About us データのじかんとは?
About us データのじかんとは?
みなさんは「情報セキュリティマネジメント試験」という国家試験をご存じでしょうか?
情報セキュリティマネジメント試験はIPAが実施している情報処理技術者試験のうち、「ITを利活用する者」かつ「ITの安全な利活用を推進する者」を対象とする試験です。
情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的な知識・技能の習得を目的としています。
IPAが実施している情報処理技術者試験の「ITパスポート試験」の次のレベル(レベル2)に位置付けられており、就職を控えた学生、社会人が合格しておいて損のない国家試験であることから、毎年3万人以上が応募しています。
「情報処理技術者試験」関連の記事はこちら
『情報セキュリティマネジメント試験』とは、情報セキュリティマネジメントを担う人材の育成をいかに推進していくか?といった社会のニーズの高まりを背景に、政府の『「日本再興戦略」改訂2015』(平成27年6月閣議決定)や経済産業省 産業構造審議会で示された方向性を踏まえて、平成28年度春期から始まった試験です。
ITの高度化に伴い、これらがビジネスにも大いに活用されています。ただその一方でインターネットやデジタル機器を絡めた手口で、個人や組織を対象に、金銭の窃取や個人情報の詐取、あるいはシステムの機能停止などを目的としたサイバー攻撃は、ますます巧妙化・複雑化し続けています。
もちろん、組織の情報に対するセキュリティは、ファイアオールを始めとする技術的な対策で、ある程度講じてはいるものの、知り合いや取引先になりすまし、悪意のあるファイルを添付したり、不正サイトへのURLリンクを送ったりする『標準型攻撃』、従業員のITツールの悪用よる『内部不正』などは、技術的な対策だけでは、防ぐことはできません。
昨今、情報を取り扱う企業の多くは、適切な情報管理、業務フローの見直し、組織内規程順守のための従業員の意識向上を目的に、情報セキュリティの教育に多くの時間とコストを投じています。
社会全体がDX(デジタルトランスフォーメーション)に取り組む中、情報の取り扱いは多種多様で複雑化し続けており、そういった中、企業においては、情報セキュリティを管理(マネジメント)する人材の育成は急務と言えます。
そのため、多くの企業においては、採用時の選考、社内教育、昇格の要件などに情報セキュリティマネジメント試験を活用しており、また専門学校・大学の学生、従業員は合格しておくことで、就職・転職・昇格・人選等でアドバンテージを得ることができます。
筆者が身を置いていたエンジニアリングの業界では、情報漏洩といった事故を招かないためにも、情報セキュリティの知識習得には力を注いでおり、また昇給や一時金の支給といった恩恵やデジタル知識の向上にもつながることから、本試験の合格に向けた学習に多くの方が取り組んでいます。
出典(IPAのWebサイト):情報処理技術者試験の試験区分一覧
情報処理技術者試験は、全部で12種類あり、難易度は、レベル1のITパスポート試験に対し、情報セキュリティマネジメント試験は上位のレベル2に位置します。
ITパスポート試験は「ITを利活用する全ての社会人」が対象なのに対し、情報セキュリティマネジメント試験は「ITを利活用し、かつ安全な利活用を推進する者」を対象としています。
ITパスポート試験においても、情報セキュリティに対する知識は得られますが、あくまでも『IT使用者』の範囲に留まっており、組織のマネジメントをする上で、情報漏洩やウイルス感染に対する対策を策定したり、運営したりする上で必要な『IT管理者』としての知識・技能が得られる試験と捉えればよいと思います。
なお、情報処理技術者試験を運営するIPA(情報処理推進機構)では、ITパスポート試験と情報セキュリティマネジメント試験の対象者像を以下のように定義しています。
| ITパスポート | 情報セキュリティマネジメント試験 |
| 職業人及びこれから職業人となる者が備えておくべき、ITに関する共通的な基礎知識をもち、ITに携わる業務に就くか、担当業務に対してITを活用していこうとする者 | 情報システムの利用部門にあって、情報セキュリティリーダーとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者 |
また、ITパスポートの出題範囲は、基本情報処理試験と情報セキュリティマネジメント試験の科目Aの出題範囲と重複するので、この3試験に関しては、併せて合格を目指すことをおすすめします。
ITパスポート試験と比較した情報セキュリティマネジメント試験の合格率を以下に示します。
| 年度 | ITパスポート | 情報セキュリティマネジメント試験 |
| 平成28年度 | 48.3% | 79.0% |
| 平成29年度 | 50.4% | 58.4% |
| 平成30年度 | 51.7% | 49.9% |
| 令和元年度 | 54.3% | 49.4% |
| 令和2年度 | 58.8% | 66.6% |
| 令和3年度 | 52.7% | 53.2% |
| 令和4年度 | 実施中 | 61.2% |
ITパスポート試験の合格率は、概ね50%に対し、情報セキュリティマネジメント試験の合格率は、創設された平成28年度を除き、それ以降、50~66%で推移しており、他の情報処理技術者試験と異なり、技術的な項目が除外されていることから、高い合格率を維持しています。
なお、情報セキュリティマネジメント試験は、令和2年度から受験形式が以下のように変更され、午前、午後に及んでいた試験の分割受験などにより、受験者の負担が軽減したせいか、令和3年度以降の合格率は平均で60%にまで上昇しています。
・マークシート形式からCBT形式に変更
・午前、午後の別日受験が可能
情報処理技術者試験は午前、午後共に60%以上の得点を得ることが合格の条件なのですが、午前の50問の小問多肢選択式(四肢択一)は合格基準を突破するものの、多くの人が、午後の長文読解問題に阻まれてきました。
令和5年度からは、年2回から通年化、午後問題のコンパクト化などにより、さらにハードルが下がる見込みです。
情報セキュリティマネジメント試験は令和5年度より、要綱が大きく変わります。
まず、これまで分かれていた科目A、科目Bが科目A・Bとして、一つの試験時間内にまとめて実施する形式に変わります。
特に午後の試験(科目B)は、大問3問から小問12問を解答する形式に変更となるため、今まで学習されていた方は、対策を改める必要があります。
IPAが公開している令和5年4月以降の情報セキュリティマネジメント試験のサンプル問題を見る限り、科目Bは小問数で換算すると、令和4年までの半分以下(25問程度)に減り、また長文形式からコンパクトな短文形式へと変更となるため、合格のハードルは大幅に下がると筆者は予想しています。
令和5年4月以降の試験形式を、令和4年度までと比較して紹介します。
| 項目 | 令和4年度まで | 令和5年4月以降 | ||
| 試験時間 | 午前 | 90分 | 科目A・B | 120分 |
| 午後 | 90分 | |||
| 出題形式 | 午前 | 多肢選択式(四肢択一) | 科目A | 多肢選択式(四肢択一) |
| 午後 | 多肢選択式 | 科目B | 多肢選択式 | |
| 出題数 | 午前 | 50問 | 科目A | 48問 |
| 午後 | 3問 | 科目B | 12問 | |
| 解答数 | 午前 | 50問 | 科目A | 48問 |
| 午後 | 3問 | 科目B | 12問 | |
| 試験実施日 | 上期、下期の年2回 | 通年 | ||
科目A(午前)、科目B(午後)は同一時間内に実施するため、別日受験ができなくなります。
科目B(午後)は、出題数は増えているものの、長文の読解問題からコンパクトな単問に変更するので、学習のハードルは大幅に軽減すると思います。
続いて情報セキュリティマネジメント試験の科目Aの出題範囲をITパスポート試験との比較で以下に示します。
| 分野 | 大分類 | 中分類 | ITパスポート試験 | 情報セキュリティマネジメント試験 |
| テクノロジ系 | 基礎理論 | 基礎理論 | 〇 | |
| アルゴリズムとプログラミング | 〇 | |||
| コンピュータシステム | コンピュータ構成要素 | 〇 | ||
| システム構成要素 | 〇 | 〇 | ||
| ソフトウェア | 〇 | |||
| ハードウェア | 〇 | |||
| 技術要素 | ヒューマンインタフェース | 〇※1 | ||
| マルチメディア | 〇※2 | |||
| データベース | 〇 | 〇 | ||
| ネットワーク | 〇 | 〇 | ||
| セキュリティ | 〇 | ◎※4 | ||
| 開発技術 | システム開発技術 | 〇※3 | ||
| ソフトウェア開発管理技術 | 〇※3 | |||
| マネジメント系 | プロジェクトマネジメント | プロジェクトマネジメント | 〇 | 〇 |
| サービスマネジメント | サービスマネジメント | 〇 | 〇 | |
| システム監査 | 〇 | 〇 | ||
| ストラテジ系 | システム戦略 | システム戦略 | 〇 | 〇 |
| システム企画 | 〇 | 〇 | ||
| 経営戦略 | 経営戦略マネジメント | 〇 | ||
| 技術戦略マネジメント | 〇 | |||
| ビジネスインダストリ | 〇 | |||
| 企業と法務 | 企業活動 | 〇 | 〇 | |
| 法務 | 〇 | ◎※4 |
※1:ITパスポート試験では中分類 情報デザイン に分類
※2:ITパスポート試験では中分類 情報メディア に分類
※3:ITパスポート試験では分野 マネジメント系 に分類
※4:出題範囲のうちの重点分野であることを表す
情報セキュリティマネジメント試験の出題範囲は、ITパスポート試験と被るものの、上表の◎の出題範囲は、難易度に差があるため、それぞれで対策を講じる必要があります。
だだし、科目Aの問題が解けるようになるための基礎知識は、共通なので、ITパスポート試験、情報セキュリティマネジメント試験は、予め、両方合格するつもりで取り組むことを筆者お勧めします。
令和4年度までは、いくつかの小問で構成された大問3問すべてに解答する形式で、基本情報技術者試験の午後試験で出題される「情報セキュリティ分野」と同等の難易度の問題が出題されていました。
令和5年4月以降の試験では、業務の現場における情報セキュリティ管理の具体的な取組みである情報資産管理、リスクアセスメント、IT 利用における情報セキュリティ確保、 委託先管理、情報セキュリティ教育・訓練などのケーススタディがコンパクトな単問12問の形式へと置き換わります。
以下に、令和5年4月以降の情報セキュリティマネジメント試験の科目Bの出題範囲を示します。
| 情報セキュリティマネジメントの計画、情報セキュリティ要求事項に関すること | 情報資産管理の計画、情報セキュリティリスクアセスメント及びリスク対応、情報資産に関する情報セキュリティ要求事項の提示、情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示 など |
| 情報セキュリティマネジメントの運用・継続的改善に関すること | 情報資産の管理、部門の情報システム利用時の情報セキュリティの確保、業務の外部委託における情報セキュリティの確保、情報セキュリティインシデントの管理、情報セキュリティの意識向上、コンプライアンスの運用、情報セキュリティマネジメントの継続的改善、情報セキュリティに関する動向・事例情報の収集と評価 など |
出展::情報処理技術者試験・情報処理安全確保支援士試験 試験要綱
筆者が情報セキュリティマネジメント試験を受験したのは、試験が創設された平成28年で、当時は現場でも情報セキュリティに対する意識が向上し、社内教育などの取組みが活性化し始めた時期でした。
現場では、情報漏洩やウイルス感染といったインシデントが発生する度に、当事者はもちろん、組織としても対策を講じたり、改善案を策定したりしなければならず、情報セキュリティ対策に投じなければならない作業時間は年々増え続けています。
情報セキュリティにおけるインシデントのリカバリに要するコストは非常に高額なため、渦中の当事者に対する厳しい取り調べがあることを筆者は知っていたので、自身が当事者になってしまわないための予防策として、情報セキュリティマネジメント試験を受験することにしました。
情報セキュリティマネジメント試験の学習を通して得た知識や技能は、既存のものだけでなく、ますます増え続けている未知のサイバー攻撃を回避できるノウハウの習得に繋がると実感しています。
情報セキュリティマネジメント試験で得られる知識・技能は、業種、職種、また、営業・企画・製造・総務・人事・経理などの部門を問わず、多くの現場で強く求められています。
情報セキュリティマネジメント試験に合格することは、合格者当人はもちろん、組織が得るメリットも大きく、多くの企業では、
・部門全体の情報セキュリティ意識を高め、組織における情報漏洩のリスクが軽減する。
・万が一トラブルが発生しても、適切な事後対応によって被害を最小限に食い止められる。
・情報セキュリティが確保できるようになることで、より安全で積極的なIT利活用の実現に繋がる。
といった効果が得られるので、教育の一環として、従業員に受験を推進しています。
情報セキュリティマネジメント試験は合格者の基準が厳正に定められた国家試験です。
そのため、合格者は一定の知識・技能を有しているもの、と普遍的に見なすことができます。
職務経歴や履歴書のスキルや経験等は詐称できたとしても、合格者であることは詐称できないので、情報セキュリティマネジメント試験の知識や技能を必要とする企業が採用する場合、人選のミスマッチのリスク回避が期待できます。
また経験が伴わない学生、若手の場合、スキルの補強や学習意欲のある人物像のアピールとして採用側は配慮するので、とても高い効果が期待できます。
企業によっては賃金体系に資格手当を設定している場合があります。
情報セキュリティマネジメント試験の資格手当の相場は5,000円~10,000円と言われています。
多くの企業は、試験費用の負担、合格報奨金(一時金)の支給といった制度を設けており、合格報奨金の相場は20,000円~50,000円程度です。
情報セキュリティマネジメント試験の勉強方法は、学校、書籍、アプリ、Webサイトの4つが挙げられます。筆者の場合、既に情報の脅威と向き合わなければならない社会人として、ある程度経験を積んでからのチャレンジでしたので、「学校」は選択しませんでした。
科目Aの小問対策は、アプリ、Webサイトの活用がおすすめです。解説も充実しているので、解説を読み解きながら反復練習を重ねる・・で十分対策がとれると思います。
科目Bに関しては、令和2年のCBT形式への変更以降、過去問題が公開されていない・・に加え、令和5年4月以降の試験要綱の変更により、この記事を執筆している令和5年2月時点では、科目B対策の出題実績が少ない・・といった事情により、書籍の「予想問題集」の使用をおすすめします。
科目B学習のための教本は、科目Aの学習を通じて必要な知識・技能はある程度、得られるので、筆者としては不要?と考えています。
筆者がおすすめする教材を紹介します。
平成28年度春期〜令和元年度秋期に実施された情報セキュリティマネジメント試験の過去問題400問を収録した無料の学習アプリです。1問解答ごとに正解と不正解を判定し解説を表示してくれるので、スキマ時間で手軽に学習に取り組めます。
詳細はこちら:令和2年版(2020年版) 情報セキュリティマネジメント試験
情報セキュリティマネジメント試験の合格を目指している方への情報提供や、合格へのサポートを目的としたサイトです。
実際にWeb上で過去問が取り組める機能を備えたサイトで、正解だけでなく、丁寧な解説も添えられています。
詳細はこちら:情報セキュリティマネジメント試験ドットコム (sg-siken.com)
令和5年2月時点では、令和5年4月からの要項に対応した科目Bの問題集はまだ少ないのですが、筆者が調べた限り、前提知識+解き方+試験問題で効率よく学習できる本書がおすすめです。
詳細はこちら:情報処理教科書 出るとこだけ!情報セキュリティマネジメント テキスト&問題集[科目A][科目B]2023年版(書籍)
最後に情報セキュリティマネジメント試験の試験当日に筆者が心がけたことをみなさんにお伝えしたいと思います。
情報セキュリティマネジメント試験の試験時間は科目A、Bを一緒に120分間ぶっ通しで行います。
問題数60問ですので、1問あたりに費やすことができる時間は2分と実はかなり短く、うち12問の科目Bに関しては、科目Aの48問より、読解力を要する問題が出題されます。
日頃から早く解く、を心がけた学習はもちろんですが、なるべく早く、科目Aの48問の解答を済ませ、科目Bの時間をできるだけ多く確保するようにしましょう。
特に科目Bに関しては、わからないと考え込んでしまって時間配分が狂うと、他の問題を解く時間がなくなってしまうので、問題を読んだ時点で解答がイメージできなかったら、迷わず後回しにしましょう。
情報セキュリティマネジメント試験は、多肢選択式なので、さらに上位の応用情報技術者試験の記述式と違い、予め用意された解答を選択して答えることになります。
試験時間が残り5分を切ったら、当てずっぽうでも構わないので、未回答の問題に解答する作業を行うようにしてください。
特に科目Aは4択、すなわち1/4の確立で正解が得られる可能性があります。
実際、筆者も当てずっぽうで答えた解答で結構、正解を得ています。
情報セキュリティマネジメント試験はこれまで4月と10月に行われていました。
その中でも4月は花粉症の時期ということもあり、人が鼻をかんだり、すすったりと割と雑音に悩まされる可能性が高いです。
筆者は割と雑音に神経質な体質なため、春期の試験では、かなり悩まされた記憶があります。
これといった対策は講じることはできませんが試験の際は、周囲の音状況を確認しておくとよいと思います。
ちなみに試験では耳栓等は使用できないので、持ち込まないようにしてください。
なお、令和5年4月からは情報セキュリティマネジメント試験は通年で実施されますので、花粉症の時期の受験は避ける、といった対策が可能になります。(うらやましい)
また、午前と午後の試験が科目A・Bとして、120分という長丁場の試験になりますので、トイレは試験前に済ませておくのはもちろん、途中離席で行く際もできるだけ短時間で済むように、トイレの場所は確認しておくようにしましょう。
執筆:畑中一平(はたなか・いっぺい)
1974年生まれ、神奈川県在住。大学在学中にはじまったバブル崩壊を被った就職氷河期世代。大学は卒業したものの、家庭や就職難等の事情により、2年間出遅れ、25歳からH/W系の開発エンジニアとしての道を歩み始める。閉塞感を抱きながらも「失われた30年」で、ただひたすら技術力の向上を目指し続け、30代以降は、現在のデジタル社会の基盤を形成するストレージ、画像、ネットワーク、IoT関連のコア技術開発に従事。得意とする技術分野は論理設計で、現在15の技術系の国家資格・試験合格を所有。
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!
