当ブログにはPRを含みます。
クラウドベンダーの認定試験(AWS、Azure、GCPなど)を数多く受けてきましたが、それぞれの試験を通じて「セキュリティの基本概念はどれも共通している」と感じるようになりました。
そこで、一度ベンダーニュートラルな観点から体系的にセキュリティを学び直そうと考え、CompTIA Security+(SY0-701)の受験を決意しました。
本資格は日本語での情報が少なく対策に悩む方も多い試験ですが、私の合格体験や勉強方法がこれから受験される方のご参考になれば幸いです。
私の受験時の状況とスコア
私はクラウド系の資格を多数保有していますが、セキュリティ専門というわけではありません。それでも約1ヶ月間、1日2時間ほどの学習でCompTIA Security+(SY0-701)に一発合格できました。スコアは755点で、合格ラインの750点をわずかに上回る結果でした。
- クラウド系の資格を複数所持していました。
- AWS: SAA, SOA, DVA, SAP, DOP, SCS
- Azure: AZ-900, AI-900, AZ-104 など
- Google Cloud: CDL, ACE
- 10年以上前ですが、基本情報技術者と応用情報技術者も取得済みです。
- IT企業で主にPMをしており、脆弱性診断などでセキュリティを気にする場面があり、ベンダーフリーなCompTIA security+を受験することを決めました。
私は約1ヶ月間、合計約60時間くらい(1日当たり約2時間程度)の勉強で合格することができました。1発合格ではありましたが、755点というかなりギリギリの点数でした。合格点は750点です。
CompTIAの試験にはフリーリテイク特典(再受験無料の制度)があり、「万が一落ちても大丈夫」という安心感がありました。そのため、完璧な仕上がりでなくても、思い切って受験に踏み切りました。
実際にはギリギリの点数で合格となり、運に助けられた面もありますが、結果的に短期間で合格できました。
受験前に確認!フリーリテイクについて
CompTIA Security+を受験するなら、フリーリテイク特典付きのバウチャーを選ぶのがおすすめです。万が一不合格でも2回目の受験が無料になる、大変ありがたい制度です。
執筆時点(2025年4月)では、フリーリテイク付き/なしのバウチャーが併存していますが、どちらも価格は同じです。迷わず、フリーリテイク付きをおすすめします。
以下にフリーリテイク付きのバウチャーのURLを貼っておきます。特典が終了していないか最新情報をご確認ください。
CompTIA security+ について
CompTIA Security+は、セキュリティ分野の基礎知識と実践的スキルを幅広く問う、国際的に認知されたITセキュリティ資格です。とくにクラウドやネットワークに関わるエンジニアが取得する資格として人気があります。
| 項目 | 内容 |
|---|---|
| 試験番号 | SY0-701 (2025年4月時点現行バージョン) |
| 試験時間 | 90分 |
| 出題形式 | 単一選択/複数選択/パフォーマンスベーステスト(画面上のシミュレーション) |
| 試験会場 | PearsonVUE(ピアソンテストセンター) |
| パフォーマンスベースの出題数 | 私の場合は2問出題されました |
| 問題数 | 最大90問(私の場合は85問) |
| 合格ライン | 750点(満点900点、正答率約83%以上) |
満点が900点なので、合格ラインはかなり高いといえます。単純計算で83.3%以上の正答率が必要です。
CompTIA資格体系とsecurity+ の位置付け
Security+はITキャリアの「土台」を築く、CompTIA CORE資格の中核試験です。
以下、CompTIA公式ブログの図を引用します。(画像が小さくてすみません。)
参考:CompTIA認定資格、ITキャリア:あなたの疑問に答えます
https://www.comptia.jp/information/2022/03/certifications-and-it-careers-faq.html
security+はCompTIAのCORE(コア)スキル領域に当たる試験です。CORE(コア)スキル領域とはITエンジニアとしての基本的な知識とスキルを身につける領域です。言い換えると、ITキャリアの「土台」となる部分です。
CompTIAの資格体系では、「CORE(コア)」「Infrastructure(インフラ)」「Cybersecurity(サイバーセキュリティ)」などの分野に分かれており、COREはすべてのIT分野の土台にあたります。
Security+を取得することで、クラウド、ネットワーク、セキュリティの応用資格へと進む基礎を習得できます。
CompTIA公式ブログでも、以下のようにSecurity+はCORE領域の中で最も進んだ位置にあり、2年以上の実務経験を想定した設計であると説明されています。
| 資格名 | 内容 | 想定実務経験 |
|---|---|---|
| ITF+(IT Fundamentals+) | 初学者向け。ITの基本概念を網羅 | 無し |
| A+ | ヘルプデスクやサポート職向け。ハードウェア、OS、トラブル対応 | 12か月 |
| Network+ | ネットワークの基本(TCP/IP、ルーティング、Wi-Fiなど) | 9か月 |
| 👉Security+ | セキュリティの基礎。リスク管理、暗号化、脅威対策など | 2年 |
とはいえ、Security+からいきなり挑戦することも十分可能です。実際に私もNetwork+などを飛ばしてSecurity+を受験し、合格できました。クラウドやITインフラの基礎があれば、問題なく対応できる難易度です。
出題範囲と出題の特徴
出題範囲は広いが、深掘りよりも“正確な基礎理解”がカギ
出題範囲は以下の5分野に分類され、それぞれの分野における用語やベストプラクティスの理解が必要です。試験自体は選択問題が中心で、深い論述問題などはありませんが、正答率83%以上が求められるため、あいまいな知識では合格は難しいと感じました。
| 試験分野 | 出題比率 |
|---|---|
| 1.0 セキュリティコンセプトの概要 | 12% |
| 2.0 脅威、脆弱性、軽減策 | 22% |
| 3.0 セキュリティアーキテクチャ | 18% |
| 4.0 セキュリティオペレーション | 28% |
| 5.0 セキュリティプログラムの管理と監督 | 20% |
試験中に出題されたパフォーマンスベーステスト(シミュレーション問題)は2問で、内容も比較的シンプルでした(守秘義務により詳細は控えますが、TACの模擬試験と似た傾向でした)。
つまり、「対策すれば対応可能な範囲」であり、難問ではなく対策不足が敗因になるタイプの試験です。
【公式】CompTIA Security+認定資格試験出題範囲試験番号:SY0-701
特に公式の出題範囲PDFには、用語レベルまで具体的に記載されているため、試験勉強の指針として必読です。全体として、「広く・浅く・正確に」が合格のカギだと思います。
私の利用教材と勉強方法
セール中のUdemy教材とTAC模擬試験だけで、効率よく合格できました
CompTIA Security+は出題範囲が非常に広いため、網羅的にインプットし、的確にアウトプットする教材が必要だと感じました。私は高額な公式テキストを使わずに、UdemyとTACの教材のみで合格できました。
この試験では深い知識よりも、セキュリティ用語や基本概念の確実な理解が求められます。逆にいうと、教材の内容を理解し、演習で定着すれば合格点には届くという試験です。私は以下の教材を使って、1ヶ月・約60時間で合格しました。
| 教材名(リンク) | 特徴 | 価格(税込) | 筆者利用 |
|---|---|---|---|
| CompTIA security+公式テキスト 書籍 イーブック |
体系的に学べるが非常に高額。試し読み不可。 | 書籍: ¥21,046 イーブック: ¥21,781 |
未使用(不合格だったら買う予定でした) |
| Udemy 動画教材 【聞きながら最新セキュリティを学ぼう】CompTIA Security+ SY0-701学習講座 
|
聞き流すだけで用語を網羅。インプットに最適。 | \2,600 セール時\2,000程度 |
利用 |
| Udemy 問題集 CompTIA Security+ (SY0-701) 実践演習1(計540問を収録)
CompTIA Security+ (SY0-701) 実践演習2(計540問を収録)
|
合計540問。解説つき。パフォーマンスベース未対応 | 各¥13,800 セール時各\2,000程度 必ずセールで買いましょう! |
利用 |
| TAC 問題集 Security+(SY0-701)Web模擬試験コース |
全180問。パフォーマンスベース対応。 | \6,800 | 利用 |
私の学習方法
-
Udemy動画教材で用語と全体像を把握
耳から学べる形式で、通勤中やすきま時間に活用。まずは「何が出題されるか」のイメージ作りを重視しました。 -
Udemy問題集でアウトプット練習&知識の定着
問題形式に慣れながら、用語や概念の理解を深めていきました。問題の解説も丁寧で、かなり実践的でした。 -
TACの模擬試験でパフォーマンスベースの対策
Udemyには収録されていないパフォーマンスベーステストの対策としてTACのWeb模擬試験を利用。出題形式の事前体験ができたことが精神的にも大きかったです。
※Udemy問題集とTAC模擬試験の順番はどちらでも問題ないと思います。重要なのは「知識を定着→形式に慣れる」ことです。
Udemy動画教材で用語と全体像を把握
私は以下のUdemy動画講座を通勤中などに聞き流すことで、試験範囲の用語をインプットしました。
【聞きながら最新セキュリティを学ぼう】CompTIA Security+ SY0-701学習講座
CompTIA Security+の学習を始めるなら、まずは耳から用語と全体像をざっくり把握することをおすすめします。
この講座は、机に向かってじっくり見るタイプではなく、耳からのインプットに特化した構成です。私はこの講座を2倍速で約3周しましたが、ほとんどの用語は自然に頭に入ってくる印象でした。
理解しにくい用語や概念に出会ったときは、ChatGPTで確認して理解していきました。
要約 → 具体例 → ポイント の3段構成で記憶に残りやすい
この動画教材は、1トピックごとに以下のような流れで説明が進みます:
- 要約(抽象的な概念を簡潔に説明)
- 具体例(現場でのイメージや身近な例で補足)
- ポイント(重要キーワードを再整理)
この構成のおかげで、耳だけで学習していても「何の話だったか」が振り返りやすく、記憶の定着につながります。
また、1本あたりの動画が短く、集中力が途切れにくい点もよかったです。
この教材で用語を一通り頭に入れておくと、後の問題演習を解くための基礎知識が身につくのでハードルがぐっと下がります。
タイパ良く学べるので、CompTIA Security+の導入講座としてかなりおすすめの教材です。
Udemy問題集でアウトプット練習&知識の定着
CompTIA Security+(SY0-701)は出題範囲が広く、確実な知識と出題形式への慣れが求められる試験です。私は以下のUdemy問題集(合計540問)を使い、繰り返し解くことで知識を定着させ、試験に臨みました。
CompTIA Security+ (SY0-701) 実践演習1(計540問を収録)
この2つの問題集はそれぞれ90問×3セットで構成されており、本番と同じ90問形式の演習ができます。私は以下のように使い分けて学習を進めました:
- 1回目:時間を計り、本番形式で90問を一気に解く(試験慣れのため)
- 2回目以降:1問ずつ解説を読みながら確認(理解の補強と定着)
さらに、動画教材で覚えた用語や概念があやふやな部分は、解説を読んでから動画に戻るなどして復習し、アウトプットとインプットを往復しながら知識を定着させました。
Udemyの最近のアップデートにより、解答タイミングを選べる機能(まとめて or 1問ずつ)が追加され、学習スタイルに応じた柔軟な活用が可能になりました。
実際の試験でも、「この問題、見たことある」と思えるほど似た出題が複数ありました。高得点が必要なSecurity+において、「問題形式への慣れ」は非常に大きなアドバンテージになると思います。
TACの模擬試験でパフォーマンスベースの対策
CompTIA Security+(SY0-701)では、パフォーマンスベーステスト(PBQ)が出題されますが、日本語対応で対策できる教材はほぼ存在しません。私が調べた限り、TACのWeb模擬試験コースが唯一、PBQに対応しており、内容も本番と非常に近くて驚きました。
📘 Security+(SY0-701)Web模擬試験コース(TAC公式)
本番では90問中2問がパフォーマンスベーステストでした。割合としては少ないですが、PBQは操作系で戸惑いやすいため、「初見で焦らない」ための慣れが重要だと思います。
TACの模擬試験には、PBQを含む90問×2セットの模擬試験が収録されており、出題形式・インターフェースともに非常にリアルな再現度です。実際、私は「本番で見たPBQがTACとほぼ同じで驚いた」という体験をしました。
使い方のコツと注意点
- 価格:税込¥6,800とやや高め
- 内容:90問×2セット(PBQ各2問含む)、解説付き
- 特長:選択肢・問題順がランダム化されるため、反復演習に最適
- 利用期間:2か月限定のため、Udemy教材を終えた後に取り組むと効果的です
特に、知識がある状態でTACを使えば、「どこがあやふやか」が明確になるので、総仕上げに最適な教材だと感じました。確実に合格したい人には強くおすすめします。
実際に出題された問題形式
CompTIA Security+(SY0-701)の問題形式は、主に単一選択/複数選択の選択問題とパフォーマンスベーステスト(PBQ)の2種類です。
【例題付き】選択問題
特に選択問題は、用語と定義を正確に理解していれば即答できるシンプルな構成が多く、試験時間にも余裕がある印象を受けました。
試験範囲は広いですが、1問1問はそこまで難解ではなく、「用語の意味を知っているかどうか」で正解できる問題が大半です。逆に言えば、曖昧な知識では合格ラインに届かないので、広く浅く、しかし正確に用語を押さえることが重要です。
以下に実際の出題イメージに近い例題を紹介します。
問題文:
従業員が支払いサイトを装ったメールのリンクをクリックし、ログイン情報を入力。その後「ページが見つかりません」というエラーが表示された。これはどのソーシャルエンジニアリング攻撃か?
選択肢:
A. ブランド偽装
B. プリテキスティング
C. タイポスクワッティング
D. フィッシング
解答
正解:D. フィッシング(Phishing)
選択肢に登場する用語を以下に解説します。問題文に合致するのはフィッシングです。
| 用語 | 定義・説明 | 典型的な例 |
|---|---|---|
| ブランド偽装 | 有名な企業やサービスのロゴ・デザイン・ドメイン名などを真似てユーザーを騙す手法 | PayPalやAmazonを装った偽メールを送信し、偽サイトに誘導する |
| プリテキスティング | 信頼を得るために、特定のストーリーや口実を使って個人情報を引き出す手法 | 「社内調査の一環です」と言って社員番号やパスワードを聞き出す |
| タイポスクワッティング | 正規サイトに似せたスペルミスのドメイン名を使ってユーザーを誘導し、情報を盗む手法 | 「amaz0n.com」「goggle.com」など誤入力しそうなURLを使った偽サイト |
| フィッシング | メールやSMS、Webサイトを使ってユーザーを騙し、認証情報や個人情報を入力させる詐欺手法 | 偽のログインページに誘導し、ユーザー名・パスワードを盗む |
上記の例題はCompTIA公式の Security+認定資格試験出題範囲 2-2の範囲を理解しておけば解答できる範囲です。
【例題付き】パフォーマンスベーステスト
CompTIA Security+(SY0-701)には、選択式とは異なるパフォーマンスベーステスト(PBQ)が含まれています。これはシミュレーション形式での設定作業やトラブルシューティングを求められる問題で、形式に慣れていないと戸惑う可能性があるため、事前確認は必須です。
PBQは出題数としては少なく(私の試験では90問中2問)、比重は高くありません。しかし、表示された画面で何をどう設定すればよいかを判断し、操作する必要があるため、初見で取り組むとかなり緊張します。
例えば、以下のようなケースの問題が考えられます:
- ファイアウォールのポート変更やルールの並び替え
- CLI画面でのコマンド入力
- ネットワーク図のドラッグ&ドロップで構成する
こういった問題は設問を読むだけでは内容がわかりづらく、画面全体を操作して状況をつかむ力も必要です。
CompTIA公式サイトでは、PBQの概要とサンプル問題が公開されています。本番で慌てないためにも、必ず一度は目を通しておくことをおすすめします。
また、TACのWeb模擬試験コースを活用すると、PBQに慣れる実践問題を利用できます。本番と類似した構成になっているため、事前に操作経験を積むには最適だと思います(前のセクションで詳述)。
受験して感じたこと
試験の日本語があやしい
CompTIA Security+の試験では、日本語訳が直訳気味でわかりにくいと感じる場面が多々ありました。特に選択肢や長文の設問では、文法や語順の違和感に戸惑うこともありました。これは、他の海外資格試験(AWS、Azureなど)と比べても顕著な印象を受けました。
試験中に違和感を覚える日本語表現がいくつもあり、「ん? これはどういう意味?」と立ち止まることがありました。おそらく英語原文を機械的に翻訳したものがベースになっており、意味の取り違えが起きやすい構造になっているのだと思います。
とはいえ、「もとの英語表現を想像して補完する」ことで解釈が可能でした。
英語でITやセキュリティを勉強したことがある人なら、「これは ‘Which of the following is…?’ の訳かな」などと想像しながら対応できると思います。
私はこれまでAWSやAzureなど複数の海外試験を受けてきましたが、CompTIA Security+の日本語訳はその中でも特にクセが強い部類でした。ただし、こういった点は今後改善されていく可能性もあるため、あくまで2025年4月時点の体験談として参考にしてください。
試験時間は余る
CompTIA Security+(SY0-701)は90問・90分という構成のため、受験前は「1問1分ペースって大丈夫?」と不安になるかもしれません。ですが、実際には多くの受験者が時間に余裕を持って終了しています。私の場合も、30分ほど余りました。
問題文は長すぎず、「用語の意味を知っているか」で解けるタイプの問題が大半です。パフォーマンスベーステスト(PBQ)が含まれていても、選択問題のスピードで十分に取り返せました。
実際、私も受験前に多数の合格体験記を読みましたが、「時間が足りなかった」という声は見かけませんでした。それほど、設問の難しさよりも“正確な知識”が問われる試験だと言えます。
私はPBQを含めて90問を一通り解き終えた後、全問をざっと見直す余裕がありました。このように見直しの時間が取れるので、不安な問題に時間を割く余裕もあります。
クラウド共通の基礎的な考え方を身につかられて良かった
CompTIA Security+の出題内容には、Identity and Access Management(IAM)やHardware Security Module(HSM)、アクセスコントロールリスト(ACL)といった、AWSやAzure、Google Cloudでも頻出のセキュリティ概念が多数登場します。この試験を通じて、そうした技術の共通概念を改めて体系的に学び直すことができてよかったと思っています。
各クラウドサービスでは、それぞれ固有の用語や設定画面がありますが、Security+ではそれらを抽象化したベンダーニュートラルな視点から学べます。
例えば、IAMに関してはAWS IAMやMicrosoft Entra ID(Azure AD)といったサービスの違いではなく、「認証と認可の概念、ポリシーの構成要素」といった普遍的な部分が問われます。
このため、「GCPではCloud IAM」「AWSではIAMポリシー」「AzureではRBAC」というバラバラな知識が、Security+の学習を通じてセキュリティの基本原則という一本の軸でつながった感覚がありました。
Security+で学習した知識は、クラウドインフラのセキュリティ設計や、提案において説得力向上に役立っていると感じています。
まとめ
- CompTIA Security+は出題範囲が広いが、正確な用語理解と形式慣れで1ヶ月の学習でも合格を狙える。
- フリーリテイク付きバウチャーを選べば、初回不合格でも再挑戦でき安心して受験に臨める。
- Udemyの動画と問題集、TAC模試を活用し、インプット・アウトプット・実践演習を効率的に行った。
- 試験は即答できる問題が多く、日本語の違和感を除けば時間に余裕があり冷静に解ける構成だった。
- Security+の学習を通じてクラウド共通のセキュリティ知識が整理され、実務や設計にも活かせた。
以上です。最後までお読みいただきありがとうございました。
システムエンジニア
AWSを中心としたクラウド案件に携わっています。
IoTシステムのバックエンド開発、Datadogを用いた監視開発など経験があります。
IT資格マニアでいろいろ取得しています。
AWS認定:SAP, DOP, SAA, DVA, SOA, CLF
Azure認定:AZ-104, AZ-300
ITIL Foundation
Oracle Master Bronze (DBA)
Oracle Master Silver (SQL)
Oracle Java Silver SE
■略歴
理系の大学院を卒業
IT企業に就職
AWSのシステム導入のプロジェクトを担当
