鳩がITをくらったような顔

ITでうんとこしょどっこいしょ

トップ > 情報セキュリティマネジメント > 情報セキュリティマネジメント試験を勉強する(あと数日)

情報セキュリティマネジメント試験を勉強する(あと数日)

情報セキュリティマネジメント 情報処理技術者試験 情報セキュリティ

IPA情報処理技術者試験まであと数日となりました。

私は、今季からスタートした「情報セキュリティマネジメント」を受験する予定です。

初回の試験なのでどんな試験内容なのか不安だと思いますが、試験の出題内容の概要と、残り数日でどんな午後対策をするのかをまとめてみます。

試験まで残り僅かなので、取り急ぎ要点だけ述べることにしました。あくまで想定なので悪しからず。

  

どんな業務をする人が対象?

これを知っておっくことは試験対策において重要です。簡単に言えば次のような人です。

自身が所属する部署において、情報セキュリティを維持するために活動を推進したり、インシデント発生時にリーダーとして対応・対策したりと、セキュリティ維持活動に積極的に係わる人。 

セキュリティ活動方針は、担当部署から降りてきます。

その方針を理解し、所属部長等からの指示により具体的にセキュリティ維持活動を行います。組織の大きさによっては数人で取り組むこともありまし、一般業務と兼務することもあります。

 

では、対象者はどのような能力が必要か?

上記を前提とすると、次のようなことができなければならないと予想します。

  1. そもそもセキュリティはどのように運用されているかの全体像の理解
  2. 情報セキュリティ活動に関する用語の理解
  3. 情報セキュリティ活動の具体内容

 

つまり、試験内容は…?

上記の(2)はともかく、(1)や(3)ってどうやればいいの…となりますよね?ご安心ください。情報セキュリティに関する国際・国内規格やガイドラインというものが存在します。

本試験の公式紹介ページでも、これらの規格(ISO/IEC27000規格群)を積極的に取り上げると記述されています。つまり、これらの規格が判断基準そのものと言っても過言ではありません。

よって、これらの規格の理解を前提とした具体的なケーススタディについて問われることになるでしょう。

 

午前試験内容と対策

内容 

情報処理技術者試験において午前問題は、基礎知識を測ることを目的としているのがほとんどです。「知っているか」が問われます。

試験においては、次のようなことが問われるのではないかと思います。

  1. ISO/IEC27000規格群や関連法規などの全容を理解しているか
  2. 専門用語を理解しているか
  3. 情報システムに関する基礎知識(基本情報技術者 程度)

これらに伴って、簡単な計算問題なども含まれると思われます。

50問を90分で解くわけですから、1問あたり1分48秒です。「知っていれば」時間には余裕があると思われます。

対策

まずは、大前提となる規格群や関連法規の内容を知らなければなりません。

これらを独自で調べるのは大変ですので、体系的にまとめられている教本を利用するのがベストです。全容を把握しておくことが重要なので、あまり重く考えずに最初から最後まで漏れなく通して読んでおくことが大切です。

 

また、情報システムに関する知識はシラバスによると、基本情報技術者程度のレベル(2)が必要になっています。そのレベルに達していない場合は、基本情報技術者の教本を使うのも有効だと思います。出題範囲は基本情報技術者に比べて狭いので選択して学習しましょう。(たいていの教本は、シラバス通りの構成になっているはずなので、取捨選択がしやすいです。)

 

午後試験の内容と対策

内容

情報処理技術者試験において午後問題は、具体的な内容が問われます。「知識の適用力」が問われます。

試験においては、次のようなことが問われるのではないかと思います。

  1. 用語等の基礎知識
  2. 現状(条件や問題)の把握力(国語力)
  3. 現状を把握した上で、適切なセキュリティ活動を選択できるか

設問は3つで90分で解答します。

1問あたり30分で、現状を把握し適切な解答を導く必要があります。

対策

他の試験から推測すると、はじめの2問程度は基礎知識について問われると思われます。この点についての対策は、午前と同様です。

 

続いて、現状に対して適切な解答を求めるような問題が出題されると思われます。その問題文に書かれていることがすべてですので、一般論に捕らわれることなく現状を把握することが大切です。

過去問題を解くなどして対策するのが王道ですが、初回の試験ということで過去問がありません。公式のサンプル試験問題を見る限り、特に特殊な出題方法ではないように思います。よって、基本情報技術者応用情報技術者の、情報セキュリティに関する午後問題を解いておくと感覚は養われると思います。

 

また、IPAより「情報セキュリティ10大脅威 2016」というPDFが先月末に公開されました。これらの脅威の対策と、顕在化したときどのように対応すればよいのかを学習しておくと、午後試験の力になると思います。

 

現状」において「あるべき姿」とかけ離れている「問題」について、「方針」に基づいた「適切な手段」による「解決策」を答えることを心がけましょう。

 

現状:問題文(それ以上でも以下でもない、受験者が勝手に想像しない)

あるべき姿:その組織にとって必要十分な姿(組織の規模や構成にもよるので)

問題:脅威が顕在化してしまっている、もしくは顕在化する可能性が高いもの

方針:組織の方針(間違ってる可能性もあるが)または、国際・国内規格群

適切な手段:方針と組織の現状を踏まえた現実的・効果的・効率的である

解決策:適切な手段を選んだ結果(現状によってはあえて対策をしないという選択肢もある)

 

以上

 

4月17日(日)、一緒にがんばりましょう!