筆者の実体験に基づき、合格のために必要な勉強法を記載しているのでぜひご参考にしてください!
・情報セキュリティマネジメントってどんな資格なの?
・情報セキュリティマネジメントに合格するにはどんな勉強法があるの?
・合格した人はどんな勉強をしていたの?
情報セキュリティマネジメントとは
情報セキュリティマネジメントはIPA(情報処理推進機構)が主催する情報処理技術者試験の一つです。
IPAはITSS(ITスキル標準)というITに関する能力を評価する指標を公表しています。
基本情報技術者は7段階のレベルの中でレベル2と定められており、難易度は中程度の資格となります。
ITエンジニアとして必要となるセキュリティに関しての知識・技能を身につけることができるので新米ITエンジニアやITパスポートの次に受ける資格を探している方向けにおすすめの資格となります。
■社会人/学生
IPAが公表している応募者、受験者、合格者の内訳と合格率(令和5年5月度)は下記の通りとなります。
応募者の9割が社会人で社会人の合格率は79.1%となります。
学生も1割弱応募しており、合格率は社会人には劣るものの67.0%となっています。
受験者全体の合格率は78.2%とIT資格の中では高い水準となっています。
| 種別 | 応募者 | 受験者 | 合格者 | ||
| 人数 | 構成比 | 人数 | 人数 | 合格率 | |
| 社会人 | 2,454 | 92.2% | 2,250 | 1,780 | 79.1% |
| 学生 | 208 | 7.8% | 188 | 126 | 67.0% |
| 合計 | 2,662 | 100% | 2,438 | 1,906 | 78.2% |
■社会人内訳
社会人の応募者、受験者、合格者を経験年数別にまとめると下記表の通りとなります。
合格率は経験年数に依存せず、70〜80%程度となっています。
仕事での経験では知識・技能が偏る傾向があるため、試験のために対策を行う必要があることがわかります。
応募者数を見ると無記入を除き、24年以上が18.8%と一番多くなっており、予想に反して年次の高いエンジニアが多く受験していることがわかります。
| 経験年数 | 応募者 | 受験者 | 合格者 | ||
| 人数 | 構成比 | 人数 | 人数 | 合格率 | |
| 経験なし | 5 | 0.2% | 5 | 3 | 60.0% |
| 1年未満 | 58 | 2.4% | 50 | 45 | 90.0% |
| 2年未満 | 95 | 3.9% | 86 | 70 | 81.4% |
| 2年以上 4年未満 | 121 | 4.9% | 106 | 86 | 81.1% |
| 4年以上 6年未満 | 110 | 4.5% | 99 | 82 | 82.8% |
| 6年以上 8年未満 | 99 | 4.0% | 85 | 69 | 81.2% |
| 8年以上 10年未満 | 95 | 3.9% | 88 | 71 | 80.7% |
| 10年以上 12年未満 | 94 | 3.8% | 81 | 61 | 75.3% |
| 12年以上 14年未満 | 61 | 2.5% | 59 | 43 | 72.9% |
| 14年以上 16年未満 | 88 | 3.6% | 81 | 71 | 87.7% |
| 16年以上 18年未満 | 59 | 2.4% | 52 | 37 | 71.2% |
| 18年以上 20年未満 | 76 | 3.1% | 72 | 49 | 68.1% |
| 20年以上 22年未満 | 112 | 4.6% | 100 | 74 | 74.0% |
| 22年以上 24年未満 | 83 | 3.4% | 79 | 61 | 77.2% |
| 24年以上 | 461 | 18.8% | 439 | 338 | 77.0% |
| 無記入 | 837 | 34.1% | 768 | 620 | 80.7% |
| 合計 | 2,454 | 100% | 2,250 | 1,780 | 79.1% |
■学生内訳
学生の応募者、受験者、合格者の内訳は下記の通りとなります。
情報系の専門学校生が最も応募者が多く、次いで理系の情報系の大学生が多くなっています。
専門学校では学校全体で受けるところもあり、応募者が多くなっているのではないかと思います。
合格率は年齢が上がれば高くなる傾向が見られるものの、高校生でも50%以上の合格率となっており、対策をしっかり行えば、合格は難しくありません。
| 種別 | 応募者 | 受験者 | 合格者 | ||
| 人数 | 構成比 | 人数 | 人数 | 合格率 | |
| 大学院(情報系) | 4 | 1.9% | 3 | 3 | 100.0% |
| 大学院 (情報系以外) | 5 | 2.4% | 4 | 4 | 100.0% |
| 大学 (理工系の情報系) | 34 | 16.3% | 30 | 23 | 76.7% |
| 大学 (文系の情報系) | 5 | 2.4% | 4 | 3 | 75.0% |
| 大学 (情報系以外の理工系) | 6 | 2.9% | 4 | 4 | 100.0% |
| 大学 (情報系以外の文系) | 13 | 6.3% | 10 | 8 | 80.0% |
| 短大(情報系) | 1 | 0.5% | 1 | 1 | 100.0% |
| 短大(情報系以外) | 0 | 0.0% | 0 | 0 | 0.0% |
| 高専(情報系) | 3 | 1.4% | 3 | 1 | 33.3% |
| 高専(情報系以外) | 0 | 0.0% | 0 | 0 | 0.0% |
| 専門学校(情報系) | 77 | 37.0% | 71 | 43 | 60.6% |
| 専門学校(情報系以外) | 4 | 1.9% | 4 | 2 | 50.0% |
| 高校(情報系) | 12 | 5.8% | 12 | 7 | 58.3% |
| 高校(商業系) | 16 | 7.7% | 16 | 11 | 68.8% |
| 高校(工業系) | 4 | 1.9% | 4 | 2 | 50.0% |
| 高校(普通系・その他) | 4 | 1.9% | 4 | 0 | 0.0% |
| 小・中学校 | 0 | 0.0% | 0 | 0 | 0.0% |
| その他 | 20 | 9.6% | 18 | 14 | 77.8% |
| 合計 | 208 | 100% | 188 | 126 | 67.0% |
情報セキュリティマネジメントの出題内容
情報セキュリティマネジメントはこれまでは春季、秋季の年2回全国各地の試験会場で開催され、午前問題、午後問題が出題されていました。
2023年4月より、CBT方式に変更となったため、通年で受験することが可能となりました。
CBT方式では科目A、科目Bに分かれています。
科目Aは4つの選択肢から正答を選ぶ形式で、科目Bは4つ以上の選択肢から正答を選ぶ形式になっています。試験時間は科目A、科目B合わせて120分となっています。
科目Aは旧方式の午前問題に対応し、セキュリティ関連の問題が33問程度、その他(ストラテジ系、テクノロジ系、マネジメント系)の問題が15問程度で合計48問が出題されます。
科目Bは旧方式の午後問題に対応し、長文の選択肢問題が12問出題されます。
科目A、科目B合わせて1000点満点中600点以上を取れば合格となります。
以下で分野ごとの代表的なサンプル問題について見ていきます。
解答が知りたい方はこちらをご参照ください。
科目A:セキュリティ
新方式の過去問はありませんが、サンプル問題では計33問となっているので33問程度出題されることが予想されます。公開されているサンプル問題について見ていきましょう。
サンプル問題の問2では内部不正を防止するための対策についての問題が掲載されています。
IPAは組織における内部不正防止ガイドライン(第5版)を公開しており、本問はこちらの内容から出題されまています。心配な方は目を通しておくことをお勧めしますが、選択肢を見るとセキュリティ的に明らかに非推奨であるものや法律に抵触するものがあるので消去法で解くことができます。
サンプル問題の問5ではリスクレベルの定義についての問題が掲載されています。
JIS Q 27000:2019(情報セキュリティマネジメントシステムー用語)に記載されている用語の定義について出題されています。こちらも言葉の定義を知らずとも、推測で解ける問題にはなっていますが、心配な方は用語の定義を事前に確認しておくようにしましょう。
JIS Q 27000とは何かを知りたい方はこちらをご覧ください。
サンプル問題の問15ではHTTP通信で使用される、TCPのポート番号80についての問題が掲載されています。
0番から1023までのポートはウェルノウンポートと呼ばれ、どのサービスやプロトコルが使用するかが予約されています。80番ポートはHTTP通信で使用され、Webページを表示する時などに使用されます。
ちなみに、443番ポートは通信データを暗号化したHTTPS通信で使用されており、こちらの方がセキュリティ的には安全です。
サンプル問題の問28ではメールサーバの認証方式についての問題が掲載されています。
メールサーバとの通信では、メール送信時にはSMTP、メール受信時にはPOP3というプロトコルが使用されています。SMTPは送信者を認証する機能を備えておらず、第三者中継に乗じたスパムメールを防ぐことができません。SMTPを拡張したSMTP-AUTHでは、メール送信時にユーザ名、パスワードを入力することで送信者を認証し、スパムメールなどを防ぐことができます。
サンプル問題の問32ではセキュリティ法規についての問題が掲載されています。
業務で使用するコンピュータやデータを破壊する、偽の情報や不正な指令を与えてコンピュータを不正に制御すること業務を妨害した場合、刑法の電子計算機損壊等業務妨害罪(234条の2)に該当し、5年以下の懲役または100万円以下の罰金に処されます。
科目A:その他
新方式の過去問はありませんが、サンプル問題では計15問となっているので15問程度出題されることが予想されます。公開されているサンプル問題について見ていきましょう。
サンプル問題の問36ではアクセス制御に関するシステム監査について掲載されています。
この問題ではシステム監査人の役割について理解できているかが問われています。システム監査人の役割はシステムの証跡などから、適切な措置が取られていることを確認することです。実際の改善活動は実施しないので管理方針の策定や運用手続きの実施などは行いません。
サンプル問題の問40ではWBSについて出題されています。
ITシステムの開発時には必要な成果物を過不足なく作成するために、プロジェクトチームが実行すべき作業を、成果物を主体に階層的に要素分解したWBS(Work Breakdown Structure)を作成します。
作業の漏れや抜けを防ぎ、プロジェクトの範囲を明確にすると同時に、作業単位ごとに内容・日程・目標を設定することでコントロールをしやすくする目的があります。
サンプル問題の問48では製造原価明細書、損益計算書について出題されています。
会計についての知識は頻出なので財務3表と言われている損益計算書、貸借参照表、キャッシュフロー計算書については表の見方、計算方法など理解しておくようにしましょう。
本問では製造原価を算出することが必要ですが、製造原価はその名の通り、製造に要する費用になるので各種費用に期首製品棚卸高を加算し、期末製品棚卸高を減算したものになります。
科目B
科目Bは長文問題で、4つ以上の複数選択肢から解答を選ぶ形式になります。
過去問はありませんが、サンプル問題は公開されているのでどのような問題が出題されるのか見ていきましょう。
サンプル問題問50ではリスクアセスメントに関する問題が出題されています。
リスクアセスメントでは本問のように、機密性、完全性、可用性ごとに評価基準を定め、リスク値を算出します。問題文をしっかり読んで解答すれば、特に前提となる知識は不要です。
サンプル問題問52では社内セキュリティ規程への準拠に関する問題が出題されています。
こちらも前提となる知識は特に必要なく、問題文をよく読めば解答できる問題になっています。
注意書きまでよく読んで解答するようにすれば、正答を選ぶのは難しくないでしょう。
サンプル問題問58では脆弱性診断に関する問題が出題されています。
ITシステムは脆弱性診断を定期的に実施することでセキュリティ侵害のリスクを低減することができます。
WebアプリケーションやOS、ミドルウェアはベンダーからのリリース後に新たな脆弱性が見つかることが多いため、定期的に脆弱性診断を行うことが重要となります。
こちらの問題も問題文をよく読めば難しくはありません。
情報セキュリティマネジメントの勉強法
続いて、本題である勉強法についてご紹介します。
勉強法としては参考書や過去問題を解いて独学で勉強する方法、資格取得のための学校に通う方法の大きく二つがあります。
情報セキュリティマネジメント試験は難易度がそこまで高くはないため、費用対効果も考慮すると独学で勉強することをおすすめします。
それでは独学での勉強法についてご紹介したいと思います。
旧方式の頃ではありますが、自身が合格した際に実施していた方法になるので参考にしていただければと思います。
インプット(参考書を読み込む)
まずは試験対策として必要な知識のインプットを行います。
参考書を購入し、最低2周は読み込み、知識を定着させるようにしましょう。
以下でおすすめの参考書をご紹介します!
各章の題名に記載の参考書名から購入サイトに飛べるようになっています。
令和05年 情報セキュリティマネジメント 合格教本(情報処理技術者試験)
特徴①:出題実績をもとにわかりやすく解説
わかりやすいイラストを交えて解説してあるので初学者でも理解しやすい内容になっています。
また、解説する内容は過去の出題実績に即して厳選しているので、この本を読みさえすれば必要な知識が身につきます。
筆者は知りませんでしたが、著者の岡嶋裕史さんはメディアにも露出している有名な方らしいです。
特徴②:新形式の試験にも対応
繰り返しにはなりますが、令和5年度の試験から、試験方式が一新されています。従来の午前・午後の二部構成が再編され、知識を問う「科目A」と技能を問う「科目B」からなる通しの試験となります。
このように大きく変わる情報セキュリティマネジメント試験ですが、本書ではこれらの変化にしっかり対応しており、変更点のまとめや、科目B対策の解説も行っています。
特徴③:問題演習アプリ
パソコン・スマートフォンから問題演習を行えるオリジナルのWebアプリ「DEKIDAS-WEB」が無料で利用できます。「DEKIDAS-WEB」では、過去問題をベースに、科目Aで問われる知識を身につける問題に挑戦できます。自動採点機能や分析機能も付いているので、苦手克服や直前対策に大いに役立ちます。隙間時間にスマホで解くもよし、実際の試験形式を意識してパソコンで解くもよしの、お得なアプリです。
口コミ・評価
実際の読者の口コミをご紹介します!
「しっかり読んでから過去問をやると7割程度取れる」や「全体を網羅しているので、しっかり使い倒すと合格に近づく」とあり、参考書の内容に充実感を持つ読者が多いようです。
Amazonの評価では4.2/5.0となっており、全体的な満足度も高くなっています。
アウトプット(過去問を解きまくる)
必要な知識が身に付いたらアウトプットすることでより理解を深めましょう。
情報セキュリティマネジメント試験は2023年度からCBT方式に変更されたこともあり、新方式での過去問はありません。
ただ、方式が変更になったとはいえ、問われること自体は旧方式と大きくは変わらないため、新方式に該当する部分の過去問を解くことで対策しましょう。
新方式のサンプル問題と旧方式の年度ごとの過去問がこちらのサイトに掲載されています。
新方式の科目Aは旧方式の午前問題とほぼ同じ内容なので午前問題を解いて対策しましょう。
新方式の科目Bは旧方式の午後問題とほぼ同じ内容なので午後問題を解いて対策しましょう。旧方式だと文章題で出題されているので若干難易度は高いですが、これが解ければ新方式も間違いなく解けます!
旧方式の最低5年分の過去問題と新方式のサンプル問題を解いて対策するようにしましょう。
筆者が受験した頃は旧方式でしたが、10年分の問題を解いてコンスタントに80%を取れるようになってから試験に臨みました。
情報セキュリティマネジメントの申込方法
情報セキュリティマネジメント試験の受験申込ページから試験日を予約しましょう。
アカウント発行後、受験申込が可能になります。
全国のテストセンターで受験できるので都合の良い日時で予約しましょう。
※ここで作成したアカウントは応用情報技術者や他の高度情報技術者の受験申込でも使用できるアカウントとなります。
受験の際には有効期限内の顔写真付き本人確認書類が必要となるので忘れずに持参しましょう。
まとめ
・情報セキュリティマネジメントってどんな資格なの?
→IPA(情報処理推進機構)が主催する情報処理技術者試験の一つでITエンジニアとして必要となるセキュリティに関する知識・技能が身に付きます。難易度は中程度で新米エンジニアやITパスポートの次に取得する資格を探している方におすすめです!
・情報セキュリティマネジメントに合格するにはどんな勉強法があるの?
→勉強法には「独学」と「学校に通う」の2パターンありますが、独学で勉強することをおすすめします。
インプットとして参考書を読み込み、アウトプットで過去問を解きまくりましょう!
・合格した人はどんな勉強をしていたの?
→筆者はこちらの参考書で学習した後に過去問道場で最新の10年分の過去問を解きました。
