第1回 情報セキュリティマネジメント試験の問題を解いてみました
■はじめに
ゴールデンウィークも、ついに終わってしまいましたね。筆者はカレンダーどおりの休みで、3連休・3連休・2連休という具合でした。我が家では少し前に猫を飼いはじめたこともあり、結局は遠出することはありませんでした。
そうは言っても、甲子園球場に阪神の試合を観に行ったり、ひさしぶりに家族でショッピングに行って、それぞれ欲しいものを買ったり、猫を可愛がったり…と、まあ良いゴールデンウィークでした。
もう一つ、連休中にやったことが先日に行われた、第1回の情報セキュリティマネジメント試験の問題を解いてみたことです。
■どんなものでしょう?
昨年にIPAのサイトで、試験の創設に関する情報が公開されてから、気になっていました。その頃に書いたこちらの記事には、今も毎日パラパラとアクセスがあります。
なお、筆者はこの4月の春期試験ではプロジェクトマネージャ試験を受験しました。結果は午後2の論述問題で撃沈したと思われますが…。
それはさておき(?)、情報セキュリティマネジメント試験の解答はもう公開されているので、筆者も連休中に第1回試験の問題を解いてみました。
■午前問題
まずは午前問題です。出題数は50問、すべて4肢択一の問題です。IPAの解答には、各問がどの分野からの出題であるか記載されていましたので、集計してみました。
テクノロジー系:34問
マネジメント系:6問
ストラテジ系:10問
出題比率としては、基本情報や応用情報と似たり寄ったりですね。計算問題は全くありませんでした。
難易度としては、ITパスポートもしくは基本情報の午前試験に近いレベルでしょうか。セキュリティ関連を中心に、基本的な用語を押さえておけば、合格ライン(6割)はクリアできるのではないでしょうか。
■午後問題
午後は、長文問題です。大問が3つあり、3問すべてに解答する必要があります。選択制の基本情報や応用情報とは少し違います。どの問題を選ぶかで迷ったり、後で別の問題を選択すれば良かったと後悔することもないので、良いかもしれませんね。
それぞれ、問題文が4ページ、設問が3ページ程度のボリュームです。
【問1】
最初はメールによる標的型攻撃に関する問題です。従業員が不審なメールを受け取り、さらに添付ファィルを開いてしまった場合の適切な行動と、企業としての従業員に対する意識付けについて問う内容でした。
個別の知識が求められるものではなく、無難な選択肢を選んでいけば、何とかなるような感じでした。
【問2】
2問目は業務システムの権限設定に関する問題です。セキュリティ上の規程に反しないよう、業務要件を実現するためには、システム的にどのように権限設定を行うべきかが問われました。また、権限の付与に関する適正な手続きについても問う設問がありました。問1に比べると、問題をしっかり読まないと迷う箇所がありました。しかしこの問題も、知識がないとお手上げというものではないので、じっくり臨めば大丈夫だと思います。
【問3】
最後は組織における情報セキュリティの自主点検と情報セキュリティ監査におけるCSA(統制自己評価)に関する問題です。とは言え、監査についての深い知識が求められるものではなく、問題文の文脈から注意深く解答を選んでいけば、及第点に届くのではないでしょうか。
■採点結果
ちなみに、筆者の採点結果は以下のとおりでした。
午前:48問正解/全50問(96点)
午後:27問正解/全32問(約84点)
(問1:10/10、問2:10/13、問3:7/9)
午前は、迷う問題が5~6問ほどありましたが、上出来だと思います。
午後は…勘違いもありましたが、ちょっと悔しい結果でした。
■さいごに
情報処理試験としてのレベル設定は、基本情報と同じ「レベル2」です。筆者は昨年の春期に情報セキュリティスペシャリスト試験に合格したところなので、客観的に難易度を評価するのが難しいのですが…
情報セキュリティ関連に特化した内容なので、幅広い範囲をカバーしておく必要がある基本情報に比べると、合格ラインは確保しやすいのではないでしょうか。ただ、想定する受験者層が基本情報とは違うので、単純に比較するのはナンセンスかもしれませんね。
しばらくすると、受験者数や合格者数のデータも発表されますので、またその時にチェックしてみたいと思います。
