情報セキュリティマネジメント試験のレベルと勉強法

２０１６年４月から実施の情報セキュリティマネジメント試験の位置づけと対策について記載していこうと思います。

試験方式

４月、１０月の年２回、試験会場で行われます。受験料は５７００円（国家資格なので非課税）です。

午前の部９０分、午後の分午後９０分で、間に昼休みが入ります。

回答は選択式のマークシートで記述要素はありません。

午前は４択から１つを選んでマークです。

午後は中問が３つあり、午前よりは長めの問題文を読んでいくつかの小問で選択肢を選んでマークです。

全問必答であり選択問題はありません。これは良いことでして、選択問題がないということはどの問題を選択したかによって有利不利がなく公平です

レベルはどのくらいか

難易度はITパスポート試験より上で、基本情報技術者試験より下です。

位置的にはITパスポート試験寄りでしょう。基本情報技術者試験よりは幾分簡単になります。

情報セキュリティマネジメント試験に受かったとしても、基本情報に受かるレベルに達するにはかなり道のりは長いと言えます。

情報セキュリティスペシャリストとの違い

多くの人が一番気になるのはここだと思います。すでに情報セキュリティスペシャリスト試験がありますが「住み分けはどうなっているのか？」というのが気になる疑問点でしょう。

試験を実施している情報処理推進機構の公式見解としては、情報セキュリティマネジメント試験は「ITを利用する側」の人材育成であり、情報セキュリティスペシャリスト試験はITを専門職としたITベンダーの技術者、ユーザー企業のシステム部門で働く者を想定しています。

企業には部署に数名の「総務担当」、「庶務担当」のような人が分散して置かれています。それらの人は情報システムのログインIDの管理も行っており、システム関連の窓口としてシステム部門との間に立っていることが多いのです。そういった人たちはシステム部門からやってきている人ではなく、例えば営業部門だったらその営業部門の中で庶務担当のような人を持ち回りで決めており、その中でIT担当も持ち回りでやっていることが多いのです。

どちらかというとやらされている、という感じの人が多いので決して情報セキュリティに詳しくない人がその部署の情報セキュリティの庶務をやっていることが多いというのが日本の現状です。

「本業は営業だけれども、情報セキュリティ担当になった」という人を想定して、最低限のIT知識を身につけてもらうためにITパスポートや情報セキュリティ”マネジメント”試験があるわけです。

最初からITを本業として専門的に働こうと考えている人は情報セキュリティ”スペシャリスト”の方が最適でしょう。

ベクトルは違っても難易度はスペシャリスト＞マネジメント

このように、情報処理推進機構の公式見解としては情報セキュリティマネジメント試験と情報セキュリティスペシャリスト試験との間には優劣はないのです。

前者はITを利用する側のための試験であり、後者はITを専門職としている人たちのための試験だからです。つまり両者は別の方向を向いているため、ベクトルが違うということで同列に比較はできないというのが公式見解です。

とはいってもそれは建前であり、実際はスペシャリスト試験の方が格段に難しく、スペシャリスト試験に合格している人なら情報セキュリティマネジメント試験は無勉強でも余裕で合格できるでしょう。

しかし、あくまでも国の立場としては情報セキュリティ「スペシャリスト」試験と情報セキュリティ「マネジメント」試験は求められているものが違うのです。ベクトルが違う以上、「私は情報セキュリティスペシャリストに合格しているから、情報セキュリティマネジメント試験を受けてなくても受かったのと同じでしょ」と言っても、公式にはそういった言い分は認められないということです。ただし、実力ですべてをはかっているベンチャー企業のようなところなら、「情報セキュリティスペシャリストもってるなら情報セキュリティマネジメントはいらない」と言われるでしょう。ですが昔ながらの大企業や役所であると、情報セキュリティマネジメント試験は情報セキュリティスペシャリスト試験の下という位置づけではなから両方取得するように、と言われることもあるかもしれません。

スペシャリストはスタッフ、マネジメントはライン

これは経営学や行政学での概念ですが、企業でも役所でも組織の中にはラインとスタッフがあります。

例えば財務部、総務部、人事部、システム部はスタッフです。営業や製造やカスタマーサポートや開発はライン部門です。

何が違うかというと、スタッフというのは企業全体のためにサポートをしている部門です。一方ラインというのは上意下達の命令系統で下部にある部署にあれこれ命令できます。

一方でスタッフの部署はラインの部署に横槍のように命令することはできません。財務部が営業部門にどうこう営業するように言えないのです。あくまでもスタッフは経営者のサポート役であり、経営者にスタッフが助言して、その通り命令を実行すると経営者が判断したらライン部門に命令が降りていきます。

さてこれが情報セキュリティマネジメント試験にどうかかわってくるかというと、情報セキュリティマネジメント試験はラインで働く人用の資格です。一方で情報セキュリティスペシャリストはスタッフの人用の資格になります。あまりも大雑把に区分しましたが、マネジメントとスペシャリストというのは経営学の概念でも明確に区分されているのです。

 

学生で受験を考えている方

情報セキュリティマネジメント試験は、社会人の業務上の要請が強い試験なので、私は学生ならば基本情報と応用情報を取得することを優先すべきだと考えます。

学部生だったら就活の前の受験チャンスは３年分の計６回です。かといって大学１年の４月試験を申し込んでる人なんてそうそういないでしょうから、実質５回くらいでしょう。だったら情報セキュリティマネジメントより、基本情報や応用情報、各種スペシャリストの合格に時間を使ったほうが良いです。

理系かつ情報科学・情報工学を専攻している学生ならなおさらです。

一方で、基本情報に受かる自信があまりない人は情報セキュリティマネジメント試験を受けてもいいかもしれません。

基本情報や応用情報はというのは国政選挙と同じように、直前の対策でおおきく情勢が変わるようなものではありません。選挙で当選するかどうかは２週間後の投票を待たずに、立候補して出た瞬間にわかると言われているほどです。

同様に、資格試験も受かる人はだいたい受かると自分でもわかってるものなのです。出た瞬間に勝ち負けがわかるように、もともと受かる人は「受験申込したらもう受かったも同然」という自信がすでにあるはずです。

そこまで自信が持てないようだったら情報セキュリティマネジメント試験、さらにそれさえも危うかったらITパスポートで行くべきでしょう。

社会人で受験を考えている方

まずいわゆるIT業界にいる方。～総研やシステム子会社にいる人は応用情報か基本情報から受けるべきです。特に応用情報は２５歳くらいまでに急いで取っておくべきです。

一方で、ITには疎いのに情報セキュリティを任されてしまった業務部や内部監査部の方々。そういう人は情報セキュリティマネジメント試験がぴったりなので基本情報や応用情報の前に受けるべきです。

ただし、ITパスポート試験の過去問を解いてみてもかなりあやしいという状態だったら、ITパスポート試験を受けてみたほうが良いです。ITパスポート試験は一週間前の申し込みでもイツでも受験できるようになっています。４月や１０月の試験までまだ時間があるようだったら、ITパスポートを受けてみてその結果をみて情報セキュリティマネジメント試験を考えてみれば良いと思います。

過去問をベースとした試験対策をする

予想問題よりも過去問ベースの勉強法がおすすめです。

試験を実施している情報処理推進機構に過去問が無料で載っています。

過去問題 | 試験情報 | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「過去問題」に関する情報です。

www.ipa.go.jp

私はいつもこれをダウンロードして、必要ならB5サイズに印刷して解いています。試験本番の問題冊子はB5サイズです。解説はなくても解答がついているのでこれで十分です。私は情報セキュリティスペシャリストのときだけ過去問を買いましたが、それ以外は何も本を買っていません。

もしネットで検索した解説でもよくわからなかったり検索するのが面倒であったら、アイテックが出版している過去問題集がおすすめです。予想問題集や教本（重点対策）ではないので注意してください。試験対策はいきなり過去問から入らないとものすごく遠回りになります。教科書や予想問題集を読む前に、過去問題集をすべてといてください。それでも時間があまっているのなら予想問題集に手を出していいと思います。

１～５の順で、時間がゆるすかぎり１，２，３・・・と進んでいきます。

１．まずはITパスポートの過去問題をひたすらときます。４拓問題です。中問も解きましょう。

２．次に基本情報技術者の午前問題を解きます。午後問題はやらなくていいです。

３．情報セキュリティスペシャリスト試験の午前II問題をときます。これも４拓問題です。ここから少し難しくなるので、わからないところはネットで調べましょう。問題集としてはアイテックのがおすすめです。午前Iは後回しです。

４．応用情報の午前問題を解きます。これも４択です。午後は解きません。

５．高度情報処理技術者試験の午前I問題を解きます。これも４択です。

 

この数字の順番と難易度は一致していません。難易度は難しい方から　３＞５＞４＞２＞１という順です。

しかし、試験対策として解くべき順番は１から５の順です。３が難しいからといって後回しにせず、４，５より優先して解きましょう。

予想問題集はいらない

私は予想問題集にはまったく意味は無いと考えている派です。IPAが作った過去問にこそ意味があります。いくらIPAの過去問を分析して予想問題を作ってもそれは偽物にすぎません。

さらにまだ過去問が蓄積されていない情報セキュリティマネジメント試験ならなおさらです。

過去にITパスポートや基本情報や応用情報で出題されたセキュリティ分野を焼き直して出題されるだろうことは容易に想像できるので、過去問ベースの対策をおすすめします。

私がおすすめしている過去問題集はアイテックのものですが、今回発売されたアイテックの問題集は「予想」問題と「過去」問題がドッキングされたものになっています。本来は「予想」問題集と「過去」問題集はそれぞれ独立した別の本として出版されますが、まだ情報セキュリティマネジメント試験の実施回数が少なすぎるため過去問題が全然蓄積されていません。だから予想と過去問題を一緒にして一冊の本にしたんだと思います。

予想問題集はいらないといっても過去問題と一緒についてきてしまうので、まずいちばん最後の章の過去問題を十分に解いてから時間があまったら前半の予想問題部分も解くという順序をおすすめします。

年月が経って過去問題が５回分くらい蓄積されてきたら過去問題を解くのみで十分です。