ITパスポートのリスクアセスメントで、資産・脅威・脆弱性・マトリクスの整理に迷っていませんか?2026年の受験では、セキュリティに加えてAI活用やDX関連の文脈も押さえる必要があります。本記事では、頻出論点を出題傾向とあわせて整理し、短時間で得点につなげる見方を解説します。
この記事でわかること
- ITパスポート リスクアセスメントで押さえる資産・脅威・脆弱性・マトリクス
- ITパスポート試験2026年版の出題比率と最新情報
- ITパスポート リスクアセスメント攻略法3選とAI・セキュリティ・DX新傾向
SITE GUIDE
このサイトでITパスポート リスクアセスメント 資産 脅威 脆弱性 マトリクス|ITパスポート試験2026年版 リスクアセスメント攻略法3選徹底解説を調べるなら、まずこの3本です
今読んでいる記事を起点に、基礎確認・勉強法・比較検討の順で回れるようにしています。
ITパスポート リスクアセスメントで押さえる資産・脅威・脆弱性・マトリクス
ITパスポートのリスクアセスメントでは、資産は守る対象、脅威は事故や攻撃の原因、脆弱性は弱点という関係を、そのまま読み取れるかが問われます。リスクは「影響度×発生可能性」の2軸で評価し、マトリクスに落とすことで対策の優先順位を決めます。用語を単独で暗記するより、資産→脅威→脆弱性→リスクの流れで覚える方が、設問の取り違えを減らせます。
資産・脅威・脆弱性の定義を1枚で整理
| 用語 | 意味 | ITパスポートでの見分け方 |
|---|---|---|
| 資産 | 守る対象です | 顧客情報、機密文書、システム、設備などが該当します |
| 脅威 | 事故や攻撃の原因です | マルウェア、誤操作、災害、なりすましなどが並びます |
| 脆弱性 | 弱点です | パスワード管理の甘さ、権限設定の不備、更新漏れが典型です |
| リスク | 影響度と発生可能性の組み合わせです | 何を先に直すか、どの対策を先行させるかを決める材料になります |
2026年時点のITパスポート試験では、出題分野の比率はストラテジ系35問程度、マネジメント系20問程度、テクノロジ系45問程度です。100問の中でこの配分が固定されているため、テクノロジ系の基礎知識だけでなく、管理と戦略の文脈でリスクを説明できるかが得点差になります。テクノロジ系35問程度/マネジメント系20問程度/ストラテジ系45問程度という数値は、このセクションで押さえておくべき基準です。
🎯 試験に出るポイント
過去問では、資産→脅威→脆弱性→リスクの順で選ばせる設問が繰り返し出る。令和7年12月度の最新公開統計では合格率47.7%(累計49.6%)で、学習目標は分野別正答率80%超を安定させること。
よくある疑問
資産と脅威と脆弱性が混ざって見えるとき、どこを先に判定すればよいのでしょうか?
ポイント整理
先に資産を特定し、次に脅威を置き、最後に脆弱性を探す順で読むと混乱が減ります。IPAの試験内容・出題範囲では、分野別に知識を横断して問う構成になっているため、関係図で整理した方が安定して解けます。
📌 学習のコツ
つまずきやすいのは、脅威と脆弱性を逆に置いてしまう点です。設問文に「原因」「弱点」「守る対象」の語が出たら、まず主語を切り分けます。次に、影響度と発生可能性のどちらが高いかを確認すると、マトリクスの位置が自然に決まります。
リスクマトリクスで優先度を決める
| 発生可能性 低 | 発生可能性 高 | |
|---|---|---|
| 影響度 高 | 監視継続 | 最優先対策 |
| 影響度 低 | 後回し | 短期対応 |
この表では、右上の「影響度 高×発生可能性 高」が最優先になります。たとえば顧客データベースの認証情報が漏れると、復旧費用だけでなく信用低下も重なります。一方、影響は小さいが頻度が高い設定ミスは、短いサイクルで潰した方が総コストを抑えやすいです。試験では、どの対策を先に打つべきかを選ばせる設問が出るため、マトリクスの右上から順に着手する発想が役立ちます。
2026年の新傾向としては、情報セキュリティ10大脅威 2026で「AIの利用をめぐるサイバーリスク」が組織向け3位に初選出されました。DX推進で生成AIやクラウドを使う場面が増えるほど、資産は「機密文書と学習データ」、脅威は「外部漏えい」、脆弱性は「入力制御の不備」や「権限設定の甘さ」として問われやすくなります。設問例としては、「生成AIに顧客見積書を入力したところ、社外に出せない要約が残った。脆弱性に当たるものはどれか」という形が想定しやすいです。
情報セキュリティ分野の背景理解には、IPAの中小企業の情報セキュリティ対策ガイドライン、同ガイドラインの付録2にある「情報セキュリティ基本方針(サンプル)」、および情報セキュリティ10大脅威 2026を合わせて見ると整理しやすいです。さらに、情報セキュリティ10大脅威の年次更新を追うと、2026年度の問題で何が新しい論点になるかを読み取りやすくなります。
2026年3月13日には、IPAが2026年5月以降のCBT方式試験実施と、2027年1月以降の試験実施案内を2026年秋頃に告知予定と公表しました。試験運営の変更点も受験計画の材料になります。加えて、令和8年2月時点の統計では令和7年12月度の合格率が47.7%、累計49.6%でした。年度と月度の数字を押さえたうえで、用語の関係と優先順位をつなげて覚えると、ITパスポートのリスクアセスメント問題は取りこぼしにくくなります。
NEXT ACTION
ITパスポート リスクアセスメントで押さえる資産・脅威・脆弱性・マトリクスまで読んだ方におすすめの次アクション
ITパスポート試験2026年版の出題比率と最新情報
2026年版の対策では、まず改訂点と配点感覚を切り分けて把握しておくことが重要です。2026年1月8日掲載の試験要綱Ver.5.5とシラバスVer.6.5では、変更点は「下請法の削除」と「中小受託取引適正化法の追加」のみでした。出題比率は従来どおり、ストラテジ系45問程度、マネジメント系20問程度、テクノロジ系35問程度の構成です。総合100問、試験時間120分、合格基準は総合600点以上かつ各分野300点以上という枠組みも変わっていません。数値だけを見ても、得点源はテクノロジ系に集中しつつ、取りこぼしをストラテジ系とマネジメント系で最小化する設計です。
🎯 試験に出るポイント
年度改訂の有無を確認する設問は、試験要綱Ver.5.5とシラバスVer.6.5の差分把握が鍵。数値は35問・20問・45問、600点・300点が最重要で、ここを外すと失点が大きい。
2026年シラバスVer.6.5の改訂点、35問・20問・45問の配点感覚を固める
2026年シラバスVer.6.5の改訂は限定的です。法改正に対応して「下請法」が外れ、「中小受託取引適正化法」が追加されましたが、出題比率そのものは変わりませんでした。つまり、2026年度の学習では、知識の入れ替えは局所的であり、配点の再設計までは不要です。テクノロジ系35問、マネジメント系20問、ストラテジ系45問という前提を固定し、どこで得点を積み増すかを決めるほうが実務的です。
配点感覚をつかむうえでは、100問を4つの塊として眺めるより、35問・20問・45問の3領域を時間配分と結びつけて捉えるほうが効果的です。たとえば、テクノロジ系35問は情報セキュリティ、ネットワーク、データベース、AI、DXの横断で出題されやすく、用語の正確性がそのまま得点に直結します。ストラテジ系45問は経営戦略、法務、システム戦略の比重が大きく、改訂法令の差分確認が効きます。マネジメント系20問は開発プロセスやサービスマネジメントが中心で、設問文の条件整理が得点差を生みます。
| 分野 | 問数 | 比率の目安 | 対策の重点 |
|---|---|---|---|
| ストラテジ系 | 45問程度 | 約45% | 法務、経営戦略、システム戦略の改訂差分確認 |
| マネジメント系 | 20問程度 | 約20% | 開発手法、運用管理、設問条件の整理 |
| テクノロジ系 | 35問程度 | 約35% | セキュリティ、AI、DX、ネットワークの基礎固め |
よくある疑問
2026年版では、どの分野の問数を優先して覚えればよいのでしょうか?
ポイント整理
優先順位はテクノロジ系35問、ストラテジ系45問、マネジメント系20問の順で考えると整理しやすいです。もっとも、合格条件は総合600点以上かつ各分野300点以上ですので、1分野だけを伸ばしても安全圏には届きません。年度改訂で変わった法令名と、セキュリティ・AI・DXの新傾向を同時に押さえる構えが必要です。
📌 学習のコツ
出題比率は暗記ではなく、時間配分と結びつけて覚えるほうが定着しやすいです。35問のテクノロジ系は広く浅くではなく、セキュリティとAIを軸にして回収し、45問のストラテジ系は法務と経営の改訂点を優先してください。20問のマネジメント系は、用語そのものより設問の条件文を読む練習が有効です。
2026年度の最新情報として押さえるべきなのは、出題範囲改訂が限定的である一方、公開案内の更新が続いている点です。2026年3月13日の案内では、2026年5月以降のCBT受験申込は3月24日開始、4月27日以降の一時休止は2027年1月以降へ延期とされました。受験計画は、学習進度だけでなく申込開始日まで含めて逆算したほうが安全です。制度面の変更が小さい年ほど、申込時期の見落としが実務上の失点になります。
新傾向問題では、AI・セキュリティ・DXを横断した設問が目立ちます。たとえば、生成AIを社内で利用する際の情報漏えい対策、AI出力の根拠確認、クラウド移行時の権限分離などが問われやすい領域です。設問例としては、「生成AIを業務で使う際、機密情報の入力を制限し、利用履歴を管理する規程を整備する。このとき最も適切な管理策はどれか」という形が想定されます。情報セキュリティ管理の領域では、IPAの公式資料である「情報セキュリティ管理基準」や「情報セキュリティポリシーに関するサンプル」を一次情報として確認しておくと、用語の揺れに強くなります。
この2026年度試験では、出題範囲改訂は下請法から中小受託取引適正化法への置換にとどまりましたが、新傾向問題の体感難度は上がりやすい構造です。特にテクノロジ系35問の中でAIとセキュリティが連動すると、単語だけの知識では選択肢を絞りにくくなります。そこで、法令名、出題比率、合格基準の3点を1セットで覚え、2026年5月以降の申込開始日や2027年1月以降への休止延期といった運用情報も含めて管理しておくと、受験直前の混乱を避けやすくなります。
ITパスポート リスクアセスメント攻略法3選とAI・セキュリティ・DX新傾向
2026年のITパスポートは、テクノロジ系35問、マネジメント系20問、ストラテジ系45問で構成され、合計100問です。比率で見ると、テクノロジ系35%、マネジメント系20%、ストラテジ系45%となり、配点の重心は依然としてテクノロジ系とストラテジ系にあります。2026年度の学習では、リスクアセスメントを単独論点として見るのではなく、生成AI、DX、情報セキュリティ管理の横断テーマとして捉える視点が欠かせません。2023年8月7日にIPAがITパスポート試験シラバスへ生成AI関連の記載を追加して以降、この系統の設問は出題の射程に入り続けています。2026年版では、AI活用の安全性、権限管理、入力制限、出力確認が複合して問われやすい流れです。
🎯 試験に出るポイント
新傾向は生成AIの安全利用とDX推進のリスク管理。IPAは2023年8月7日にITパスポート試験シラバスへ生成AI関連の記載を追加しており、2026年版でもこの系統は外しにくい。対策は『中小企業の情報セキュリティ対策ガイドライン第4.0版』付録2『情報セキュリティ基本方針(サンプル)』と付録5『情報セキュリティ関連規程(サンプル)』を一次資料にして固める。
攻略法1 過去問を資産・脅威・脆弱性で分解
1つ目の攻略法は、過去問を「資産」「脅威」「脆弱性」に分解して読み直す方法です。資産は守る対象、脅威は損害を与える要因、脆弱性は攻撃や事故を招く弱点です。たとえば、顧客情報を保存する営業支援システムなら、資産は顧客データ、脅威は誤送信や不正アクセス、脆弱性は権限設定の甘さや端末の持ち出し管理の不備に置き換えられます。設問文で迷った場合は、選択肢をこの3軸で切り分けるだけで、答えの精度が上がります。
2つ目の攻略法は、IPAの一次資料で情報セキュリティ管理の考え方を確認することです。ITパスポートでは細かな法令名よりも、管理策の基本線を押さえたほうが得点につながります。『中小企業の情報セキュリティ対策ガイドライン第4.0版』、とくに付録2『情報セキュリティ基本方針(サンプル)』と付録5『情報セキュリティ関連規程(サンプル)』は、方針・規程・運用の関係を整理するうえで使いやすい一次情報です。セキュリティ管理基準、情報セキュリティポリシーのサンプル、そして運用手順の違いを見分ける練習が、設問の取りこぼしを減らします。
3つ目の攻略法は、生成AIとDXの新傾向設問を想定し、入力制限・出力確認・権限管理を整理しておくことです。2026年の試験では、AIの利用可否そのものより、どの統制を敷くかが問われる形が中心になります。機密情報を入力しない、利用規程を定める、出力を人が確認する、ログを残す、この4点をひとまとまりで覚えると対応しやすくなります。2026年から2027年にかけては、生成AIの社内利用ルール、データ持ち出し制御、アクセス権限の棚卸しが並ぶ設問への備えが必要です。
攻略法2 生成AIとDXの設問例を押さえる
新傾向問題の代表例として、次の設問を想定しておくと実戦的です。『社内の営業資料を生成AIに要約させる場合、最も適切な統制はどれか』。この問いでは、便利さより先に統制の観点を置けるかが判定軸になります。正解の方向性は、機密情報を入力しないこと、利用規程を定めること、出力を人が確認すること、ログを残すことの4点です。単独で答えるなら「利用規程を定め、機密情報の入力を禁止し、出力は人が確認し、利用ログを記録する」が最も実務的な統制です。
同じ系統で、DX推進に伴うクラウド利用、外部委託、権限分離の設問も増えやすいです。たとえば、部門ごとにSaaSを導入した結果、誰がどの情報にアクセスしたか追えなくなった場面では、権限の集中管理、ログ確認、定期的な見直しが論点になります。2026年度の出題範囲改訂で注目すべき点は、技術そのものより、業務への適用時に発生する統制の整理です。2026年の合格率は年度途中で大きく振れにくい一方、AI関連やセキュリティ関連の設問比重が体感的に高まったと感じる受験者は少なくありません。だからこそ、個別用語の暗記より、統制の意味づけが得点差になります。
よくある疑問
生成AIの設問では、技術知識より統制を先に考えるべきでしょうか?
ポイント整理
はい、まず統制を見ます。ITパスポートでは、便利な機能を使う前提よりも、情報を入れない、権限を絞る、出力を確認する、記録を残すという管理策の妥当性が問われやすいです。IPAの公開資料に沿って整理すると、選択肢の比較が速くなります。
📌 学習のコツ
過去問は正誤だけで覚えると、言い換えに弱くなります。資産、脅威、脆弱性、統制の4語に分けて、設問文の主語と対象を線で結ぶ練習が有効です。生成AIやDXの問題は、便利さを選ぶのではなく、社内ルールと監督の有無を見比べる習慣が得点に直結します。
| 攻略法 | 見る観点 | 2026年向けの着眼点 |
|---|---|---|
| 過去問分解 | 資産・脅威・脆弱性 | 用語暗記より構造把握 |
| 一次資料確認 | IPAの管理基準・サンプル規程 | 統制と運用の違いを整理 |
| AI・DX対策 | 入力制限・出力確認・権限管理 | 2026〜2027年の新傾向設問に備える |
ITパスポート リスクアセスメント 資産 脅威 脆弱性 マトリクス|ITパスポート試験2026年版 リスクアセスメント攻略法3選徹底解説に関するよくある質問(FAQ)
Q. ITパスポートのリスクアセスメントでは何を優先して覚えるべきですか?
A. 資産・脅威・脆弱性・リスクの4語を、影響度×発生可能性の2軸で結べるようにするのが先です。2026年版でも出題比率はストラテジ35問程度、マネジメント20問程度、テクノロジ45問程度です。
Q. 2026年版で出題範囲は変わりましたか?
A. 大枠は変わっていません。2026年1月8日掲載のシラバスVer.6.5では、変更点は下請法を削除して中小受託取引適正化法を追加した点のみです。
Q. 生成AIの問題はどんな形で出ますか?
A. 機密情報の入力可否、出力の確認、利用ルール、権限管理を問う形が中心です。IPAは2023年8月7日に生成AI関連の記載をシラバスへ追加しており、2026年も新傾向の要点です。
Q. 合格率はどのくらいを目安に見ればいいですか?
A. 直近公開の令和7年12月度は合格率47.7%で、累計は49.6%です。学習では分野別正答率80%超を安定目標にすると、取りこぼしを減らしやすいです。
記事情報
資格講座ナビ編集部が公式情報・公開情報をもとに作成しています。受験要項や日程は必ず公式サイトでもご確認ください。
NEXT READ
次に読む記事
この記事を読み終えたら、関連テーマと一覧ページにも進めるようにしました。
関連記事