もはやIT業界必携!「情報セキュリティマネジメント試験」のススメ
情報セキュリティマネジメント試験は、セキュリティに関する技術と人の意識改革を推進するために必要なスキルを認定する試験です。
今や情報セキュリティを意識せずに会社や組織の運営を行うことは不可能となり、いかにセキュリティを確保するかが課題となっています。もはや技術的な対応だけでは追いつかないのが現状です。なぜかといいますと、技術的な面での対策を万全にしたとしても、これらの機器を使用している「人」の意識が変わらなければ、そこがセキュリティホールとなってしまうからです。
この試験は他の情報処理試験と異なり、ITに関する知識とともに、セキュリティ対策を講じるための基礎知識が問われます。システムと実際の業務の両面からサポートできる人が求められているのです。
このような人材育成を推進するために試験が創設されるということは、セキュリティ確保が不可欠である企業や組織で必須の知識ということです。ゆえに、この試験で問われる内容は、IT業界においても必須の知識となっています。
ここ数年で、「情報漏えい」や「サイバー攻撃」といった言葉を目にする機会がかなり増えました。IT業界で働く人こそ、いま世の中で何が起こっているのかを知り、情報セキュリティに関するマネジメントレベルを上げる必要があります。この試験を活用してスキルアップを図っていきましょう。
目次
1.情報セキュリティマネジメント試験とは
情報セキュリティマネジメント試験は、IPA(情報処理推進機構)が試験を実施している情報処理技術者試験の一試験区分であり、「情報処理の促進に関する法律」に基づく国家試験です。
社会のIT化が進むにつれ、重要な情報を守るためにはIT技術だけの対策ではなく、適切な情報管理、業務フローの見直し、組織内規定順守、といった、人による対策についても取り組むことが重要となってきました。
下図のように「ウチには関係ない」と思っている方は、まだまだ多いのです。
出典:IPA 中小企業の情報セキュリティ対策ガイドライン「付録1:情報セキュリティ5か条」より
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
IPAでは、受験を勧める対象者として、以下のような方をあげています。
- 業務で個人情報を取り扱う全ての方
- 業務部門・管理部門で情報管理を担当する全ての方
- 外部委託先に対する情報セキュリティ評価・確認を行う全ての方
- 情報セキュリティの管理の知識・スキルを身に付けたい全ての方
- iパス(ITパスポート試験)合格から、さらにステップアップしたい全ての方
企業や組織が持つ情報の漏えいが、どのような影響を与えるのかは、ニュース等で皆さんも良くご存知だと思います。情報セキュリティ上の脅威となるのは何か、被害を防ぐためにはどのような対策が必要なのか、当然技術者だけではなく、各部門の管理者も必要な知識を身につけていく必要があります。
このような情報セキュリティマネジメントを担う人材の育成のため、情報セキュリティマネジメント試験が創設されました。
IPAの情報処理技術者試験の中では下記のような位置付けとなっています。取得後に、更新のための講座を受講したり、試験を受ける必要はありません。
参考【IPA 試験区分一覧】別枠になっていますが、情報セキュリティマネジメント試験の上位資格にあたる「情報処理安全確保支援士(登録セキスペ)」は、取得後に更新のための講習を受講する必要があります。
https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html
初心者の方で、これからIT業界を目指すということであれば、セキュリティマネジメントに加えてITパスポートの取得もお勧めします。情報セキュリティマネジメント試験の範囲は、名称のとおりセキュリティに特化した内容になっていますので、コンピュータの構成やプログラム関連知識などが含まれていません。
実務レベルでセキュリティ対策を講じるためには、やはりコンピュータの基礎的な知識は必要になります。
関連記事 関連記事
1-1.試験要項
ITパスポートや基本情報技術者試験と比較しますと、出題範囲がセキュリティ関連分野に絞り込まれていますので、アルゴリズムやプログラミング、ソフトウェア開発などは出題されません。
午前は選択式問題、午後は長文問題が3問出題されます。
1-2.配点割合
午後は合計すると102点になりますが、100点が上限です。また、問題数としては3問ですが、1問の中に複数の設問があります。
午前、午後の両方とも、60/100点以上を取得しなければ合格できません。
2.取得するメリット
この試験のための学習で得られるのは「防御のための知識」です。企業活動の低下や、イメージダウンにつながるようなセキュリティ事故を防止するための対策を施したり、万が一の事態に対応できる、企業や組織、ひいては自分自身をセキュリティ事故から守るための知識です。また、セキュリティ確保のための人材は数年前から不足しています。
今後は、自社や自部門でセキュリティ対策を推進していくための人材が求められる傾向がありますので、そのための知識がある!ということをアピールできるのが、この資格です。
この試験のための学習を通して、以下のような知識を獲得できます。
- 情報セキュリティ関連分野の技術的な基礎知識
- 情報セキュリティマネジメントに関する考え方
- 情報セキュリティ関連法規
この資格を取ったからといって、攻撃者をつきとめたり、ハッキングができるようになるわけではありませんが、仮に自分自身が所属する企業や組織でセキュリティ事故が起こったとしても、適切な対策を取れるように行動することによって被害の拡大を防ぐことはできます。ですので、ITを利活用する分野であれば必ず役立つ資格です。
3.試験の評価・難易度
2016年春期から開始された試験ですが、合格率は初回の88%から毎年下がり続け、2018年度は53.7%でした。問題作成もまだまだ手探りの状態であるように思えます。
午前の問題はITパスポート、基本情報技術者試験の午前問題とほぼ同じですが、午後の長文問題で苦戦される方が多いようです。
3-1.今後の評価はうなぎのぼり?
IPAが作成した「情報セキュリティ10大脅威 2018」によりますと、企業における脅威の5位が「脅威に対応するためのセキュリティ人材の不足」ですので、今後、セキュリティ管理者としての知識の証明としてニーズが高まることが予想されます。
また、セキュリティレベルを維持するためには、管理者だけではなく各個人の意識レベルの向上も必要ですので、いわゆる「旗振り役」として活躍の場があることも予想されます。
増加するサイバー攻撃への対策、企業や組織が保持する個人情報の保全については、各省庁や機関がガイドラインを作成してはいますが、このガイドラインを適切に理解し、実践していける人材が求められているのです。
参考
【IPA 情報セキュリティ10大脅威 2018】
https://www.ipa.go.jp/security/vuln/10threats2018.html
【IPA 中小企業の情報セキュリティ対策ガイドライン】
3-2.学習時間の目安は60時間
情報セキュリティマネジメント試験は、申込締切日から試験日まで約2カ月の期間があります。申込日をスタートとして、1日平均1時間の学習を60日間続ければ間に合います。経験者の方は、用語(特に法律関連)についても不安がなければ30時間程度の学習でも十分ではないかと思われます。
60時間で必ず行っていただきたいのは、以下の3点です。
- 見たことがない用語、知らない単語を無くす。
- 過去問を解き、苦手な部分を確認する。解説は必ず読む。
- 午後の長文問題に慣れておく
午後の長文問題については、以前は消去法で選択肢の中から答えが割り出せたりしましたが、最近は「知らないと選べない」という問題が増えてきています。過去問だけではなく、セキュリティ関連ニュースなどもチェックしておきましょう。
4.情報セキュリティマネジメント試験の内容
では、試験内容を見てみましょう。試験は午前、午後にわかれており、両方とも、60/100点以上を取得しなければ合格できません。試験時間は、午前は9:30~11:00まで、午後は12:30~14:00までの各90分です。
■午前問題
50問出題され全問に解答します。出題分野は以下の3分野です。
テクノロジ系
IT技術関連知識の中で、システム開発技術関連などは除外され、セキュリティ関連技術に重点がおかれています。
- システム構成要素
- データベース
- ネットワーク
- セキュリティ
マネジメント系
- プロジェクトマネジメント
- サービスマネジメント
- システム監査
ストラテジ系
法務問題に重点がおかれています。
- 企業活動
- 法務
- システム戦略
- システム企画
■午後問題
長文形式の問題(一問に設問が複数)が計3問出題され、すべての問題に解答します。
各問題は、企業で起きたセキュリティ事故を背景にした原因調査の手法や、スマートデバイスの業務利用におけるセキュリティ対策案、コンプライアンスの運用など、具体的な例をあげて出題されます。
参考
【IPA 過去問題(問題冊子・配点割合・解答例・採点講評】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html
5.申込みから合格・認定まで
受験申し込みはIPAのサイトから、または書店で配布されている「受験ガイド」を入手して、願書を郵送します。
5-1.試験実施日、試験地、試験会場
| 試験会場 | 全国47都道府県で実施していますが、指定はできません。 受験地(都道府県名)の指定を申し込み時にしますと、受験票に試験会場の詳細が記載されています。 |
| 試験日 | 毎年2回、全国で一斉に実施されます。 概ね4月の第3日曜日、10月の第3日曜日に実施されます。 |
| 受験手数料 | 5700円(税込)※2019年2月現在 クレジットカード、ペイジー、コンビニ支払いが利用できます。 |
| 試験日の変更 | できません |
5-2.申込から受験までの流れ
申込みや、申込み内容(住所等)の変更には、必ず期間が設定されています。受験予定だったのに申込みし忘れた!ということが無いようにご注意ください。
IPAの試験申し込みページから行う場合はこちら
【IPA 受験申込み】
https://www.jitec.ipa.go.jp/1_01mosikomi/_index_mosikomi.html
[個人申込み]ボタンをクリックして、表示されるページの必要事項を読んでから、ページ下部の[同意する]ボタンをクリックして必要事項を入力します。申し込み完了後にメールが送信されますが、再送されませんので、念のために画面コピーやメモを取っておいてください。
申し込み後に住所等の内容を変更する場合は、変更受付期間内に[申込内容訂正依頼フォーム]から行います。ただし、この期間後に転勤で引っ越したため、申し込んだ試験地での受験ができなくなった場合は、別途変更受付期間があります。(審査のうえ、変更可否が回答されます)
5-3.合格・認定
結果は、試験終了の約1カ月後にIPAのサイトにて確認できます。受験票に受験番号とパスワードが記載されていますので、受験後に捨てないでください。
受験結果は以下のページで確認することができます。
【IPA 合格発表・成績照会】
サイトでの発表後に合格証書が簡易書留で郵送されます。受験後に住所が変わった方は、必ず郵便局へ転居届を出してください。
※再送が必要となった場合、再送費用は合格者負担となります。
6.学習方法
学習のポイントは
- 見たことがない用語(単語)を無くす
- 弱点分野を把握する。そして補強する。
- 過去問で理解度を確認する
- 午後の長文問題に慣れておく
- セキュリティ事故関連ニュースを読む
の、5つです。
最初に、1冊は情報セキュリティマネジメント試験用の参考書を読み通してください。問題の傾向や、得意、不得意分野が把握できますし、初心者の方は「どのくらいわからないのか」を、ここで感じ取ることができます。
実際に過去問を解くことは必須ですが、午後問題は必ず時間を計りながら過去問を解いて、ペースを掴んでおいてください。背景を説明するページが長いので、あまりじっくり読んでいると時間が足りなくなるからです。
また、日ごろニュースなどで目にする単語も出てきますので、セキュリティ事故に関連するニュースなどを読んで「どういうことが原因で起きたのか」「どんな対策をとったのか」ということを理解しておくことをお勧めします。やみくもに用語だけ覚えてもすぐに忘れるだけです。なぜ必要なのか、どういうところが狙われるのか、何をすればいいのか、を知ることも重要です。
また、IPAでは企業向けだけではなく、個人に向けてもセキュリティに関する意識啓発が行われていますが、その資料を読むことで、出題側が重要視していることや、多発している事象を見てとれる部分があります。
【IPA 情報セキュリティ啓発】
参考書や記事を読んで、わからない用語、気になった用語について調べる時は、こちらのサイトがお勧めです。
【「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典】
過去問対策には、以下のサイトがお勧めです。
【情報セキュリティマネジメント試験ドットコム 過去問道場】
スマホでも参照できますし解説も載っていますので、こちらで毎日少しずつ学習するだけでも、かなり違います。解説は必ず読んでください。
6-1.身近にある、合格への近道
「情報セキュリティ」から、皆さんはどんな単語を連想するでしょうか。マルウェア、ハッカー、パスワード流出、データの改ざん、ファイアウォール、などなど、さまざまな単語が思い浮かんでくると思います。
その、今思いつく単語に関連する法律(サイバーセキュリティ基本法、不正アクセス禁止法、個人情報保護法、知的財産権、労働関連、取引関連法など)を組み合わせて検索して、検索結果に表示される記事を読むだけでも学習効果があります。参考書に飽きたら、こちらの方法をお試しください。
有名な事件の裁判結果が検索結果に出てくることがあるので、是非読んでみてください。企業や個人が、どのような代償を支払ったのかを見れば、うかつにメールの添付ファイルを開いたり、リンクをクリックすることも無くなるでしょうし、会社のデータを持ち出したり、パソコンやスマホの紛失がどういう事態を引き起こすのかが、よくわかります。読んだ記事内でわからない単語があれば、さらにそれを検索して確認すれば、芋づる式に弱点部分を発見して補強することができます。
また、午後問題対策として、ただ問題文を読むだけではなく「自分だったらどうするか」と、考えてみるのも良いでしょう。攻撃者(あるいは、午後問題ではデータを勝手に持ち出す等「やらかしてしまった人」)は何故こんなことをしたのか、を考えてみると、答えが見えてくることがあります。攻撃者も「人」なのです。
事件の原因を解答する解答群の中に「自分のことを公平に評価してくれないので損害を与えたいと考えた」、「営業所長が多忙で不在なときが多く、営業所内のコミュニケーションが不十分」などという記載を読んだりすると、思わず「あるよね~」と、つぶやいたりしませんか?(笑)
また、解決向けて行動する(情報システム部など)担当者になりきって考えるのも、いい練習になると思います。
7.おすすめの参考書
情報処理教科書 出るとこだけ! 情報セキュリティマネジメント 2019年版
あの「キタミ式」が無いのが残念です。
午前問題はITパスポートや基本情報技術者用でカバーできるとは思いますが、セキュリティ関連問題についての解説がやや薄いので、情報セキュリティマネジメント試験用を必ず読んでください。
参考書に疲れたらこちらをどうぞ。
ハッカーが主人公のマンガです。主人公はハッキングの天才ですが、社交性もなく高校も中退、バイトも即クビになります。しかし、ある日「エンジェル投資家」と出会うことでハッキングがお仕事になります。
2巻で主人公が客先へ出向くと、そこの社長が「サイバーテロとかTVが大げさに騒いでるだけだ。こんな零細工場、ハッカーに狙われるわけないだろ」と、いかにも誰かが言っていそうなセリフもあったりで、なかなか楽しめます。
他にもパソコンスペックの説明やネットワーク関連用語、ハッカーとクラッカーの違い、攻撃者はどんな理由で、どんな手法で攻撃してくるのか、などが出てきますので、イメージ掴みに良いと思います。
8.受験日3日前から当日までの注意
試験は年2回。忘れ物や遅刻、マーク漏れなどで合格のチャンスを逃さないように、以下の点にご注意ください。
- 試験の雰囲気は、学校の教室で受けた期末試験、あるいは、センター試験を思い浮かべてください。座席は決まっていて、試験官の合図で始まります。
- マークシートでの回答です。鉛筆(シャーペン)、消しゴムを忘れないでください。
- 受験票には本人写真が必要です。貼っていないと受験できません。
- 受験会場近くのコンビニから食べ物がすぐに無くなります。お昼ごはんは家から持参したほうが確実です。
- 受験会場に設置されている案内板で自分の席を確認しますが、そこから自分の席まで5分以上かかることがあります(特に会場が大学の場合)自分の席に開始20分前くらいには着くようにしましょう。
- 自分の席に着いたらトイレの場所を確認しておきましょう。意外と遠いことがあります。
- 受験番号や選択問題のマークを忘れると採点されません。回答の見直しも大切ですが、こちらも必ず見直してください。
- 受験時にPCは一切使用しません。
- IPA「日頃の学習の成果を無駄にしないために」を読んでおきましょう。(https://www.jitec.ipa.go.jp/1_00topic/topic_20090419.html)
- IPAからのメールを確認しておきましょう。
2019年10月20日に実施された試験では、台風19号の影響で東京都市大学世田谷キャンパスがで水没したため急遽会場が変更されましたが、会場変更メールに気づかなかった受験者が多く、試験を受けられなかった人が続出しました。IPAでは3日前からサイトで、Twitterで、Facebookで試験地変更を発信し、2日前に受験者に会場変更をメールで連絡していました。しかしこれらのどれにも気づかなかったり、メールも迷惑メールフォルダに振り分けられてしまったりといった方が多かったそうです。年に2回しかない試験なので、せめて試験日の前日には重要な連絡がないかを確認しましょう。
参考
10 月 20 日実施の秋期試験会場「東京都市大学 世田谷キャンパス」の変更につきまして
https://www.jitec.ipa.go.jp/1_00topic/topic_20191021.pdf
9.さいごに
解答群で「自分のことを公平に評価してくれないので損害を与えたいと考えた」、「営業所長が多忙で不在なときが多く、営業所内のコミュニケーションが不十分」が出たのは平成30年春の午後問題です。
どれだけ技術が進歩しても結局は人の問題なんだよなぁ、と、思いながら読みました。ちょっとした心のスキマ、油断が事故を招くのです。
IPAから発行されている「サイバーセキュリティ経営ガイドライン」の策定メンバーに加わった方が、2015年に某TV番組で次のようにお話されていました。「サイバー攻撃は増加の一途をたどっており、この危機的状況を広く知って欲しい」2015年で「危機的状況」でしたのに、改善されるどころかセキュリティ事件は増える一方です。
技術力、周囲との連携、現場の実情把握、どれが欠けてもセキュリティは万全とはいえません。資格取得を目指すとともに、情報セキュリティに関する意識を高めていってください。
夏に情報セキュリティマネジメント試験について知り、受験を決め、こちらの記事を大変参考にさせていただきました。参考書もおすすめの「出るとこだけ」を買い、過去問もすべて解き、実際の事例にも目を通し、10月の試験に臨みました。
結果は、AM84点、PM73点で無事合格しました。
自分は営業ですが、誰もが身に着けておくべき知識を学ぶことができたと思っております。
有り難うございました。