情報セキュリティマネジメント

今回は情報セキュリティマネジメント試験(SG)の受験体験記をお話しするよ

ITパスポート試験がようやく終わって、次を考えていたから参考にします!
情報セキュリティマネジメント試験とは?
IPA(独立行政法人情報処理推進機構)のHPによれば、
情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。
〈共通キャリア・スキルフレームワーク(CCSF)レベル2相当〉
と書かれています。

レベル1相当のITパスポート試験より簡単で、レベル2相当の基本情報技術者試験とは同難易度の試験と言う位置づけになりますね。
CBT方式の実施で取り組みやすく
多くの情報処理技術者試験は年に2回の集合試験(PBT試験)ですが、「情報セキュリティマネジメント試験試験」はCBT方式で実施されていて、いろんな会場、いろんな日時から、各人が自由に選んで受験することができます。
CBT(Computer Based Testing)方式
コンピュータを利用して実施する試験方式のこと
もし、不合格になっても、最短で1か月後(30日後)から再挑戦することが可能です。もう、半年間待つなんてことは不要になりました。

情報セキュリティマネジメント試験概要
詳細は公式HPでご確認頂くとして、ここでは最低必要限の内容を纏めてみました。
試験内容
試験時間 | 120分 |
試験日・試験地 | CBT方式のため、各地で随時実施しています |
出題数・形式 | 科目A 48問(四択問題) 科目B 12問(長文、多肢選択式) |
出題分野 | 情報セキュリティ全般・管理・対策・関連法規 テクノロジ・マネジメント・ストラテジ系 |
合格基準 | 科目A+科目B 600点以上/1,000点 ※ただしIRTという採点方式の為、採点されない問題あり |
合格率 | 69.8%(R5.10)~78.2%(R5.2) |
受験料 | 7,500円(税込) |
IPAの統計資料によると、令和5年度の受験者数は毎月約3,000人強、合格率は約70~75%くらい、比較的合格しやすい試験かと思います。

情報セキュリティマネジメント試験って、受験者数が思ったより少ないんですね
情報処理技術者試験のように計算問題等で難しい問題を作ることも出来ず、ITパスポートのように試験範囲がそれほど広くないため、狭い分野をしっかり丁寧に抑えれば合格できそうです。
受験決定から受験当日までの過ごし方
ここからは、情報セキュリティマネジメント(SG)試験を受けようと思ってから、受験当日までどのような勉強をしていったのかを記載していきます。
前提条件
これから書く勉強方法について、自分の知識レベルですが、半年ほど前にITパスポートに合格しています。つまり、ITに関してはズブの素人では無いということです。
しかし、情報セキュリティマネジメントはITパスポートの上位に位置づけされている試験なので、みなさん同じレベルにはなっているかと思いますが。
そして、基本情報技術者試験は合格していません。
使用教材
今回、情報セキュリティマネジメント(SG)試験を受けるにあたっては、本屋で書籍を購入して独学で勉強することにしました。
使う書籍は下記の一冊に絞って、それ以外はインターネットで調べていくことにします。
・情報処理教科書 出るとこだけ!
情報セキュリティマネジメント テキスト&問題集 2024年版
また、この試験では聞きなれないセキュリティ用語等が結構出てくるので、下記サイトも大いに利用させて頂きました。一瞬、ふざけてるんですけど、充実度や分かり易さは群を抜いていると思います。
・「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典 (i-3-i.info)
勉強方法
勉強方法はとっても単純です。
テキストを使った過去問対策が中心になります。

ここからは独学者向けの勉強方法ってことですね!
1.テキスト&問題集を一通り読む
ここで大切なことは、テキストはとりあえず一回だけ読むという事です。
過去問を解かないで(どんな問題が出題されるかを把握しないで)読むと、無駄な箇所を必要以上に読み込んだり、逆に必要な箇所の理解を浅く終わらせてしまったりと効率が良くありません。
一回だけ読むのは、情報セキュリティマネジメント試験の全体像を把握することと、自分がさらっと読めない箇所(力を入れて勉強が必要)のボリュームを掴んで、どれくらいの勉強期間が必要そうかを想定するためです。
受験日を先延ばしにして、だらだら勉強してもしんどいだけですから、こういうのは短期決戦で。
情報セキュリティマネジメントに出てくる用語には、今後のITライフで役立ちそうなものも多いですから、試験合格を目的とするだけでなく自己研鑽の為に時間をかけるのも悪くないかもしれません。
2.テキストの巻末問題を解いて、間違った箇所を復習
利用するテキストには、本章内に練習問題が数問掲載されていますが、それは上記の1の読み込みの時に一緒に取り組みます。
ここではテキストの最後に掲載している、本番と同じ問題数を掲載している予想問題&サンプル問題を解くことです。時間はあまり気にしませんが、間違った問題はしっかりと把握して、間違った箇所はテキストでしっかりを復習します。
特にサンプル問題は、新しくCBT試験になる情報セキュリティマネジメント試験の学習指針になるようにIPAが公開している問題なので、絶対チェックです!
3.暇な時間に、セキュリティ関連機関のページを閲覧
テキストも問題やらを解いていくと、あまりピンと来ない用語が結構出てくる試験だなと感じます。
例えば、ISMS、JIS Q 27000等の規格、NICS、JPCERT/CC、J-CART、JVNなどなど
これはテキスト読むだけだと単なる暗記になってしんどいので、実際にWebサイトに行って視覚的に覚えた方が良いと思いました。
まとまった時間が出来たら、テキストを読んだり問題を解いたほうが良いと思いますが、ちょっとした隙間時間には、普段のYahoo!を除く感じでWebサイトをウロウロするのも良いかと思います。
何回か訪問すると、なんとなく組織や機関の繋がりが分かったりしますよ。
4.公開されている過去問題を解く
そして、だいたい知識が付いたなと思ったら、このテキストに特典としてついている過去問題集(10回分くらい)を解いていきます。

とはいえ、CBT試験になってからは過去問は公開されていませんので、その昔、集合試験だった時の午前問題(50問)が平成31年から過去4年ほどに渡ってWebで取り組めます。
選択肢を選ぶとすぐに答えが分かって、間違ったらすぐに解説が読めるのでとっても効率が良いです。これだけの為にテキスト買っても良い位です。
こちらで、合格点が8割位とれるようだと、合格はかなり近いと思います。
ただし、問題Bの過去問はないので、テキストに掲載している問題(合計24問)しか対策できませんが、それは受験する皆さん同じなので午前問題をしっかり落とさない様に頑張りましょう!
5.よく間違える箇所を、下記ページに纏める
最後には、何回解いても間違える問題や、完全に身についていないと思われる内容はノートに纏めましょう。紙のノートも良いですが、本サイトのようにブログ上に纏めて電車の中でスマホで確認するとか、自分にあった効率の良い方法で取り組みましょう。
6.その他注意事項
試験方法がCBT方式になって試験問題が非公開になりました。
それによって、公開されている過去の問題で学習する人もいるかと思いますが、確実に時代は進んでいます。しかもITの技術革新のスピードはすさまじいものがあります。
ガイドラインのVerの数字が増えているなんてこと多々あるかと思いますので最新情報にはくれぐれも注意して付いていくようにしましょう!
サイバーセキュリティ経営ガイドラインVer2.0 → Ver3.0 など
情報セキュリティマネジメント試験対策ノート(個人用含む)
人それぞれ苦手な分野は違うと思いますが、今回はこのページ=自分のノートでもあるので、
・過去問を解いていてよく間違えた問題
・初めて聞くようなセキュリティ関連用語で覚える必要がある
特に、上記についてまとめていきました。
リスクアセスメントについて
この分野も同じような用語が沢山でてややこしかったり、単語自体は簡単なので深く理解していなかったりで、過去問でよく間違えます・・・。
「リスク分析」は下記二つのこと
・リスク特定:リスクを発見する段階
・リスク算定:リスクの結果の大きさと起こりやすさを決める段階
「リスクアセスメント」は下記二つのこと
・リスク分析:上記のこと
・リスク評価:リスク基準と照らし合わせる段階
使われる暗号技術
・共通鍵暗号方式
DES(Data Encryption Standard)、AES(Advance Encryption Standard)
・公開鍵暗号方式
RSA(3人の開発者の頭文字から)
関連用語:PKI(公開鍵基盤)
サイバーセキュリティの体制、機関、組織等
・サイバーセキュリティ戦略本部:事務処理(NICS:内閣サイバーセキュリティセンター)
・JPCERT/CC:日本を代表するCSIRT
・JVN(Japan Vulnerabliry Note):脆弱性情報提供ポータルサイト
→IPA(独立行政法人 情報処理推進機構)とJPCERT/CCの共同運営
・J-CRAT(サイバーレスキュー隊) IPAが運用
・中小企業の情報セキュリティ対策ガイドライン(IPA運用)「SECURITY ACTION」制度
情報セキュリティマネジメントシステム関連
・ISMS(情報セキュリティマネジメントシステム)
→ISMS認証を取得する場合お手本にするのが、ISO/IEC 27000シリーズであり、JIS Q 27000シリーズ
ISO/IEC 27000はシリーズというくらいなので、一部ですが下記の通り沢山あります。
ISO/IEC 27000 ISMS規格群と概要と用語集 → JIS Q 27001:2014
ISO/IEC 27001 組織のISMSを認証するための要求事項
ISO/IEC 27002 情報セキュリティ管理策の実践のための規範
ISO/IEC 27007 ISMS監査の方針
ISO/IEC 27014 情報セキュリティガバナンス
ISO/IEC 27017 IS0/IEC27002に基づくクラウドサービスの為の情報セキュリティ管理策の実践の規範
過去問をやっていると、JIS Q 27000:2014(情報セキュリティマネジメントシステム─用語)とか出てきます。実際に、用語集のページにいって目を通しておくと良いでしょう。
出題の特色として、下記のようなことも書いてあることから重要ポイント間違いなし!
point02 国際・国内標準や公的なガイドラインに基づく出題!
情報セキュリティマネジメントに関する国際規格の「ISO/IEC27000規格群」(及びそれに基づく国内規格のJIS Q 27000規格群)や公的なガイドラインである「組織における内部不正防止ガイドライン」が求めている管理策・対策などを積極的に取り上げます。
ちなみに、たまに出てくる個人情報については番号が変わります。
JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)
:の後ろは発行年号?なので、あまり気にしなくて良いと思ます。
ポート番号について
トランスポート層(OSI参照モデルの第4層)におけるポート番号。
0~1024番までをシステムポート(Well-Knownポート)と呼びます。
・20 FTP
・23 Telnet(TCP)
・25 SMTP(TCP)
・53 DNS
・80 HTTP(TCP)
・110 POP3(TCP)
・123 NTP:時刻合わせ
・443 HTTPS
・587 メールサブミッションポート:SMTP-AUTH(TCP)
・1024~ ユーザーポート
その他の用語
ここからは自分が良く間違えたり、脳に定着してなくて時間が経つと忘れてしまう用語
情報セキュリティ製品:SIEM、UTM
アルゴリズム:DH、DSA
共通脆弱性評価システム:CVSS
執拗な攻撃:ART攻撃(Advance Persistent Threat)
・OpenPGP、S/MIME
・PKI(公開鍵基盤)
・TLS(Transport Layer Security:SSLの後継)
・MITB攻撃(Man in the Browser)
・RPA(robotic process automation)
・メッセージ認証符号(MAC)

今まで、どのようにITに触れてきたのかで、得意分野・苦手分野は変わってくるので、自分の知識レベルを知ることも大切だね。
受験当日
という訳で受験日がやってきました。
その前に少しだけ、受験日決定までの行動をすこしご紹介したいと思います。
受験日の設定タイミング
テキストを一通り読み終えた日。
その時の自分の知識レベルから、まず、受験日を10日後に設定しました。
これから、巻末の予想問題、サンプル問題、Web上の過去問題に取り組むには10日間ほどあれば大丈夫かな?という直感で決めました。
が、問題を解いているうちに「あれ、これ結構いけるんじゃない?」という自信が付いてきたため、逆に試験日を先延ばしにするのは時間がもったいないし、集中力が続かない危険性がありそうだったので、受験日を前倒ししました。
情報セキュリティマネジメント試験のCBT方式では、試験日の3日前まで受験の変更が可能なのです。
申込内容の変更は試験日の3日前まで可能です。
(例:試験日が4月10日の場合は4月7日)
最終的に、テキストの一週目が終わってから5日後に設定したことになります。
(ただこれは、各人の仕事の忙しさや休みの日があるかによる、勉強時間の確保ができるかどうかによって変わるかと思います)
試験開始の30分前から会場には入れる
今回の会場は横浜・桜木町です。
試験開始時間は10:00を設定したので、会場には9:30に入れるということですね。

試験会場に行くのが初めての場合は、迷って時間がギリギリになると焦って精神衛生上よろしくないので、早めに到着するようにしましょう。

特に大きなビルの場合は、商業施設入口とは別のオフィスエントランスが分かりにくい場所にあったりしますので、要注意です。
そして、これは試験会場によって違うのかもしれませんが、このCBT試験に関しては一斉テストではありません。一人一人にPCが割り当てられる単独テストです。
10:00スタートとはいえ、10:00まで待つ必要が無かったりします。
つまり、早く着いたら、早く試験をスタートできて、早く終われるということ。なので、自分はいつも30分ほど前に行くようにしています。
試験取組中・・・
PCの前に座って、試験を選択して、渡されたID、パスワードを入力。
チュートリアルを触って試験開始ボタンを押すと、第1問が表示されて試験が始まります。画面の右上には残り時間が表示されています。

あとは、自分の力を出し切るだけね!
どんな問題が出たのかは著作権等の問題で、どんな些細な事でも言うことはできません。テキストを信じて頑張ってください~。
試験終了後
CBT試験のありがたくも怖いところは、試験が終了したとたんに点数が画面に表示されてしまうところ。
「いや~、ギリギリ受かってるかも~」なんて、余韻は一切残してくれません(汗)
今回は、120分という時間を精一杯使って、残り時間0になっての強制終了でした。
画面表示に、825/1000点という表示が出たので、まず合格しているかと思います。
(正式な合格は後ほどIPAのwebページで確認とのこと)
合格証書は、受験月の翌月中旬以降に発送されるようです。楽しみに待っていましょう。
合格発表日
IPAのホームページにて、合格者受験番号を調べることができます。
そして、無事に合格を確認。

ということで、郵送で合格証書が届きました。
もう、合格していることは分かっていたのでそれほど感動はありませんが、何回受けても合格証書っていうのは貰ってうれしいものですね!

次は、システム開発系の資格に挑戦しようかと思います。実務も大切だけど、体系だった知識も大切です。日々勉強ですね。

コメント