情報セキュリティコラム
【攻略のコツ】情報セキュリティマネジメント試験受けてみた
2022年度から受験料が大幅値上げされる「情報セキュリティマネジメント試験」。知っているのと知らないのとでは大違い!な、受験者ならではの新鮮な情報をこっそりお伝えします。
1.はじめに
弊社PCIソリューションズはゼロトラストの概念をメインにした、セキュリティ製品を取り扱う会社でもあります。ひょんなことから、元々他社でフロントSEをしていた筆者がここシー・エル・シーで働くことになり、セキュリティに関してはドが付く素人だったため、先日自費でこっそり「情報セキュリティマネジメント試験(令和3年度上期)」を受験してきました。
そして無事合格しましたので、受けてみての感想や勉強方法など、これから受験を考えている方、受験勉強真っ最中の方に少しでも役に立てればと思い、受験記を書いていきます。個人の主観が多く含まれますが、参考になれば幸いです。
手っ取り早く攻略のコツだけ教えてくれ!という方は「8.過去問サイトの活用」からどうぞ。
ここから3分でわかるまとめ資料もDLできますので、サクッと理解したい方はこちらをどうぞ。
2.情報セキュリティマネジメント試験とは?
まずどんな試験なのか簡単に説明しますと、2016年に新設された情報セキュリティ部門の基礎的知識を問う能力認定試験で、IT系の国家試験になります。ITスキル標準(ITSSといいます)というIT人材に求められるスキルやキャリアを示した指標で最高7段階のスキルレベルがありますが、そのうちのスキルレベル2に相当する、難易度としてはさほど高くない試験です。合格率は次の章に記載しています。
同じスキルレベル2ですと基本情報技術者試験が挙げられます(筆者は数字が苦手なので基本情報技術者は勉強段階で意気消沈・・・)。他に、CCNAやアップル認定テクニカルコーディネータ(ACTC)、LPICレベル2、オラクルマスター(シルバー級)、情報検定(J検)情報システム試験、サーティファイ情報処理技術者能力認定試験2級などが情報セキュリティマネジメント試験と同じくらいのスキルレベルになります。
ちなみにITパスポートはスキルレベル1、そして情報セキュリティマネジメント試験の上位試験である情報処理安全確保支援士試験(かつてセキスぺと呼ばれていた情報セキュリティスペシャリスト試験、2016年に廃止)はスキルレベルは4になります。
ところで令和4年(2022年)4月以降の試験では、受験料が5,700円から7,500円に値上げされてしまいますね。
近年の試験問題の印刷・運搬費用、会場借料等の値上がりや、新型コロナウイルス感染症対策として求められる、試験会場における座席間隔の確保や検温・消毒等の実施、一部試験区分のコンピュータ試験化などを行う中で、試験実施に要する実費が増加し、現行の受験手数料との乖離が生じていました。こうした状況を踏まえ、今後も安定的に試験制度を運営する観点から受験手数料の額が見直され、「情報処理の促進に関する法律施行令の一部を改正する政令(令和3年7月16日閣議決定)」により、「7,500 円」に改定されました。
という理由のようですが、それにしても値上げ幅が大きいなと感じてしまいます。これは何としてでも1度で合格したい。(と、心の声が聞こえます。)
試験の概要や最新情報はIPAのホームページをご確認ください。
IPA 独立行政法人 情報処理推進機構:情報処理技術者試験:情報処理技術者試験制度:情報セキュリティマネジメント試験、基本情報技術者試験(CBT方式)
3.難化している?最新の合格率は・・・
スキルレベル2とはいえ、本当に難しくないのか?ということでIPAが発表している統計資料を見てみましょう。
(参考:情報処理技術者試験 情報処理安全確保支援士試験 統計資料(ipa.go.jp))
初回である平成28年度の合格率は79.0%であるのに対し、翌29年度秋の合格率は58.4%、さらに翌30年度は49.9%と難化しているのが現状のようです。ちなみに統計最新の令和2年度の合格率は66.6%、統計には掲載されていませんが、IPAの試験結果情報によると令和3年度上期の合格率は52.3%となっており、難化と易化が繰り返されている印象です。
同統計資料を見ていて発見してしまったのですが・・・。当試験は春期と秋期と2回行われることになっていますので、それぞれの合格率と通期合わせた合格率が掲載されていますが、なんと例年、春期の方が秋期より合格率が高いのです (気になる方はご自身でお確かめください)。
これは筆者の憶測ですが、春期に受けた試験内容が外部に漏れることを考慮して、秋期の方が難しくなっているのではないでしょうか。もしそうであれば、春期に受験した方が良いのでは・・・と思ってしまいますね。
4.受験前のスキルレベルは?
筆者はIT系の学校に通っていたわけでも、新卒からITに関わっていたわけでもありません。元々医療福祉系の現場で対人業務を行っていたため、プログラミングとかエンジニアとか、ましてや情報セキュリティなど全く興味のないまま、年収を上げたい一心でなんとか異業種転職を成し遂げたのです。
まずSES(システムエンジニアリングサービス)で顧客管理ツールの保守運用業務を、そこから右も左も分からないまま自社開発のフロントSEとなり、正直、筆者はTCP/IPなど基礎知識を持ち合わせておりません。
どれくらい基礎知識がないか白状しますと、OSI参照モデルがいまだにちんぷんかんぷんで、2進数の計算がぎりぎりできるかな? 1バイトが8ビットで、1024が何かしらの区切りだったよなぁ(遠い目)、という程度です。
困ったことに、興味がないので勉強しても専門用語が頭に入ってこない、理解ができない、理解するためにもっと知りたいとは思えない、そんな状況でした。
こんなレベル感ですが、一応「情報セキュリティマネジメント」受験以前にも、情報処理系の資格はいくつか持っていました。
・情報処理技能検定 表計算 2級
・日本語ワープロ検定 3級
・ITパスポート
上2つは高校生の頃の授業で、IパスはフロントSEになってから取りました。そして、業務でLinuxを使っていたのでLPICも受験していましたが、これこそコマンド少し使えますよ、程度の知識しか持ち合わせていなかったのでさすがに落ちてしまいましたが。
5.試験の仕組み
令和2年度試験からCBT方式(Computer Based Testing)になったのは受験を考えている方ならもうご存知かと思います。試験会場に出向いて、試験会場に用意されているPCで回答をするというものですね。
勢いで試験を申し込んだは良いが、概要をよく読んでなかった!そんな方はここをじっくりお読みください。
・午前試験:ストラテジ系/マネジメント/テクノロジ系
・午後試験:問1/問2/問3
試験は「午前試験」と「午後試験」に大別されます。これは別に開催時間の話ではないので、夕方に午前試験を受ける、なんてことも可能です。ややこしいですね。
「午前試験」と「午後試験」は別日に受験しても良く、午前試験が合格しないと午後試験を受験できない、というわけでもありません。何なら午後試験を先に受験することも可能です。
理由は後述しますが、むしろ、午後試験を午前試験より先に受験したほうが得策かもしれません。
試験終了後にメールで得点が送られてくるので、もし午前試験の結果が不合格であろう点数であったとしても、引き続き午後試験を受験することは可能です。もちろん辞退することも可能ですが、どんなものか試しに受験する方も多いようです。
しかし午前・午後両方が合格点に達しなければまた1から受験しなおさなければなりません。もし不合格の場合、試験申込期間内であれば1回のみ再受験が可能です。
6.〇〇だけは絶対に注意
受験に関して最も気を付けなければいけないのが、そう「遅刻」です。試験開始時間の15分前「まで」に集合しなければなりません。試験開始の15分前「から」受付開始ではありません!
筆者は30分以上前に会場に到着しましたが、そのまま受付を済ませ、予定開始時間より前に受験することができました(会場によって扱いは異なるかもしれませんが)。スタッフの方に確認してみると「席が空いていれば開始時間前でも大丈夫」とのことでした。
また、交通網の事情で遅刻したのに受験できなかった、遅刻をしたけど時間をずらす対応をしてくれた、など会場によって遅刻に対する扱いが若干異なるのも事実なようで、どんな理由であれ、返金はされないのです。とにかく15分前「まで」に会場に着くように気を付けなければいけません。
7.限られたリソースで
・完全に独学・フルタイム勤務をしながら、隙間時間に
・ツールは過去問道場のみ(参考書なし)
・本気で勉強した期間は1か月(申し込みをしてから)
既に勉強されている方ならおなじみかもしれませんが、過去問道場という無料の過去問サイトを利用させていただきました。筆者はこれ1本で、他に参考書やアプリなどは使用していません。ユーザー登録が必要ですが、ネット環境があればどの端末からでも利用できるので便利です。
また、ITパスポート取得時も同様にこのサイトのみで合格できたので、本当に頭が上がらないのです。勝手に神サイトと呼ばせていただきます(回し者ではありません)。ちなみにLPICはPing-tというサイトで勉強していました(実力不足で不合格でしたが、ここも無料で使えて合格体験記も読める神サイトです)。
本気で勉強をした期間は約1か月。申し込みをしてから受験までの約1か月は、始業前の1時間・昼休み・終業後と、隙間時間を試験勉強に捧げていました。テレワークで時間に余裕ができたのも、時間が確保できる大きな要因でした。
ですが、
1月:ITパスポート受験
4月:情報セキュリティマネジメント試験を意識(過去問を解いてみてレベル感を確認)
7月:受験申込→試験
という流れでしたので、Iパスの知識が残っている状態で挑めたのはとても良かったと思っていますし、そのようにしている受験者も多い印象でした。
上のグラフは筆者の過去問サイトでの過去問回答状況をグラフにしたものです。
ご覧になると分かるように、日が過ぎるにつれてこなした問題数がグンと増えていっています。同じような問題を繰り返し解くことで知識が身についてすぐに答えが分かるようになったり、勉強の習慣が身に付いてきてやる気が出てきている証拠だと思っています。
情報セキュリティマネジメント試験を意識し始めた4月から6月の間に、300問近く解いていましたが、これは「どんな問題が出るのか」とレベル感を確認するためでした。実際に解いてみると、ITパスポートで見たような問題も沢山あることに気付かされます。後述しますが、ITパスポートの過去問も出題範囲となっているためでした。
そのため、ITパスポートに受かったらすぐに情報セキュリティマネジメント試験を受けるのが、一つの必勝法に思えます。
8.過去問サイトの活用
過去問サイトを利用した勉強法の前に、情報セキュリティマネジメント試験の基礎情報を知っておく必要があります。冒頭で2016年に新設された試験とお伝えしましたが、それはつまり、情報セキュリティマネジメント試験は過去問自体が少ないということです。
ですので、情報セキュリティマネジメント試験の過去問だけでなく、ITパスポートや基本情報技術者試験のセキュリティの分野の過去問まで抑えておくと良い(というより、別試験の過去問が本試験に流用されている、らしい)です。
・情報セキュリティマネジメント試験の過去問400問
・下記試験の過去問650問
・ITパスポート
・基本情報技術者
・応用情報技術者,ソフトウェア開発技術者
・情報セキュリティスペシャリスト,情報セキュアド
・上記試験の法務分野
計1050問
実際、筆者が利用した過去問サイトでは、情報セキュリティマネジメント試験の過去問以外の過去問も含め上記1050問が用意されています。しかも進捗状況や正答率が一目で確認できるため、モチベーションの維持にも役立ちました。不正解だった問題だけを出題したり、分野を絞って出題することも可能です。
8-1.午前試験対策
この1050問の過去問はすべて「午前試験」の内容になります。遠い道のりのように感じますが、まずはこの1050問をひたすら解きました。試験の効率の良い勉強法で、テキストを1から読まずにひたすら過去問を解くというやり方があります。それを実行しました。アカウント>学習履歴管理>「未回答を出題」を選択すると漏れなく回答できるのでおすすめです。
筆者は結果的に、1050問の過去問を1週し、2週目に突入。1110問こなしたようでした。
答えが合っていても間違っていても解説を読む。正解ではない選択肢のどの部分が違うのか、すぐに答えられるように。これで、過去問を解き終わるころには7割くらいの正答率は確保できるかと思います。筆者は上の画像の通り、過去問の正答率77.2%で本番に挑みました。
しかし、もっと時間のある方や今まで全くITに関わったことのない方、合格が目的ではなくきちんと知識を身に着けたい方はテキストで1から勉強した方が良いかもしれません。さもなくば、試験が終わったらすべて忘れているという状態になってしまいます。
8-2.例えば覚えづらいISOは語呂合わせで
語呂合わせと言えば「1192作ろう鎌倉幕府」が有名ですが、どこかのサイトで見た下記の語呂合わせも、暗記には非常に役に立ちました。ここ、テストに出るので覚えて帰ってくださいね(約束はできません!)。
ISO 90000→クオリティ→品質マネジメントシステム
ISO 14000→いーよかん→環境マネジメントシステム
ISO 15000→行こう個人で→個人情報保護マネジメントシステム
ISO 20000→にんまりサービス→ITサービスマネジメント
ISO 27000→丈夫なつな→情報セキュリティマネジメントシステム
ISO 30000→災害→リスクマネジメント
他にも、なかなか理解できない、似ていてややこしい!と感じるものも多々出てくるかと思います。例えば筆者は「AES」と「RSA」の特徴がなかなか覚えられませんでした。過去問を解いていくと、また間違えた!と自分の苦手が浮き彫りになるので、そうした弱点の部分だけをノートにメモしていました。
AES・・・米発祥、共通鍵なので、暗号化と複合化に同じ鍵
RSA・・・公開鍵なので、鍵は別
こんな調子です。まぁ、試験が終わった瞬間に忘れてるのですが。ここが苦手だった、という事実だけは覚えています。
午前試験攻略のポイント
①とにかく過去問をひたすら解く
②他の選択肢が「なぜ違うのか」まで理解する
③自分の弱点ノートを作っていつでも見返せるように
8-3.午後試験対策
筆者は初め午後試験のことは全く頭になく「午後試験?なにそれおいしいの?」という感じで、午後試験に手を出したのは試験本番の1週間前でした。むしろ、直前に手を付けたのが功を奏したと、今となっては思います。
過去問道場>過去問題解説>(試験を選択)>最下部までスクロールすると午後問題を実際に解くことができます。この時「問題文と設問を画面2分割で開く」を選択すると、より本番に近い形で挑めるのでおすすめです。
午前試験は4択問題でどちらかというと暗記ものですが、午後試験は長文読解の大問が3つ、その中に小問がいくつかある形式です。
「インターネットを利用した振込業務の情報セキュリティリスク」
や
「ECサイトの情報セキュリティの改善」
など問題のテーマがあり、こんなことをしている会社で・・・と会社の設定と、そこでインシデントが発生してこんな対応をした、などというストーリー形式です。穴埋めや組み合わせで、選択肢が10ある問題もあります。
試験時間は90分に対し、問1~3まであるので1問にかけられる時間は30分。長文が苦手な方は、とにかく数をこなして目を慣らすのが吉です。と言っても上から下まで正直に一言一句読む必要はなく、先に設問を確認して、聞かれている内容の前後を読むだけで良いのです。
8-4.午後試験攻略の例
CBT方式では画面左が問題文、画面右が設問・回答欄と分かれています。筆者が参考書をやらず過去問サイトをおすすめするのは、本番がCBT方式だから、ということもあります。
過去問道場>過去問題解説>(試験を選択)>最下部までスクロールすると午後問題を実際に解くことができます。この時「問題文と設問を画面2分割で開く」を選択すると、より本番に近い形で挑めるのでおすすめです。
令和元年秋期 午後問1を例にとって午後試験の解き方のコツを簡単に説明します。
1.まず設問を確認(画面右が設問欄)
設問1〔攻撃1への対応〕について,(1)~(4)に答えよ。
(1) 本文中の[ a ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
[ a ] に関する解答群
ア:Jサイトの顧客の個人情報が保存されているデータベースの管理用アカウントの認証情報を利用して不正アクセスする
イ:Jサイトの顧客の個人情報が保存されているデータベースの脆弱性を利用して不正アクセスする
ウ:Jサイトのパスワード入力時のパスワード判定ロジックの脆弱性を利用する
エ:認証情報のリストに不正にアクセスし,改ざんする
オ:認証情報のリストを入手して利用する
2.そして上記の設問に対して、問題文を確認(画面左が問題文)
3.記述から[ a ]を探す。
すると、記述の中ほどに[ a ]が出てきました。
「攻撃1では,最近よく聞く,[ a ]という方法が使われたと考えています」ということで、攻撃の手法が問われているわけですから、「〔攻撃1への対応〕」の会話部分を読むことで答えを推測できます。
ちなみにこの問題の答えは「オ」です。こんな調子で問題文を見ていくことで、じっくり考える時間を生み出すことができます。もちろん時には前提となっている条件まで戻って読む必要もありますが、大体の答えはすぐ近くに隠れています。
午後試験はほぼ時間との戦いなので、関係のない部分は読まなくてOK、くらいの心持ちでいた方が無駄な時間を消費しなくて済みます。もちろん時間に余裕ができたら、しっかり読み込みましょう。
筆者は午後試験の過去問は4回分くらいやったかな、という感じです。が、実際本番に挑んでみると「この問題、やった気がする」という状況になり、この「やった気がする」問題だけ正答率が91%と上出来でした。
つまり・・・明言はできないのですが、過去問をひたすら解くということはそういうラッキーパターンに繋がり得るということなのです。
午後試験攻略のポイント
①対策は直前でOK
②過去問サイトで画面を2分割!
③記述は全部読む必要なし
9.試験当日の落とし穴
ここまで、試験の仕組みや過去問への取り組み方などをお伝えしてきましたが、同じ日に午前試験・午後試験とも受験する方へ、ひとつ大事なことをお伝えします。
「お昼ご飯を食べすぎないで!!!」
もう一度言います。
「午後試験の前に、お昼ご飯を食べすぎないで!!!」
理由はもうお分かりですね。お腹が一杯になって、眠くなります。「お昼ご飯を食べて、ゆっくりリラックスしてから午後試験に挑もう!」などと考えていたら、午後試験の長文読解が、頭がぼんやりして解けなくなってしまいます。
いかに用語を暗記するか、仕組みを理解するかなどにこだわっていたため、ここは筆者も非常に盲点でした。本番に眠気で本領を発揮できなければ本末転倒になってしまいますもんね。
「糖分が足りなくなって頭が回らない」という方もいらっしゃるかもしれませんので絶対とは言えませんが、チョコ1枚とかラムネ数粒とか、それくらいで十分だと筆者は感じました。
午後試験の最中、隣の受験生(50代くらいのオジサマ)が思わず低い声で「はぁ~~っ?」と唸ってしまうほど、やはり難しかったり頭が回らなかったりしますので、頭がクリアな状況で受けられると良いですね。
筆者は午前試験と午後試験を同日にし、午後試験の後に引き続き午後試験を受験できるようにしました。具体的には・・・
・(午前)10時45分からスタートし90分間
・(午後)13時からスタートし90分間
この計算だと午前試験は12時15分に終わるため、午後試験の集合時間までは30分の自由時間。どこかでゆっくり食べている時間がないと言えばそれまでですが、一旦会場の外に出て、風にあたりながらラムネだけ食べていた気がします。
そして先述した通り「席が空いていれば開始時間前でも大丈夫」とのことだったので集合時間の15分前よりも早めに再度受付をし、早めに受験することができました。我ながら良い時間配分だったと思いました。
10.結果発表
試験当日は、難化しているという話も合って不安でしたが、「過去問で7割できているからギリギリいけるかな?」という感じでした。午前試験は実際に受けてみると「こんなの聞いたことないよ!」という問題もぽろぽろと。確実に合っていると思う問題もあり、6割はできたかなという感覚で、結果は76点。
午後試験は、「過去問をやっておいて良かった」の一言に尽きます。問題文の上を見たり下を見たり「この根拠はどこ?」というのをじっくり探さないといけないので、頭がクリアじゃないと情報を整理して関連付けるのに苦労していただろうと思いました。結果、76点とまずまず。
ということで、試験のスコアは受験後すぐにメールで送られてきます。このメールでは合否は分からず、大体1か月待つ必要があります。午前試験・午後試験とも100点満点中の60点を取れれば良いので、特に出題分野ごとにすべて6割取れなければいけないというわけではありませんのでご安心くださいね。
採点方式・配点・合格基準については試験要綱の14ページに記載されているので参考になさって下さい。
参考:試験要綱(IPA)youkou_ver4_6.pdf (ipa.go.jp)
11.まとめ
ということで、ほんの数か月前の出来事なのにだいぶ忘れているなぁと思いながら、筆者の実体験を元に書いてきました。正直なところ、興味がないと資格取得がゴールになってしまい、あまり知識として身に付いていないのでは・・・と感じています。誰にでも得手不得手がありますのでそればかりはしょうがないですが。
再三申し上げている通り、筆者はこの分野(IT全般やセキュリティ関連)は好きでも得意でもなく、そして資格を取ったからと言って資格手当が出るわけでも誰かからご褒美が貰えるわけでもありません(笑)。にもかかわらず、こっそりと勉強をして、こっそりと資格を取得しました。
それは何故かと、社会人になってもなお「勉強を続ける」という姿勢、目標を決めてそこに向かって努力を続けるその姿勢が大事だから、と思っているからに他なりません。この努力は必ずどこかで誰かが分かってくれるはず。。。そう信じてこのコラムを締めたいと思います。
人気記事ランキング
課題・トラブル別で製品を探す
ABOUT Psol
2022年10月1日付で
PCIソリューションズ株式会社と
株式会社シー・エル・シーは、
合併しました。
システムの最適化を提案する
エキスパートとして、
PCIソリューションズ株式会社の
一員となり、活動していきます。
CLCとしてさまざまな業種のお客様から
システムについてのご相談をいただき、
そのつど問題の的確な解決に努力してきた経験を
PCIソリューションズでも
変わらずご提供させて頂きます。
引き続きご愛顧のほど宜しくお願い致します。
