セキュリティ人材育成は必須!「情報セキュリティマネジメント試験」のススメ

ITの利用が活発になる一方、サイバー攻撃などの手口はますます巧妙化し情報セキュリティの脅威は増え続けています。そのような脅威に対応するために情報セキュリティ担当の採用ニーズは高まっていますが、働き手が増えず深刻な人材不足が問題となっています。
このままでは、2020年に19.3万人もの人材不足に陥ると推計されており、企業における情報セキュリティ人材の確保・育成は急務といわれています。
今回は、セキュリティ人材の育成のために新設された国家試験「情報セキュリティマネジメント試験」を解説します。

trend-securitytest-TOP.png

情報セキュリティマネジメント試験とは

情報セキュリティマネジメントを担う人材育成の推進のため、独立行政法人情報処理推進機構(IPA)が創設した「情報セキュリティマネジメント試験」。平成28年より試験開始され、春期(4月)、秋期(10月)の年に2回実施しています。
IT系の資格としてよく比較対象とされるのが「ITパスポート試験」ですが、こちらはすべての社会人が身に着けておく知識が出題範囲とされています。
比べて「情報セキュリティマネジメント試験」は、情報セキュリティマネジメントのPDCAを通して企業の継続的なセキュリティ確保に貢献するスキルが身につけられる、より踏み込んだ内容になっています。対象は業務で個人情報を取り扱う方、ITの安全な利活用を推進する立場の方とされており、毎年約4万人が受験しています。

受験するメリット

情報セキュリティ管理者やIT部門以外の方がこの試験を受験し、セキュリティに関する基本知識や対処法を習得したメンバーを育成できれば、組織全体のセキュリティ向上につながるというメリットが生まれます。
万が一、自社でインシデントが発生した際に、適切な初期対応をおこない、被害を最小限に抑えられる体制づくりにも役立つことが考えられます。
また、社内全体で情報セキュリティマネジメントの重要性を理解してもらうことで、リスクを抑えるとともに、セキュリティ投資への理解が高まる効果もあります。

試験内容、対策方法は?

試験は午前と午後にわけておこなわれ、午前は、情報セキュリティの管理や対策、法規に関する問題を四肢択一で解いていきます。午後は、業務現場で直面しがちな身近なケーススタディに即した多肢選択式の出題になるので、より実践的な知識が問われます。
平成30年春期試験の合格率は52.1%と情報セキュリティマネジメントについて正しく理解すれば合格できる内容となっています。

試験の内容は、情報セキュリティについての規範や対策法だけではなく、関連法規やシステム監査、経営管理などの理解度が問われるなど幅広い分野に渡る知識の習得が必要となります。
また、具体的な取り組みとしての情報資産・IT資産管理、リスクアセスメント、委託先管理、情報セキュリティ教育・訓練など、業務を見据えた実践力も問われます。

合格のためには、過去問題を繰り返し解くことで傾向をつかみ、問題に慣れることが大事です。過去に出題された問題はIPAのサイトにも掲載されていますので活用しましょう。

ではここから、実際に出題された午前問題の一例をご紹介します。
(解答は記事の最後に記載しています)

■例題1
A社では、利用しているソフトウェア製品の脆弱性に対して、ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内のPCやサーバについて、セキュリティパッチの適用漏れを防ぎたい。そのために有効なものはどれか。

<解答選択肢>
ア ソフトウェア製品の脆弱性の概要や対策の情報が蓄積された脆弱性対策情報データベース(JVN iPedia)
イ ソフトウェア製品の脆弱性の特性や深刻度を評価するための基準を提供する共通脆弱性評価システム(CVSS)
ウ ソフトウェア製品のソースコードを保存し、ソースコードへのアクセス権と変更履歴を管理するソースコード管理システム
エ ソフトウェア製品の名称やバージョン、それらが導入されている機器の所在、IPアドレスを管理するIT資産管理システム

出典:平成30年春期試験 午前 問17

■例題2
経済産業省"情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)"における、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査(保証型の監査)と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査(助言型の監査)の実施に関する記述のうち、適切なものはどれか。

<解答選択肢>
ア 同じ監査対象に対して情報セキュリティ監査を実施する場合、保証型の監査から手がけ、
  保証が得られた後に助言型の監査に切り替えなければならない
イ 情報セキュリティ監査において、保証型の監査と助言型の監査は排他的であり、
  監査人はどちらで監査を実施するかを決定しなければならない
ウ 情報セキュリティ監査を保証型で実施するか助言型で実施するかは、
  監査要請者のニーズによって決定するのではなく、監査人の責任において決定する
エ 不特定多数の利害関係者の情報を取り扱う情報システムに対しては、
  保証型の監査を定期的に実施し、その結果を開示することが有用である

出典:平成31年春期試験 午前 問40

■例題3
ボリュームライセンス契約の説明はどれか。

<解答選択肢>
ア 企業などソフトウェアの大量購入者向けに、インストールできる台数をあらかじめ取り決め、マスタが提供される契約
イ 使用場所を限定した契約であり、特定の施設の中であれば台数や人数に制限なく使用が許される契約
ウ ソフトウェアをインターネットからダウンロードしたとき
  画面に表示される契約内容に同意するを選択することによって、使用が許される契約
エ 標準の使用許諾条件を定め、その範囲で一定量のパッケージの包装を解いたときに、
  権利者と購入者との間に使用許諾契約が自動的に成立したとみなす契約

出典:平成30年秋期試験 午前 問35

まとめ

増え続けるサイバー攻撃などの脅威に対応し、情報漏洩などのインシデントを防止するためにも情報セキュリティ人材育成は欠かせません。人材育成に「情報セキュリティマネジメント試験」をぜひ活用することをおすすめします。
また、セキュリティ管理者、情報システム部門の方であれば、情報処理技術者向けのさらに難易度の高い資格や情報処理安全確保支援士(登録セキスペ)を取得し、自社の舵取りができるセキュリティリーダーを目指してみるのも良いでしょう。

このような試験を受ける際に、企業からの支援があると積極的に取り組む従業員が増えていきます。受験費用を補助するなど、会社として推進してみてはいかがでしょうか。

【参考】試験にも出題された「IT資産管理システム」って?

trend-securitytest-ss1.png

ソフトウェア情報、機器情報の把握、パッチの配布だけでなくデバイス制限、ログ管理など多様な用途で活用できるのがIT資産管理システムです。
弊社では、IT資産管理ソフト「System Support best1(SS1)」をご提供しております。
SS1はExcelのような使いやすさ・痒い所に手が届く管理者目線の便利機能が豊富・導入しやすい価格体系を特徴としており、様々な業種のお客様にご利用いただいております。
SS1を導入することで、適切なIT資産管理を効率的におこなうとともに、セキュリティ管理にも幅広く活用いただけます。SS1の機能一覧は下記よりご覧ください。

●IT資産管理やセキュリティ管理が可能!SS1の機能一覧はこちら
●SS1に関するお問い合わせはこちら

例題の正解 例題1:エ、例題2:エ、例題3:ア

著者プロフィール
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!