第3回　2つのセキュリティ国家試験に合格！「情報セキュリティマネジメント」と「情報処理安全確保支援士」の比較と勉強法

近年、企業や自治体のの個人情報流出事件や動画共有サイトへの大規模なサイバー攻撃などが相次いでおり、セキュリティへの関心が高まっています。

このようなサイバー攻撃に対処したり、対策を行う専門知識を持つ人材の育成と確保のため、情報処理推進機構（IPA）ではセキュリティ関連の国家試験として、情報セキュリティマネジメント試験と情報処理安全確保支援士試験を実施しています。

この度両方の試験に合格することができたので、これらの試験の概要やどんなを勉強を行ったかを比較も交えて書いていきたいと思います。

セキュリティの勉強を始めてみたい思っている方や、これらの資格の取得を目指している方の参考になれば幸いです。

目次

試験の概要

受験した経緯

各試験の出題範囲

どんな勉強を行ったか

おわりに

試験の概要

情報セキュリティマネジメント試験

概要

情報セキュリティマネジメント試験は、情報セキュリティ対策に関する基本的な知識と技能を評価する国家試験です。IPAが実施する情報処理技術者試験の１つで、基礎試験に区分されます。

試験日程

通年で行われており、試験会場に空きがあれば、年間を通していつでも受験することができます。ただし、受験したあと30日間は再受験できないという制約があります。

試験方式

CBT形式での試験となります。（コンピュータを使用し、ディスプレイに表示された問題に対して、マウスを操作で選択肢を選ぶ方式）

出題形式

情報セキュリティマネジメント試験には以下の科目A試験と科目B試験の2つがあります。

120分の試験時間で科目A試験、科目B試験を解く必要があります。

・科目A試験
4つの選択肢の中から正しい選択肢を1つ回答する形式、出題数は48問
・科目B試験
4つの選択肢の中から正しい選択肢を1つ以上回答する形式、出題数は12問

合格基準、合格発表

合格の基準としては、合計1000点満点中の600点以上となります。最近の合格率は50〜70％のようです。

CBT形式では、受験したコンピュータに評価点が表示され、試験終了直後にその場で点数がわかります。また、数時間後経つと受験者マイページで点数を確認することができます。

正式な合格発表は試験日の翌月中旬にIPAのウェブサイトで合格者が発表されます。

情報処理安全確保支援士

概要

情報処理安全確保支援士試験は、情報セキュリティ対策に関する高度な専門知識と技能を評価する国家試験です。IPAが実施する情報処理技術者試験の１つで、高度試験（レベル4）に区分されます。

こちらの試験を合格後に所定の登録手続きを行うことで情報処理安全確保支援士という国家資格を得ることができます。

登録後は正式に情報処理安全確保支援士を名乗ることができるようになり、IT系では唯一の「士業」の資格となります。

（余談ですが、士業といっても現時点では弁護士や税理士のように独占業務があるわけではなく、必置化もされていないので登録するメリットは薄く感じています。

むしろ、資格の登録と維持費として、登録時の税金や手数料、定期的な講習費用などの高額な費用がかかってしまいます、、、）

試験日程

試験は年2回開催されています。4月の第三日曜日に実施されるのが春期試験、10月の第2火曜日に実施されるのが秋期試験と呼ばれます。

IPAの他の高度試験は年1回なのに対し、情報処理安全確保支援士は2回開催されているので、不合格となってしまっても、半年後には再挑戦できるのはありがたいです。

試験方式

情報セキュリティマネジメントはCBT方式だったのに対して、情報処理安全確保支援士試験は筆記試験となります。午前試験はマークシート方式、午後試験は記述形式となっています。

出題形式

情報処理安全確保支援士試験は、以下の3つの試験から構成されています。

・午前I試験
4つの選択肢の中から正しい選択肢を回答する形式
応用情報技術者試験の午前問題から抽出された30問が出題
試験時間は50分
・午前II
4つの選択肢の中から正しい選択肢を回答する形式
テクノロジ系、マネジメント系の分野から25問が出題
試験時間は40分
・午後
大問4つから、2つを選び回答する形式
試験時間は150分

全ての時間区分で100点満点中60点以上を取る

合格基準

ことで合格となります。

午前Iや午前IIで基準点に達しない場合は、それ以降の時間区分の採点が行われないことに注意が必要です。

過去2年以内に以下のいずれかの条件を満たしている場合は午前I試験が免除になります。

・応用情報技術者試験に合格
・IPAの高度試験に合格
・IPAの高度試験、または情報処理安全確保支援士の午前I試験で基準点以上の成績を取る
合格発表は試験日のおよそ2ヶ月後となります。情報セキュリティマネジメントと違い、合格発表まで点数を確認することはできません。

 

受験した経緯

私は2023年のIPA秋期試験で、応用情報技術者試験に合格することができました。

IPAの高度試験の午前I試験の免除がされることと、ステップアップを目指すために情報処理安全確保支援士試験を選びました。

数ある高度試験の中で情報処理安全確保支援士試験を選択した理由としては、

・セキュリティは他の区分の高度試験でも重点分野として出題範囲に含まれており、幅広い分野や他の区分の試験を受けるときにも役に立つ知識であること
・セキュリティは近年需要が高まっている分野の一つであること
・普段の業務でセキュリティを考慮した設計や実装ができるようになっておきたい
といったものが大きいです。

情報セキュリティマネジメント試験については、情報処理安全確保支援士を受験するにあたって、セキュリティの勉強をするならついでに取っておこうというノリで受験しました。

 

各試験の出題範囲

情報セキュリティマネジメント

出題範囲

科目Aでは、48問中30問が重点分野として出題されます。重点分野の内容は以下のとおりです。

・情報セキュリティ全般　→　機密性・完全性・可用性、脅威、脆弱性、サイバー攻撃手法、暗号、認証 など
・情報セキュリティ管理　→　情報資産、リスク、ISMS、インシデント管理などの各種管理策、CSIRT など
・情報セキュリティ対策　→　マルウェア対策、不正アクセス対策、情報漏えい対策、アクセス管理、情報セキュリティ啓発 など
・情報セキュリティ関連法規 → サイバーセキュリティ基本法、個人情報保護法、不正アクセス禁止法 など
残りの18問は以下の関連分野（、マネジメント系、ストラテジ系）から出題されます。

・テクノロジ系　→　ネットワーク、データベース、システム構成要素
・マネジメント系　→　システム監査、サービスマネジメント、プロジェクトマネジメント
・ストラテジ系　→　経営管理、システム戦略、システム企画
科目Bでは、12問全てが情報セキュリティ分野からの出題となります。

業務現場での情報セキュリティ管理の実践力を問うため、情報資産管理、リスクアセスメント、IT利用時の情報セキュリティ確保、委託先管理、情報セキュリティ教育・訓練などのケーススタディを通じて具体的な取り組みを出題すると公式では紹介されています。

”マネジメント”と試験の名前に入っているだけあって、マネジメント系の出題が多かったように感じました。

情報処理安全確保支援士

出題範囲

●午前I試験
応用情報技術者試験の午前問題と同じなので割愛します。

●午前II試験
午前I(=応用情報技術者試験の午前問題）の範囲のうち、「データベース」「ネットワーク」「セキュリティ」「システム開発」「ソフトウェア開発管理技術」「サービスマネジメント」「システム監査」の7分野が範囲となります。午前Iの問題よりも問われる知識がより高度になります。

●午後試験
・情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること
セキュリティ対策、セキュアプログラミング、データベースセキュリティ、ネットワークセキュリティなど
・情報セキュリティの運用に関すること
リスク分析、業務継続計画、不正アクセス対策、ユーザセキュリティ管理、インシデント対応、システム監査など。
・情報セキュリティ技術に関すること
認証技術、暗号技術、攻撃手法対策（マルウェア、ソーシャルエンジニアリングなど）、セキュア通信技術、ファイアウォール、ログ管理技術など。
・開発の管理に関すること
セキュリティを考慮したソフトウェア開発の管理についての知識が求められます。
開発ライフサイクル管理、システム文書構成管理、リスク管理手法、脆弱性情報収集管理など。
・情報セキュリティ関連の法的要求事項などに関すること
情報セキュリティ関連法規、著作権法、個人情報保護、情報倫理など。

個人的な感想ですが、情報セキュリティマネジメント試験は、マネジメントに関する知識や、個々のプログラムやシステムに対する攻撃の種類やセキュリティ対策の知識が求められるのに対し、情報処理安全確保支援士ではシステムの要件やネットワーク構成図、システムやネットワークのログ、権限、プログラムコードなどの情報を元に、攻撃を特定したり、脆弱な箇所の特定や対策を行うなどいったシステム全体に対するセキュリティ面での理解を求められるように感じました。

 

どんな勉強を行ったか

情報セキュリティマネジメント

情報セキュリティマネジメント試験を2023年10月25日に受験しました。

勉強を開始したのは約2週間前で、直前に応用情報技術者試験を受けていたこともあり、インプットにはほぼ時間をかけず、過去問の演習をメインに取り組みました。（あまり参考にならなくてすみません）

過去問の演習は、過去問道場の問題を1日あたり20〜30問解き、間違えた問題や知らなかった単語は調べるようにしていました。

過去問道場は科目A、科目Bにも対応しており、解説もそろっており、過去問道場だけで試験対策が完結するのでおすすめです。また、ITぱすぽーとや基本情報技術者などのIPAの他の区分の試験で出題されているセキュリティの問題も予測問題として出題することができるので、幅広い内容をカバーすることができます。

私は、過去問道場の問題演習の正答率は最終的に85％~90%くらいで試験に臨みました。

情報処理安全確保支援士

情報処理安全確保支援士試験は2024年4月21日に受験しました。

勉強期間は約半年です。おおまかな学習スケジュールは以下のとおりです

・最初の2〜3ヶ月間はテキストの読み込みやYouTubeでの学習
・3〜4ヶ月目は、午前Ⅱの問題演習がメイン
・4〜6ヶ月目は、午前Ⅱの問題演習をやりつつ、午後問題の演習がメイン
参考にしたテキストは「徹底攻略 情報処理安全確保支援士教科書」です。このテキストの選定理由としては、基本情報技術者の勉強の際にも同じシリーズのテキストを利用しており、慣れている形式であることと、テキストのPDFをダウンロードするができる点でした。

また、電車などの移動中やテキストを読むほどのやる気が出ないときは、短い時間で気軽に学習ができるYouTubeの再生リスト「【ゼロからスタート】情報処理安全確保支援士対策」を見ていました。動画後半部分のおまけ部分に少々癖がありますが、動画1本が短くまとまっており、図や説明がわかりやすいので、動画の本数は多いですが一通り見終わる頃にはかなり理解が深まりました。

また、午前I、II、午後試験の対策や勉強方法は以下のとおりです。

午前I試験

免除だったので、対策や勉強はしていません。

午前I試験を受ける方は、応用情報技術者の午前試験の演習をやるしかないと思います。

午前II,午後試験に集中するためにも免除は勝ち取っておきたいです。

午前II試験

情報セキュリティマネジメントと同様に過去問道場を利用しました。

間違ってしまう問題や初めて見るような単語はテキストなどで調べて理解を深めました。

傾向としては、セキュリティとネットワークの知識を問う問題が多かったと思います。

また、午前II試験は過去問を流用している問題が一定数あるので、過去問をある程度解けるようになると、安定して6割以上の得点を取れるようになると思います。

午後試験

午後問題は過去問演習をメインに行いました。過去問の問題用紙と解答例のPDFをIPAから入手できるので、PDFをダウロードしてiPadで書き込みながら利用しました。平日は仕事開始前やお昼休みなどに一日1〜2問、土日は空いている時間に4問程度解くことを目標にして演習に取り組みました。毎日問題を解くのは厳しかったので、問題演習をできない日もありましたが、合計で過去5年分くらいを2周解きました。

午後問題の解答の解説はIPAでは手に入らないので、「やさしいネットワークとセキュリティ」、「南の島のSEエンジニアブログ」を参考にしたり、過去問道場の掲示板に問題ごとのスレッドがあるので、そこで他のユーザー同士のやり取りなどを見ていました。

午後試験では、1つの大問の問題文が非常に長く読むのに時間がかかったり、記述式の回答部分もIPAの試験独特の記述形式があります。これらに慣れるために、記述問題の回答文章の作成や、問題文の効率的な読み進め方、重要な情報のピックアップができるようになることに重きおいて、過去問5年間分に絞り、1問ごとの復習に注力して午後問題の演習を行いました。

試験本番では、4問中2問がセキュアプログラミング、残りの2問もAPIやネットワークの問題といった開発系に偏った問題が出題され、私はセキュアプログラミングの2問を選択しました。普段マネジメント系の業務をしている方にはあまり優しくない出題だったと思います。

 

おわりに

情報セキュリティマネジメント試験の私の点数は790点、

情報処理安全確保支援士試験の点数は午前II試験が80点、午後試験が71点で合格することができました。

今までは情報セキュリティについて、あまり真剣に考えてこなかったため、浅い知識しかありませんでした。

結果はあまりいい点数ではなかったですが、これらの試験の学習を通して、昨今のサイバー攻撃やセキュリティインシデントなどのニュースや話題に触れた際に、内容をそこそこ理解できるくらいの知識をつけることができました。

情報セキュリティマネジメント、情報処理安全確保支援士試験を目指す方の参考になれば幸いです。