2019年の春に、情報セキュリティマネジメント試験を受けてきました。
無事合格できたので試験概要と勉強方法をご紹介します。
情報セキュリティマネジメント試験とは
IPA(独立行政法人 情報処理推進機構)が実施している国家試験の一つです。
平成28年に設立された、比較的新しい資格になります。
資格の位置づけとしてはこんな感じ。
(IPAのホームページ上から引用しました)
情報セキュリティマネジメントの役割と難易度
詳細はこちらの公式HPを見ていただければと思います。
情報セキュリティマネジメント試験 ~機密情報を守る情報管理の要~
情報システムの利用部門向けです。
主にセキュリティの知識が求められますが、試験内容はシステム開発や会計分野も含んでいます。
情報システム利用部門といっても、今や職場で情報システムを利用しないところはないと思います。
(社内メールや掲示板なども、広い範囲でいえば情報システムといえますから)
利用者向けの資格としては、ITパスポート試験の上位に位置づけられます。
難易度としては以下のように感じました。
※私はITパスポート試験を受けたことはないですが、
その前身の「初級システムアドミニストレータ」を取得しています。
情報セキュリティマネジメント試験を受験できる時期は春・秋(4月・10月)です。
受験した理由
仕事で取っておいたほうがよさそうだと思ったからです。
私の本職はPC関係のヘルプデスクなのですが、時々セキュリティに関する問い合わせも受けます。
- 「パソコンを使っていたら変なメッセージが出てきた」と言われた
- 見覚えのないメールに添付されているファイルをうっかり開けてしまった
- USBメモリからコンピュータウイルスに感染した
- 出張するのでパソコンを持ち出したいが手続きがわからない
- 出先でパソコンを紛失してしまった、盗まれた
- 共有パソコンのパスワードを使いまわしている(しかもパスワードが2桁とか…)
- 機密文書と思われるものを裏紙として使っている
結構初歩的なトラブルも多いのです。
特にスパムメールは、何度も繰り返して注意喚起しても無くならないんですよね。
※数年前にはセキュリティ監査をしたこともありますが、監査対象部門によっては散々な結果でした。
私自身はIT関係の会社に所属しているので、会社自体が情報セキュリティマネジメントシステム(ISMS)の認定を受けていますし、全社員が毎年Eラーニングでセキュリティ教育を受講したり、社内監査を行っています。
しかしお客様の会社では情報セキュリティ意識が乏しく、社員全員への情報セキュリティ教育の必要性を話しても、
そんなの、工数がもったいない
と言われたことがあります。
さすがに情報漏洩のリスクや、ウイルス騒ぎが起きて最近は情報セキュリティ意識が上がっていますが、年配の方は「そもそもパソコンのことがよくわからない」という方もいらっしゃいます…。
お客様に「こうしたほうがいいですよ」とアドバイスできるようにするためにも、もっと自分が知識をつけなくてはいけないと思いました。
あとは、会社自体が情報処理試験の受験を推進しているので、合格すると一時金がもらえたという理由も大きかったですね。
情報セキュリティマネジメントの資格を持っているからできる、という仕事はありませんが、情報セキュリティに関する一通りの知識をつけるうえでは有用な資格かなと思います。
試験対策
主に下記のテキストを読みました。
情報処理教科書 出るとこだけ! 情報セキュリティマネジメント 2019年版
テキストを買ううえで気を付けたいのは「最新版」を買うことです。
何度も受験しているなら話は別ですが、初めて受ける場合は数年前の中古本ではなく最新版にしましょう。
特に情報セキュリティマネジメント試験は、情報処理試験の中では比較的合格率が高いほうですが、年々難化しているともいわれており、試験傾向が変わる可能性もあるからです。
午前対策
上で紹介しているテキストを読み進めました。1~2か月くらいだったでしょうか。
まとまった時間が取れなかったので、会社の昼休み時間を利用して数ページずつ読んでいきました。
午後対策
上で紹介しているテキストに、午後問題も載っていますのでざっと読んでみるとよいです。
ただし、私は実務経験があったのでほとんど午後問題の対策らしきことはしていませんでした。
参考にならずすみません。
過去問がおすすめ
どのような試験問題が出てくるかをつかむためにも、過去問を一度やっておくことをおすすめします。
そういう私自身は過去問すらやっていませんでしたが、
高校時代から長年情報処理試験を受け続けていたため、出題方式に慣れていたことが大きいです。
ですので、本来は過去問をやったほうがいいです。
IPAの公式サイトには過去の試験問題が公開されていますので、ひとまずこちらを見てみると
どんな感じかつかめると思います。
基本情報技術者試験の範囲も少し含んでいる
基本情報技術者試験の受験経験がある人は、学習範囲が少し重なるので勉強したことが生かせます。
私は、基本情報技術者試験の前身である第二種情報処理技術者試験のときから受けてました…。
(高校の時に受け始めて、社会人3年目くらいでやっと合格しました)
実際に試験を受けてみた感想
実務経験があったので、あまり難しさは感じませんでした。
午前問題はセキュリティ分野以外にシステム開発や会計分野も含んでいますので、そのあたりを学習していないと取りこぼしてしまいます。
会計分野は単語を知っているだけでも解けたりするので、落とすと非常にもったいないです。
午後問題は読解力が重要です。
長文形式なので、文章の中にキーとなる用語や前提条件が隠れています。
しかし午前問題の知識がないと解けないので、やはり優先するのは午前対策になります。
問題用紙への書き込みはOKなので、ここ重要かな?と思うところは下線を引いたりチェックしておきました。
最後に
実は試験が新設された平成28年の春にも受験申し込みをしていたのですが、ちょうど息子の出産前で臨月に入っていたので断念した経緯があります。
改めて受験して一発合格できてホッとしました。
仕事上、情報セキュリティに関する問い合わせを受ける身としては、取っておいてよかったと思います。
必須の資格ではないですが、業務知識の棚卸しにはなります。
情報処理に関する国家資格は
- 初級システムアドミニストレータ
- 基本情報技術者
- 情報セキュリティマネジメント
で3つ目になりますが、しばらくはもう受けることもないのかな~と思います。
開発業務に携わっていないので応用情報技術者を受けるモチベーションがありませんし…。
それでも、何かしらの勉強は続けていきたいと思っています。
少しでも参考になれば幸いです。