忘れないことです。出題数が多い分野で取りこぼすほど合格ラインから遠ざかりますが、出題数が少ない分野もゼロにはできません。各分野で300点以上という基準がある以上、どれだけテクノロジ系が得意でも、ストラテジ系やマネジメント系を捨てる戦略は成立しないのです。冒頭のフィッシングの問題のように、身近な出来事がそのまま試験問題になる。この試験の特性を意識しながら、頻出分野を中心に、しかし全分野にまんべんなく目を通す。それがもっとも遠回りに見えて、実は一番の近道です。