検索
連載

情報セキュリティマネジメント試験の問題を解いてみよう――午前/午後問題の傾向と対策短期集中! 情報セキュリティマネジメント試験攻略法(2)(2/2 ページ)

「情報セキュリティマネジメント試験」本番に向けた重要ポイントを総ざらいする本連載。第2回では、IPAが公開しているサンプル問題を基に作成した例題を解きながら、本試験の傾向と対策を紹介します。

Share
Tweet
LINE
Hatena
前のページへ |       

情報セキュリティマネジメント試験は、技術者に向けた専門的な試験ではない

 皆さんは、先ほどの問題を解けそうだと感じましたか? 正解した人もそうでない人も、「難し過ぎる!」と感じた人は少ないのではないでしょうか。むしろ、「解けそう」と思った方や、「解けた」という人の方が多かったと思います。この試験は、「情報処理技術者試験」の一つですが、「技術者」向けの試験ではありません。ITを利活用する人向けの試験です。ですから、セキュリティ技術の深いところは問われません。今回のように、セキュリティの運用をどうするかという、むしろ身近な内容が問われるのです。

 この問題を解いてもらった印象と、技術者向けの専門的な試験ではないという事実から、この試験は決して「難しい試験ではない」ことをまずは理解してください。そして、きちんとやれば合格できると確信してください。試験に合格するには、これが大事です。受かりそうと思うことがスタートラインです。「受からないかもしれないけどやってみよう」というモチベーションでも勉強は開始できますが、中途半端な気持ちで長期間の勉強を継続するのは簡単ではないからです。

午前問題は、セキュリティを中心に幅広い知識が問われる

 では次に、IPAが公開している午前のサンプル問題を見てみましょう。

問3.電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術として、適切なものはどれか。

ア.アクセス制御

イ.タイムスタンプ

ウ.ディジタル署名

エ.ホットスタンバイ

 ここでは、いくつかの専門用語が登場します。選択肢にある「アクセス制御」や「タイムスタンプ」などの言葉を知らないと、正解は難しいでしょう。それだけではありません。問題文にある「機密性」という言葉の意味も理解している必要があります。

 先ほど、この試験は決して難しい試験ではないとお伝えしました。しかし、合格率は恐らく30%程度の試験になります。勉強せずに合格できる試験ではありません。この問題に登場するようなセキュリティの基礎的な知識を網羅的に学習する必要があります。そうした基礎がないと、午前試験で60点を突破できませんし、午後問題では、問題文の意味が理解できないこともあるでしょう。

 では、この問題の解説をします。まず、セキュリティの3要素として、「機密性」「完全性」「可用性」の三つがあります。セキュリティを守るといえば、この三つのどれか、あるいは全てを守ることを指します。以下に三つの用語の意味を整理します。

  • 機密性:データが暗号化などにより、第三者に盗まれたり盗聴されたりしない状態になっていること
  • 完全性:データが改ざんされておらず、正確な状態に保たれていること
  • 可用性:サービス妨害攻撃などへの対策が施され、サービスなどが利用したいときに使用できる状態になっていること

 では、上記の問題における四つの選択肢が、この3要素のどれに対応するかを考えます。

ア.アクセス制御の一例として、パスワードを入力させるケースを思い浮かべてください。権限を持った人だけが文書ファイルにアクセスできるので、「機密性」が守られています。

イ.タイムスタンプとは、その時刻にそのファイルが存在していたことを保証するものです。これは、時刻に関する「完全性」を確保します。

ウ.「ディジタル署名」はわれわれが日常的に行うサインの電子版です。文書が改ざんされていないという「完全性」を確保します。「機密性」についてはどうでしょうか? 皆さんが文書にサインする場面をイメージしてください。サインするときに、文書そのものは暗号化しませんよね。よって、「ディジタル署名」は機密性を確保するものではありません。

エ.ホットスタンバイは、故障などに備えシステムを二重化するなどの対策をすることです。スタンバイ(standby)は「準備しておく」という意味で、日常的に使う言葉ですね。ホットスタンバイは、システムの「可用性」の向上に寄与します。ちなみに「ホット」は予備のシステムを起動した状態にしておくことを意味します。逆に、予備のシステムを普段は停止させておく方式を「コールドスタンバイ」といいます。

 以上のように、「機密性」を維持するためのセキュリティ対策技術としては「」が正解となります。

 いかがでしたでしょうか。午前問題は少し難しかったかもしれませんね。午前試験では、セキュリティ以外にも、テクノロジ(ネットワーク、データベースなど)、マネジメント(システム監査、プロジェクトマネジメントなど)、ストラテジ(経営管理、システム戦略など)が出題されます。範囲は非常に広いのですが、これは、より入門的な試験であるITパスポートでも同じです。むしろ、ITパスポートに比べて、範囲は半分くらいなので、勉強の負担は少ないともいえます。また、解答は全てマークシートですし、6割正解すれば合格です。ITパスポートや基本情報技術者試験で問われた問題と同じ問題も、恐らく何問か出題されるでしょう。きちんと勉強すれば突破できる試験です。

 次回は、情報セキュリティマネジメント試験に向けた学習方法について解説します。ご期待ください!

筆者プロフィール

左門 至峰(さもん しほう)

 現役のSE(システムエンジニア)兼ITライター。保有資格は、情報セキュリティスペシャリスト、情報セキュリティマネジメント、ネットワークスペシャリスト、システム監査技術者など。

 著書に、情報セキュリティマネジメント試験の対策本「やさしくわかるセマネの教科書」(日経BP社、税込1944円)。

 他にも、ネットワークスペシャリスト試験対策の「ネスペ」シリーズ(技術評論社)や、情報セキュリティスペシャリスト試験対策の「セスぺ」シリーズ(日経BP社)など著書多数。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る