情報セキュリティマネジメント試験の概要――本番前にポイントを総ざらいしよう:短期集中! 情報セキュリティマネジメント試験攻略法(1)(2/2 ページ)
2016年4月からいよいよ始まる「情報セキュリティマネジメント試験」。第1回に向けて、重要なポイントを短期集中で総ざらいしておきましょう! 「セキュリティスペシャリスト試験」や「ネットワークスペシャリスト試験」の対策本を執筆する左門至峰氏が解説します。
(2)「情報セキュリティスペシャリスト試験」との違い
同じセキュリティの資格に、「情報セキュリティスペシャリスト試験」があります。この試験とは、いろいろな面で違いがあります。
まず、試験の難易度です。情報セキュリティスペシャリスト試験は最も高いレベル4の試験ですから、難易度が高く、記述式で答える問題が多数あります。一方の情報セキュリティマネジメント試験はレベル2で、全ての問題が多岐選択式(マークシート)です。
また、両者の違いはレベルや出題形式だけではありません。IPAのサイトには、以下の記載があります。
「情報セキュリティをいかに確保するか」は今や組織にとって大きな経営課題ですが、標的型攻撃、内部不正などの多種多様な脅威は、「ITによる対策(技術面の対策)」だけではなく、適切な情報管理、業務フローの見直し、組織内規程順守のための従業員の意識向上といった、「人による対策(管理面の対策)」についてもしっかりとした取り組みが重要です。
そのための情報セキュリティマネジメントを担う人材の育成をいかに推進していくかが、社会全体での課題であるといえます。
「情報セキュリティマネジメント試験」は、このような社会ニーズの高まりを背景に(中略)創設されました。
この記述を基にすれば、情報セキュリティスペシャリスト試験は「ITによる対策(技術面の対策)」が軸で、情報セキュリティマネジメント試験は「人による対策(管理面の対策)」が軸であることが分かります(試験の名前からも分かりますね)。従って、この試験の学習をするときは、人による対策(管理面の対策)を中心にしましょう。技術的な深い仕組みについては、学習する必要はありません(ただし技術的な内容が全く出題されないわけではありません)。
(3)試験の難易度は高い?
難易度を表す試験のレベルですが、レベル1〜4まである情報処理技術者試験のレベルのうち、この試験は「基本情報技術者試験(FE)」と同じ「レベル2」となっています。従って、基本情報技術者試験の合格率25.6%(2015年秋)が一つの参考になるでしょう。合格率25.6%というのは、決して楽な試験だとはいえませんが、きちんと対策をして、しっかり学習すれば、合格できる試験だと思います。
また、試験時間・出題形式・出題数(解答数)は以下のようになっています。
| 基本情報技術者試験 | 情報セキュリティマネジメント試験 | |||
|---|---|---|---|---|
| 午前 | 午後 | 午前 | 午後 | |
| 試験時間 | 9:30〜12:00(150分) | 13:00〜15:30(150分) | 9:30〜11:00 (90分) | 12:30〜14:00 (90分) |
| 出題形式 | 多肢選択式(四肢択一) | 多肢選択式 | 多肢選択式(四肢択一) | 多肢選択式 |
| 出題数 | 80問 | 13問 | 50問 | 3問 |
| 解答数 | 80問 | 7問 | 50問 | 3問 |
| 基準点 | 60点(100点満点) | 60点(100点満点) | ||
これを見ると分かるように、情報セキュリティマネジメント試験は、基本情報技術者試験に比べて、試験時間も問題数も少なくなっています。時間が短く出題数も少ないわけですから、受験者への負担は基本情報技術者試験に比べて軽いといえるでしょう。
もしかすると、合格率も基本情報技術者試験より高くなるかもしれません。出題数や時間だけを見ると、基本情報技術者よりも簡単なものという位置付けに感じます(あくまで筆者の感想です)。
情報セキュリティマネジメント試験の出題内容
(1)午前の出題内容
情報セキュリティマネジメント試験午前の出題内容に関しては、IPAのサイトに以下の記載があります。
情報セキュリティの考え方をはじめ、情報セキュリティ管理の実践規範、各種対策、情報セキュリティ関連法規などに加えて、ネットワーク、システム監査、経営管理などの関連分野の知識を問います。
| 重点分野 | 情報セキュリティ全般 | 機密性・完全性・可用性、脅威、脆弱性、サイバー攻撃手法、暗号、認証、他 |
|---|---|---|
| 情報セキュリティ管理 | 情報資産、リスク、ISMS、インシデント管理などの各種管理策、CSIRT、他 | |
| 情報セキュリティ対策 | マルウェア対策、不正アクセス対策、情報漏えい対策、アクセス管理、情報セキュリティ啓発、他 | |
| 情報セキュリティ関連法規 | サイバーセキュリティ基本法、個人情報保護法、不正アクセス禁止法、他 | |
| 関連分野 | テクノロジ | ネットワーク、データベース、システム構成要素 |
| マネジメント | システム監査、サービスマネジメント、プロジェクトマネジメント | |
| ストラテジ | 経営管理、システム戦略、システム企画 | |
| (引用元:https://www.jitec.ipa.go.jp/sg/outline.html) | ||
午前においては、セキュリティのマネジメントだけでなく、技術的な面も問われます。また、セキュリティ以外の分野のテクノロジやマネジメント、ストラテジも問われます。このように幅広いジャンルから出題される点は、これまでのITパスポートや基本情報技術者試験と同じです。ただ、基本情報技術者試験に比べ、対象となる出題分野は約半分です。勉強する範囲で考えれば、基本情報技術者試験の半分程度の量で済むということです。
(2)午後の出題内容
午後の出題内容に関しては、以下のように書かれています。
業務の現場における情報セキュリティ管理の具体的な取り組みである情報資産管理、リスクアセスメント、IT利用における情報セキュリティ確保、委託先管理、情報セキュリティ教育・訓練などのケーススタディーによる出題を通して、情報セキュリティ管理の実践力を問います。
これを読んだだけでは、一体どんな問題が出されるのか、イメージできないかもしれません。そこで連載第2回では、この試験のサンプル問題を紹介します。サンプル問題を解くことで、実際の試験の雰囲気を感じ取っていただけるはずです。
筆者プロフィール
左門 至峰(さもん しほう)
現役のSE(システムエンジニア)兼ITライター。保有資格は、情報セキュリティスペシャリスト、情報セキュリティマネジメント、ネットワークスペシャリスト、システム監査技術者など。
著書に、情報セキュリティマネジメント試験の対策本「やさしくわかるセマネの教科書」(日経BP社、税込1944円)。
他にも、ネットワークスペシャリスト試験対策の「ネスペ」シリーズ(技術評論社)や、情報セキュリティスペシャリスト試験対策の「セスぺ」シリーズ(日経BP社)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.