資格の概要 | 今、世界中でサイバー攻撃が増加しつつあり、新聞紙上には毎日のようにサイバーのニュースが掲載されています。これは我が国も例外ではなく、サイバー攻撃の手口も大変巧妙化してきており、今までのウイルスのように未然に防止できるような種類の攻撃ではなくなってきています。
こういったセキュリティ問題を背景に、今後必要となるセキュリティ人材のうち、ユーザー企業の現場で情報セキュリティを管理し、対策の実務をリードできるマネジメント人材の創出を狙ったのが新試験「情報セキュリティマネジメント試験」です。従って、この試験は利用者側の現場で管理する人材に対して、情報セキュリティマネジメントの計画・運用・評価・改善(PDCA)を通して、組織の情報セキュリティ対策向上に貢献するための知識・スキルを測ることを目的としています。ただ、今求められているのはセキュリティ技術者だけでなく、IT利用者の側でも、セキュリティ人材は大幅に不足しています。2020年の国内のユーザー企業で社内向けの情報セキュリティ業務に従事する人は約31万5000人、IT企業に5万6000人いるとされていますが、 約19万3000人が不足していると試算しています。
スポンサーリンク
【受験を推奨する対象者】
上位レベルの情報セキュリティスペシャリスト試験(スキルレベル4)は主にシステム開発技術者を対象としていますが、情報セキュリティマネジメント試験はITを利用する全ての人材を対象としていますが、その中でも下記の人材を推奨しています。
①ITを利用するユーザー企業側の立場で、技術者ではなくマネジメント人材
②情報システムの利用部門の情報セキュリティリーダとして、部門の業務遂行 に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程の目的・内容を理解し、情報及び情報シス テムを安全に活用するために情報セキュリティが確保された状況を実現し、維持・ 改善出来る人材
【期待する技術水準】
情報システムの利用部門において情報セキュリティが確保された状況を実現し、維持・改善するためには、以下の知識や実践能力が要求されます。
①部門の情報セキュリティマネジメントの一部を独力で遂行できる。
②情報セキュリティインシデントの発生又はそのおそれがあるとき、情報セキ ュリティリーダとして適切に対処できる。 ③情報技術全般に関する基本的な用語や内容を理解できる。
④情報セキュリティ技術や情報セキュリティ諸規程に関する基本的な知識をも ち、情報セキュリティ機関や他の企業などから動向や事例を収集し、部門の環境 への適用の必要性を評価できる
情報セキュリティマネジメント試験は、経済産業大臣が行う国家試験の情報処理技術者試験の一区分で、試験制度のスキルレベル2に相当します。スキルレベル2の試験は、これまでシステム開発技術者向けの基本情報技術者試験のみでしたが、当試験の新設により、ITパスポート試験(スキルレベル1)合格者の次のステップアップ試験としての位置付けが想定されます。
また試験の実施は、主にユーザー企業で情報セキュリティの確保に携わる人材を対象に毎年4月と10月(春期・秋期の年2回)に実施されていますが、2023年4月以降は通年試験に変わります。
◆情報セキュリティマネジメント試験関連の情報
2023年4月から、情報セキュリティマネジメント試験、基本情報技術者試験は、通年試験(CBT)方式に変わります。 |
試験科目 | ◆試験要綱(出題範囲・シラバス・サンプル問題など)
「情報セキュリティマネジメント試験(レベル2)」シラバス(Ver.3.3)
【科目A】
・テクノロジ系:
①コンピュータシステム - システム構成要素
②技術要素 - データベース、ネットワーク、セキュリティ
・マネジメント系:
①プロジェクトマネジメント - プロジェクトマネジメント
②サービスマネジメント - サービスマネジメント、システム監査
・ストラテジ系:
①システム戦略 - システム戦略、システム企画
②企業と法務 - 企業活動、法務
【科目A】では、情報セキュリティの考え方をはじめ、情報セキュリティ管理の実践規範、各種対策、情報セキュリティ関連法規などに加えて、ネットワーク、システム監査、経営管理などの関連分野の知識が問われます。
【科目B】
・情報セキュリティマネジメントの計画、情報セキュリティ要求事項に関すること
①情報資産管理の計画
②情報セキュリティリスクアセスメントおよびリスク対応
③情報資産に関する情報セキュリティ要求事項の提示
④情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示
・情報セキュリティマネジメントの運用・継続的改善に関すること
①情報資産の管理
②部門の情報システム利用時の情報セキュリティの確保
③業務の外部委託における情報セキュリティの確保
④情報セキュリティインシデントの管理
⑤情報セキュリティの意識向上
⑥コンプライアンスの運用
⑦情報セキュリティマネジメントの継続的改善
⑧情報セキュリティに関する動向・事例情報の収集と評価
【科目B】では、業務の現場における情報セキュリティ管理の具体的な取組みである情報資産管理、リスクアセスメント、IT 利用における情報セキュリティ確保、 委託先管理、情報セキュリティ教育・訓練などのケーススタディによる出題を通して、情報セキュリティ管理の実践力が問われます。
【科目免除】
下記の試験に合格又は基準点を取れば2年間、午前Iの科目免除が受けられます。
①応用情報技術者試験に合格する。
②いずれかの高度情報処理技術者試験に合格する。
③いずれかの高度情報処理技術者試験の午前Iに基準点以上を取る。
|
資格難易度 | ●難易度
「B-下」 普通の下位
【資格の難易度レベル】
情報セキュリティマネジメント試験の難易度は、共通キャリア・スキルフレームワーク(CCSF)で情報処理技術者試験のレベルの中、基本情報技術者試験と同じ「レベル2」になっていますが、基本情報技術者試験と比較すると、出題分野は約半分で試験時間も問題数も少なくなっています。このことから考えても、当然、基本情報技術者試験に比べて難易度は低いはずです。ただ、試験の難易度は一般のビジネスパーソンが知識の確認のような軽い気持ちで、事前準備なしで臨んで受かるほど簡単な試験ではありません。
試験は「基本情報技術者試験」と同じレベル2の試験に位置づけで、レベル1の「ITパスポート試験」を合格した次のステップとして活用されることを想定していますので、情報処理技術者試験関連の参考書をしっかりと理解し、基礎問題が解ければ合格できる程度の難易度と考えられますが、今後は難易度が上昇する可能性がありますので要注意です。
(参考) 情報処理技術者試験の難易度
--------------------------------------------
●合格率
令和4年度秋期情報セキュリティマネジメント試験結果
受験者数15,420名 合格者数8,018名 合格率52.0%
※参考データ
・令和4年度春期情報セキュリティマネジメント試験結果
受験者数13,131名 合格者数8,033名 合格率61.2%
・令和3年度秋期情報セキュリティマネジメント試験結果
受験者数14,738名 合格者数7,949名 合格率53.9%
・令和3年度春期情報セキュリティマネジメント試験結果
応募者数 15,441名 受験者数14,089名 合格者数7,376名 合格率52.4%
・令和2年度(12月CBT試験) 秋期情報セキュリティマネジメント試験結果
応募者数 9,694名 受験者数9,121名 合格者数6,071名 合格率66.6%
・令和元年度 秋期情報セキュリティマネジメント試験結果
応募者数 18,550名 受験者数14,355名 合格者数6,754名 合格率47.0%
・平成30年度 春期情報セキュリティマネジメント試験結果
応募者数 19,300名 受験者数14,749名 合格者数7,926名 合格率53.7%
・平成29年度 秋期情報セキュリティマネジメント試験結果
応募者数 20,907名 合格率50.4%(受験者数17,039名 合格者数8,590名)
・平成29年度 春期情報セキュリティマネジメント試験結果
応募者数 21,162名 合格率66.4%(受験者数17,045名 合格者数11,324名) |
受験対策・資格の将来性 | 情報セキュリティマネジメント試験の対象者は、情報処理技術者ではなく「ITを利用する人」です。SEなどのIT技術者だけでなく、幅広い人が受験できるように考慮された内容になっています。情報セキュリティスペシャリスト試験の場合は「ITによる対策(技術面の対策)」が軸になっていますが、情報セキュリティマネジメント試験は「人による対策(管理面の対策)」が中心になっていますので、この試験の勉強も人による対策(管理面の対策)を中心にした方が良いと思われます。技術的な内容のものが出題されないことはありませんが、難しい技術的な深い内容のことについては、学習する必要はないように思われます。
出題されている問題の範囲から、IPAが公開しているセキュリティ関連のガイドライン以外に、個人情報保護法や特定電子メール送信適正化法、不正競争防止法、さらに労働基準法や刑法など、非常に幅広い法令やガイドライン文書の知識が要求されます。それは技術面でも同様で、公開鍵暗号やデジタルフォレンジックスなどのセキュリティ技術に関連する出題以外に、ルーターやネットワークの技術知識、さらにはデータウエアハウスなどの業務システムに関する問題もあり、かなり幅広く精通していなければなりません。試験全体を通してみると、現場の担当者のセキュリティ実務に必要な各種の知識や基本的な考え方がまんべんなくカバーされているため、この試験の合格を目指して勉強すれば、企業で職場のセキュリティリーダーなどを務める人に必要な知識はひと通り身に付くであろうことが想像できます。
具体的な受験対策として、学習法は公式テキストを活用した独学、または通学スクールの利用も可能です。
午前問題はテキスト・参考書の勉強をひと通り終えたら情報セキュリティマネジメントと基本情報技術者試験の過去問や予想問題集を通して出題範囲を主に取り組みます。時間を測りながら取り組むのがいいと思います。午後問題は午前の知識を応用した問題になるので、知識が身について午前問題がおおよそこなせるようになれば、午後問題の難解な長文問題を読み解くことの勉強をしておかねばなりません。午後問題の対策は、問題も難解で時間もかかるので大変ですが、時間を測りながら過去問も1年分くらいはやっておかねばならないでしょう。この試験の平均学習時間は目安で300~350時間、3カ月強くらいになります。
現在、国内の情報セキュリティ人材は8万人ほど不足していると言われていることもあり、今後重要性の増してくる資格になる可能性もあります。今後の発展に注目が集まるでしょう。 |