情報セキュリティマネジメントは役に立つ資格?受験前に知りたい合格のコツと難易度を解説

情報セキュリティマネジメントは役立つ資格?受験前に知りたい合格のコツと難易度を解説

国家試験である情報セキュリティマネジメント試験は、本当に役に立つ資格なのでしょうか?

合格後に身についた知識から、気になるどれくらい社会で役立つ資格なのか?を検証し、受験を決めた方向けに合格するためのコツを解説します。

さらに、ITパスポートや基本情報技術者試験に合格している私が、それらの試験と比べた際の難易度も解説したいと思います。

就職や転職でどのくらい役に立つ資格なのか?
午前・午後試験のそれぞれの合格のコツとは?
他のIT系資格(ITパスポート・基本情報)の中での実際の難易度とは?

情報セキュリティマネジメント試験とは

情報セキュリティマネジメント試験とは
IPA 情報セキュリティマネジメント試験 情報セキュリティマネジメント試験とは

情報セキュリティマネジメント試験(以下、情報SG)は、2016年の平成28年度春季から新たに新設された国家試験です。

対象者像は「ITの安全な利活用を推進するための基本的知識・技能を身に付けた者」とされていますが、セキュリティ系の資格の中で最もカジュアルな試験であり、実務用ではなく基礎的な知識を身に着けたい人向けです。

試験の構成は基本情報技術者試験と似ていて午前と午後に分かれており、制限時間は双方90分、合格点は双方60点以上、問題数は午前は四択問題が50題、午後は大問が3題です。

合格率は初回は88%と非常に高かったですがそれ以降徐々に下がり、直近2,3年は50%付近で安定しています。

受験者数は、毎年およそ1万5千人以上です。

現在はCBT方式で実施されていますが、簿記のCBTと異なり春期と秋期の年に2回しか受験できないため、何度でも好きなタイミングで受けることはできません。

受験料は5,700円ですが、2022年度から7,500円に値上げ(他のITパスポートなどの12の情報処理技術者試験も一律に値上げ)されるので、受験するなら今年度中をおすすめします。

本当に役に立つ資格なのか

  • 就職・転職には直接的には役に立たない
  • IT音痴ではなく興味関心があること・自己研鑽など苦にせず頑張れる人のイメージなど間接的には役立つ
  • 基本情報や応用情報など上位資格の取得を目指す上では役立つ
  • 普段の生活には薄く役立つ

私の結論をまとめると上のようになります。

それぞれ見ていきましょう。

就職活動

セキュリティ系の企業を除いて、就職活動にはかなり活かしづらいです。

まず、情報SG自体が新しい資格であり認知度が低いために、面接官が知らない可能性が高くその有用性を説明することが難しいです。

セキュリティ系の会社ならばその方向への興味関心があることの証明になり、大きなアピール材料になるでしょう。

IT企業ならば、IT音痴ではないことや社会人としての教養レベルの知識があることは面接官を安心させるでしょう。ただ、なぜセキュリティ系の資格を取得したのかちゃんと説明できなければ、単なる資格オタクとしての印象を与えてしまうでしょう。

一般企業ならば、資格を取得するという自己研鑽や勉学を苦にしな姿勢は評価されるでしょうが、なおさらセキュリティ系の資格を取得し面接の場で披露するだけの確固たる理由が必要だと思われます。

転職活動

基本的には上記の転職活動と同じですが、転職活動となるとポテンシャルよりも実務能力が問われていきます。

その際に、情報を正しく安全に扱うための基礎知識が備わっていることは、現代のどの企業もITを避けては通れないことを鑑みると、業界業種問わずに大きなアピールポイントにはなりますが、いかんせん情報SGが知識系の資格のために実務では役立たないと思われるので、セキュリティ系の企業で武器としては使えないでしょう。

上位資格への道

では、何に役立つんだという話ですが、もし情報SGより難易度の高い基本情報や応用情報を目指していくならば知っておいて損のない知識です。

試験範囲のイメージとしては、基本情報の中のひとつの分野であるセキュリティ領域を少し深堀ったのが情報SGであり、基本情報の難易度を上げて範囲を広げたのが応用情報です。

ですので、いずれの試験でも情報SGの知識は役立っていきます。

あらかじめ勉強しておくという認識ならば、受けておくことは今後に役に立つ試験です。

普段の生活

他にも、普段の生活でも薄くですが役立つ印象です。

クリックジャッキングやクロスサイトスクリプティング、パスワードリスト攻撃などさまざまな種類のサイバー攻撃を学ぶので、スクリプトの恐ろしさやPWの脆弱性などを実感し、実生活にも少し役立てることができます。

これからの時代、セキュリティの知識はあって損ではないので、自分の身を守るという観点では受けると役立つ試験です。

合格のコツ

情報セキュリティマネジメントのゲオ前試験の試験範囲
IPA 情報セキュリティマネジメント試験 試験内容

午前試験ではこのような範囲の問題が出されます。

それでは、このような問題をどのように対策していけばいいのでしょうか?

そのコツを3つに分けてご紹介します。

①テキストは過去問題集だけでOK

こちらの、おすすめの過去問題集です。

サイズが大きく家で勉強するには見やすく、紙面で5回分、PDFで8回分の合計13回分の過去問(模擬問題含む)が収められており、ボリュームも十分です。

難易度がアイコンでひと目でわかる他、読者特典としてスマホで読める要点整理Bookや解説動画付きです。

教本を見て単語の解説をされても実感がわかないので、対策としては実際の問題を解きながら頭に入れられるこの過去問題集1冊だけで大丈夫です。

問題構成も問題自体も似たものが多いので、13回分解けば頻出問題はイヤでも頭に入ります。

『解く→解説読む→理解できなかった部分はネットで調べる』を50問x13回分繰り返せば、さすがに午前試験は完璧になるでしょう。

午後試験は午前の基礎知識が入っていれば、常識的にわかる問題ばかりなので、最悪ノー勉でも合格できます。

基本情報と違いアルゴリズムやn進数の計算などややこしい思考問題がないため、ほんとうに特別な対策は不要です。

私はITパスポートや基本情報を取得していたバックグラウンドがありますが、紙面の5回分を解き午前は合格し、午後に関しては1回分解いて合格できました。

②午前試験は頻出ワードをまとめて覚える

午前試験はよく出るキーワードがあります。

例えば、サイバー攻撃系だけでもこんなにもあります。

いずれも頻出ワードですし、このようにまとめて一気に覚えることをおすすめします。

他にも、英文字3文字の省略形(BECやPKIなどなど)は非常にたくさんありますし、リスク〇〇系ISMS系もよく出るのでまとめて覚えると楽です。

  • DNSキャッシュポイズニング:DNSサーバに偽のドメイン情報を記憶させ利用者を偽のサーバに誘導する攻撃
  • DDoS攻撃:複数のパソコンなどの機器を踏み台にして、特定のサーバなどの機器に過剰な負荷をかける攻撃
  • DoS攻撃:1台の機器から、特定のサーバなどの機器に過剰な負荷をかける攻撃
  • SEOポイズニング:SEOのアルゴリズムを悪用して検索結果の上位に悪意のあるWebサイトを意図的に表示させる攻撃
  • SQLインジェクション:スクリプトを入力フィールドに入力しDB内のデータを不正ダウンロードする攻撃
  • クリックジャッキング:WebサイトのボタンやURLを透明化・偽装して誤ったクリックを誘う攻撃
  • クリプトジャッキング:他人のコンピュータのリソースで仮想通貨のマイニングを行う攻撃
  • クロスサイトスクリプティング:利用者をWebサイトに誘導し悪意のあるスクリプトを実行させる攻撃
  • クロスサイトリクエストフォージェリ:悪意のスクリプトを埋め込んだWebを閲覧させ意図しない操作を行わせる攻撃
  • サイドチャネル攻撃:消費電力や処理時間などの物理的な観察手段により暗号を解読する攻撃
  • スニッフィング:ネットワークに流れるパケットを取得し、通信内容を盗み見る攻撃
  • セッションID固定化攻撃:攻撃者が用意したセッションIDを利用者に使わせることでなりすます攻撃
  • セッションハイジャック:ログイン中のセッションIDを不正に取得し利用者になりすましてサーバにアクセスする攻撃
  • ゼロデイ攻撃:脆弱性が発見されて修正プログラムが提供される日より前にその脆弱性を悪用する攻撃
  • ディレクトリトラバーサル:パス名を使ってファイルを直接指定し、ファイルに不正アクセルする攻撃
  • ドメイン名ハイジャック:権威DNSサーバの情報を不正に書き換え、攻撃者サイトに誘導する攻撃
  • ドライブバイダウンロード:Webサイト閲覧時に意図に関わらずPCにマルウェアをダウンロードさせ感染させる攻撃
  • パスワードリスト攻撃:複数サイトで同一のIDとPWを使用していることを利用し他サイトに不正ログインする攻撃
  • バッファオーバーフロー攻撃:メモリサイズを超える処理を行わせることで不正なコードの実行をさせる攻撃
  • ランサムウェア:PC内のマルウェアを遠隔操作し、ファイルを暗号化して使用不能にさせ身代金を要求する攻撃
  • リバースブルートフォース攻撃:PWを一つ選び、利用者IDを総当たりに試す攻撃
  • レインボー攻撃:想定し得るPWとハッシュ値のリストを用いて、入手したハッシュ値から PWを解析する攻撃
  • ワーム:DBMSの脆弱性を悪用し、宿主となるサーバを探して感染を繰り返し、トラフィックを急増させる攻撃
  • 辞書攻撃:辞書にある単語や単語の組合せなどを用いて認証を試みる攻撃
  • 中間者攻撃:通信を行う2者に割り込み、情報を自分のとすり替えることで不正にデータを窃取する攻撃

③午後試験は消去法でまず絞る

午後試験で唯一意識しておくべきことは、消去法で明らかに間違いな選択肢は×にすることです。

選択肢が10個ほどありやたら多いので、ありえない選択肢をまず消し、残りの3,4択ほどまで絞ってから迷うことをおすすめします。

CBTの機能として、画面の選択肢を一度クリックすれば×になってくれるので、この機能は是非使っていきましょう。

実際の難易度

  • ITパスポート < 情報セキュリティマネジメント <<<<<< 基本情報

CCSFと呼ばれる決まりによると、ITパスポートはレベル1、情報セキュリティマネジメントと基本情報技術者試験はレベル2、応用情報はレベル3、それ以上の試験はレベル4と定められています。

つまり、ITパスポートが一番簡単で、情報SGと基本情報が同じくらいで、応用情報がさらに難しいということです。

ですが、自身が受験した3試験の中の体感の難易度は上のように、情報SGと基本情報には大きな差がありました。

ITパスポートと情報SGは実際のところの難易度的にはほぼ変わりませんが、ITパスポートは120分の暗記問題だけで終わるのに対して情報SGは午前と午後に分かれており暗記問題に加えて文章問題も出されることから少し情報SGの方が難易度が高いと思われます。

しかし、情報SGには基本情報の午後で出題される計算問題や複雑なアルゴリズムの思考問題がなく、午後試験といっても流れに沿えばそれなりに解ける問題ばかりです。

ですので、情報SGと基本情報の難易度の差は大きいと感じました。

私も情報SGの対策は午前午後含めて10時間ほどでしたが、基本情報は午前と午後に50時間の100時間ほど費やし、期間でいうとそれぞれ1週間かかったので合計2週間かかりました。

CCSF上では同じレベルにされている情報SGと基本情報ですが、実際の難易度はかなり異なると考えた方がいいでしょう。

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です