情報セキュリティマネジメント試験の難易度にあわせた効率のよい勉強法
情報セキュリティマネジメント試験とは?
情報セキュリティマネジメント試験というものをご存知でしょうか?
独立行政法人情報処理推進機構(以下IPA)が2016年に開始した試験で、個人情報などの情報管理に関わるビジネスパーソンの必須知識をまとめたテストとなっています。
どんな人にとって必須の試験か?
この情報セキュリティマネジメント試験ですが、どのようなビジネスパーソンにとって役に立つのでしょうか?
ここでは2つの例をご紹介いたします。
1.個人情報を扱う事務の方
まずは個人情報を扱う事務系の仕事をされている方です。
もしかすると、社員の大切な個人情報がどんな社員でも閲覧できるような状態になっていませんか?
もちろんこうした情報管理はNGです。
どのように個人情報を管理するのか、誰がその情報にアクセスできるのかなどの指針を情報セキュリティマネジメント試験で学ぶことができます。
2.情報システム課・Web担当者
次に情報システム課や広報のWeb担当者が挙げられます。
せっかくいいシステムをつくっても、システムに脆弱性があれば、ハッカーからの攻撃により情報が流出してしまうかもしれません。
どのような攻撃があり、どのような対策をとらねばならないかを情報セキュリティマネジメント試験は教えてくれます。
情報セキュリティマネジメント試験の出題範囲
情報セキュリティマネジメント試験は以下の重点分野と関連分野から出題されます[1]試験内容|情報セキュリティマネジメント試験。
重点分野
情報セキュリティ全般
機密性・完全性・可用性、脅威、脆弱性、サイバー攻撃手法、暗号、認証 など
情報セキュリティ管理
情報資産、リスク、ISMS、インシデント管理などの各種管理策、CSIRT など
情報セキュリティ対策
マルウェア対策、不正アクセス対策、情報漏えい対策、アクセス管理、情報セキュリティ啓発 など
情報セキュリティ関連法規
サイバーセキュリティ基本法、個人情報保護法、不正アクセス禁止法 など
関連分野
テクノロジ
ネットワーク、データベース、システム構成要素
マネジメント
システム監査、サービスマネジメント、プロジェクトマネジメント
ストラテジ
経営管理、システム戦略、システム企画
コンピュータの基礎理論などは出題されない
IPAといえば基本情報技術者試験や応用情報技術者試験が有名で、それらの試験では論理演算やプログラミングなどのコンピュータの基礎理論に関する問題が出題されます。
これまで情報系の勉強をしてこなかった方にとってはかなり難しい分野ではありますが、これらのコンピュータの基礎理論については情報セキュリティマネジメント試験では出題されません。
幅広い情報セキュリティマネジメント試験に効率よく合格するには
以上見てきたように情報セキュリティマネジメント試験の出題範囲はかなり広範です。
難易度も基本情報技術者試験と同等と言われているため、付け焼刃の勉強では試験にパスすることは難しいでしょう。
ここからは情報セキュリティマネジメント試験に効率よく合格するために、どのような勉強をしていけばよいのかを考えていきましょう。
テキストは過去問だけでOK
試験勉強を始めるにあたってまず重要になるのはテキスト選びです。
情報セキュリティマネジメント試験の勉強でおススメなのは、過去問題集をひたすら解くことです。
情報セキュリティマネジメント試験では繰り返し同様の問題が出題されるので、過去問の反復練習はとても効果的です。
また、2016年にスタートした情報セキュリティマネジメント試験にはまだ「これだ!」という参考書や問題集がありません。情報が少ないため基本情報技術者試験などから予想をたてている参考書や問題集もありますが、必要のない部分を学ぶことは回り道になってしまうので、おススメできません。どうしても過去問の解説だけではわからないという部分のために古本で参考書を買う程度でよいでしょう。
よく過去問集を「最後の力試し」程度に使用される方がいらっしゃいますが、時間のない中で効率よく合格を目指すのであれば、過去問で勉強することをおススメいたします。
情報セキュリティマネジメントの合格点は60点
情報セキュリティマネジメント試験は午前・午後で分かれています。午前は四肢択一の知識問題、午後は文章問題です。両者ともに合格ラインは60点です。
そのため、過去問をしっかりこなせば、午前試験の突破は問題ないでしょう。
四肢択一の試験では全く勉強せずに試験に臨んだとしても、期待値的に25点前後は獲得できます。そのため、実力で50点さえ確保できれば、残りは勘で答えたとしても50点中から12.5点は獲得できるため、合格点60点をクリアできる計算となります。
これが過去問だけで合格が十分に狙える理由の一つです。他の参考書や問題集に手を出して100点を目指さなくとも、合格点60点の突破は難しくありません。
午後試験は全く別物の試験
情報セキュリティマネジメント試験は午前も午後も選択式の試験ですが、午後は文章問題になっています。ケーススタディ的に、会社や団体の状況に合わせて情報セキュリティマネジメントを考えていくものとなっています。
単純に知識を問う午前試験に対して、午後の試験ではその場に適した選択肢を選ばなければなりません。
そのため、すべての選択肢が一見正答に見えることもあります。
こうした午後試験のクセを過去問から学ぶ必要があります。
100点になるまで解こう
過去問をただこなすだけでなく、この中だったらどんな問題が出題されても答えられるという状態に持っていきましょう。
過去問での勉強に慣れていない方だと、ついついできる問題ばかりに手を付けてしまいますが、できる問題よりも苦手な問題に数多く当たることが大切です。
そのため、「2回正解だったら次からはスキップする」「2回間違えたらテキストを読み直し、ノートに内容をまとめる」などの緩急をつけていくことが大切です。
問題文・選択肢からも知らない単語を無くしていこう
どんな問題を出題されても正解できるという状態が近づいてきたら、同時並行して「問題文・選択肢にでてくる語句も答えられる」という状態を目指していきましょう。
例えば平成30年秋の午前試験の問12の選択肢には
ア 環境設計による犯罪予防理論
イ 日常活動理論
ウ 不正のトライアングル理論
エ 割れ窓理論
という選択肢がでてきますが、正解以外の選択肢の内容も答えられるようにしておきましょう。
明らかな誤りを除外して正答確率を上げる
試験当日はわからない問題に直面しても粘って正答率を上げることが肝心です。
その問題の答えが明らかでなくても、明らかに誤りである選択肢というものが混入されてあり、それを除外していくだけでも正答確率はぐっと上がります。
こうした「明らかな誤りを除外していく」という方法は午後試験で特に有効です。
午後試験は午前と同じ選択式ではあるものの、選択肢の数が10近くあることもあります。
そのため、そのまま選択肢を選ぶと痛い目を見てしまいます。
例えば平成30年秋の第1問の設問5の(5)の問題はよい例です。
まずは選択肢を見ていきましょう。
| f1 | f2 | |
| ア | (ii) | (i) |
| イ | (ii) | (iii) |
| ウ | (ii) | (vi) |
| エ | (iv) | (i) |
| オ | (iv) | (iii) |
| カ | (iv) | (vi) |
| キ | (v) | (i) |
| ク | (v) | (iii) |
| ケ | (v) | (vi) |
この問題は空欄であるf1・f2に入る解答の組み合わせを選ぶというものです。
この問題の選択肢はア~ケの9個もありますが、f1、f2に入る内容を見ていけば選択肢を減らせます。
仮にf1に入る(ii)が明らかに間違いだったとしたら、それだけで選択肢はエ~ケの6個に絞れます。
さらにf2に入る(iii)が誤りであったらどうでしょう?オとクの選択肢は消え、選択肢は4つにまで絞られます。
ピクロスなどの論理パズルのように選択肢を削っていけば、わからない問題に直面した際にも正答に近づくことができます。
情報セキュリティマネジメント試験のスケジュール
最後に情報セキュリティマネジメント試験の準備にどの程度の勉強時間を見積もっていればよいのか考えていきましょう。
余裕をもって勉強するなら、3カ月程度を見ておけばよいでしょう。
| 1カ月目 | 午前の過去問題をスタート |
| 2カ月目 | 午後の過去問題も並行してスタート |
| 3カ月目 | 試験日まで繰り返し問題集に取り組む |
なかなかまとまった時間を確保できないビジネスパーソンであれば、平日は午前試験の勉強に重点を置き、土日に午後の文章問題に力を注げばよいでしょう。
さいごに
今回は情報セキュリティマネジメント試験の勉強法についてみてきました。
昨今は情報漏えいの問題が紙面を賑わせ、個人情報の取扱いに対してより厳重な姿勢が求められるようになっています。
また、昨今では情報システムと業務は切り離せないものとなっています。
上手く情報システムとつきあっていくためにも、情報セキュリティの知識を高めておくことは重要です。
もしすぐに必要でなくとも、仕事をしていく中で知っておいて損はないことばかり学べるため、まだまだ簡単な時期に取得しておくのもよいかもしれませんね。