虎の穴ラボ、アドベントカレンダー最終日です。
虎の穴ラボCTOの野田が書きます。
この記事は、虎の穴ラボ Advent Calendar 2021の25個目の記事です。
ふと、たまには試験勉強してみようと思い IPAのサイトを見たところ直近で冬やっていたセキュリティマネジメント試験の勉強をしてみて割と良かったと思う点があったのでその勧め記事になります。
情報セキュリティマネジメントとは
- 非エンジニア向けの試験
- 会社でのセキュリティリーダー的なポジション向け、または情報処理安全確保支援士のサポートを受けながらセキュリティマネジメントする人向け。
- ITパスポート(スキルレベル1)と基本情報技術者試験(スキルレベル2)の中間的位置付け
- ただしスキルレベルは基本情報技術者試験と同じくレベル2
- 基本情報技術者試験からアルゴリズムや計算問題を削除してセキュリティの内容を強化した試験
- 午前50問選択肢[90分]、午後長文問題3問(解答は選択肢)[90分]
- 合格基準は午前と午後共に6割以上
ここで重要なのは非WEBエンジニア向け、非IT専門職の試験であり、ある意味WEBエンジニアであればむしろマスターしておかないといけないということでもあります(と勝手に解釈しました)。
ただ中身的にはWEBエンジニア向けだけでなく情報シス部門的な内容も多くあります。ITのセキュリティ全般の知識を問う問題です。
どういう問題が出るのか(午前)
下記のような用語の理解が必要になります。 まったくわからなかったり、あやふやであれば参考書などを買って勉強するのをおすすめします。
技術用語系
- APT
- BEC
- IDSとIPSの違い
- XSSとCSRFの違い
- SMTP-AUTH
- S/MIME
- MITB攻撃
- セキュアブート
- CVSS
- ファジング
- RTOとRPOの違い
- WAFのフォールスポジティブとフォールスネガティブの違い
非技術的用語
- CSIRT
- JPCERT/CC
- J-CRAT
- J-CSIP
- サイバーセキュリティ基本法
- IT基本法
- NISC
- RFI,RFP,RFQ
どういう問題がでるのか(午後)
実際に世の中で起きてそうなインシデント事例やセキュリティ事前対策会議を元に、どう解決すべきか?を問う問題が多く、日本のインシデント情報を集約しているIPAならではの問題であり、過去のセキュリティ関連事象を体系的に学べるいい問題だと思います。
出典:平成30年 秋期 午後 問1より
良いところ
程よい難易度
WEBエンジニアが試験勉強する内容としてはあくまで知識の補填、抜け漏れを防止する役割は果たすと思われますので、知らない用語をさらっと数時間勉強するだけでも学習効果は高いと思います。 逆に非エンジニアに対しては少し難易度が高い試験な気がします。
午後過去問の事例がかなり良い
上記にも書きましたが、日本企業のインシデント事例から解決までストーリーや他社のセキュリティ対策会議の事例ケースは目に触れることがあまりない(公開されない)ので、IPAだからこそできるいい内容だと感じました。
例.[午後 平成31年]
- 問1 レッドチーム演習についてのシナリオ
- 問2 ショッピングサイトの開発改善 PCI DSSなど、会社・個人でのSNS利用に関する取り決めルール設定事例
- 問3 セキュリティ自己点検、情報セキュリティ監査基準をもとにした社内の情報シス全体の見直し事例
IPAのサイトにあるセキュリティ資料を見る機会になる
IPAが出しているセキュリティ関連の資料に関連する問題も出ますので資料に軽く目を通す必要があります。 良質な資料が多く、セキュリティ関連書籍を買う前にまずチェックしておくと良いです。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
悪い(と感じたところ)
JIS規格関連の問題がかなり出ますが、参考書も(おそらく試験側も)JIS規格の中身まで読むことは推進しておらず、あくまで暗記問題になっている点が微妙だと感じました。 試験に受かるために規格の中身を読まなくても試験は受かる形になっています。
出てくるJIS規格の一部
- JIS Q27001 情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項
- JIS Q27002 情報技術−セキュリティ技術− 情報セキュリティ管理策の実践のための規範
- JIS Q 27017:2016 情報技術―セキュリティ技術―JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
- JIS Q 31000:2010 リスクマネジメント-原則及び指針
またJIS規格の公式サイトでは閲覧のみになっておりPDFがダウンロードできないので利便性は少し悪いです。
おすすめ有効活用
社内のセキュリティチェックに使える
過去問は無料で公開されていますので(セキュリティマネジメント試験は令和元年までしかないですが)、社内のセキュリティスキルチェック(エンジニア向け)、セキュリティリテラシーチェック(非エンジニア向け)に有料のテストサービスを使わずに、この試験をカスタマイズして使うこともできるかと思います。ただしIPAのサイトでは解答の解説までは配布していないので過去問の参考書などを買うのを推奨します。
過去問の利用規定の自由度が高いのでアプリも作れる
過去問の利用に関しては自由度が高く、出典のみ書けば利用に関しては無料で使用できます(規約リンク)。
なのでこの試験を使ったスマートフォンアプリや、WEB問題システムを構築して、成績を分析したりスキル分析してみるソフトを作ってみると面白いかもしれません。実際にIPAの試験に関してはいくつもスマートフォン向けのアプリが個人の方からリリースされています。
おすすめ参考書
IPAのサイトに過去問と解答はありますが(SG試験は令和元年まで)、解答の解説まではないため過去問は書籍を買うのをおすすめします。
情報処理教科書 出るとこだけ! 情報セキュリティマネジメント テキスト&問題集 2021年版 | 橋本 祐史 |本 | 通販 | Amazon
(全文PDF・単語帳アプリ付) 徹底攻略 情報セキュリティマネジメント過去問題集 令和3年度下期 | 五十嵐 聡 |本 | 通販 | Amazon
まとめ
難易度が低く、試験勉強するボリュームも多くないのでWEBエンジニアであれば1週間の短期間で知識の補填ができる試験ですので参考書を買って勉強したり、チームメンバー各人で過去問を一度解いてみて点数を分析し、チームのセキュリティの知識を補強するのにお薦めできます。
P.S.
■ 採用情報
とらのあなでは、オタクなエンジニアを募集しています。
カジュアル面談も随時開催中です。お申し込みはこちら!
■ ToraLab.fmスタートしました!
メンバーによるPodcastを配信中!是非スキマ時間に聞いて頂けると嬉しいです。
anchor.fm
■ Twitterもフォローしてくださいね!
Twitterでも随時情報発信をしています。