情報セキュリティスペシャリストの試験概要と全体傾向
はじめに
今回から5回にわたって、情報セキュリティスペシャリスト試験の直前対策を行います。頻出する情報セキュリティ技術に関する問題の詳細は次回以降で紹介するとして、今回は「情報セキュリティスペシャリスト試験概要と全体傾向」について解説します。
今回がラストチャンス!情報セキュリティスペシャリスト試験
先日、2016年秋の情報処理技術者試験の申込が締め切られましたが、「そろそろ、試験に向けて勉強を始めなければ!」と思われている方も多いと思います。
「情報セキュリティスペシャリスト試験」は平成21年から始まり、毎年春季と秋季に開催され、今年の10月で16回目の実施となります。そして、情報セキュリティスペシャリスト試験は今回が最後の実施となります。来年度からは「情報処理安全確保支援士試験」が始まるので、情報セキュリティスペシャリスト資格を取得するには、この秋が最後のチャンスとなります!
ちなみに、情報処理安全確保支援士試験は情報セキュリティスペシャリスト試験の内容をベースとし、またレベルも同等の位置付けのため、試験自体は大きく変わらないことが想定されますが、制度が大きく変わります。
情報処理安全確保支援士試験に合格すると「情報処理安全確保支援士となる資格を有する者」となり、情報処理安全確保支援士登録簿へ登録することで「情報処理安全確保支援士」となります。また資格取得後も継続的な知識・技能の向上を図るため、講習の受講が義務化されます。
なお、これまでに実施された「情報セキュリティアドミニストレータ試験」「テクニカルエンジニア(情報セキュリティ)試験」「情報セキュリティスペシャリスト試験」に合格した方も情報セキュリティに関する知識・技能を有しているとして「情報処理安全確保支援士となる資格を有する者」と認められます。よって、これらの試験に合格されている方は、改めて情報処理安全確保支援士試験に合格しなくても、情報処理安全確保支援士登録簿に登録すれば情報処理安全確保支援士になることができます。
(【参考】2016年6月27日 独立行政法人情報処理推進機構 プレス発表:「“情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて」)
秋の情報セキュリティスペシャリスト試験を申し込んだにもかかわらず、「情報処理安全確保支援士が始まるし、来年から頑張ろう!」と考えている方もいるかもしれませんが、前述したように情報セキュリティスペシャリスト試験に合格すれば、情報処理安全確保支援士にも登録できますし、情報セキュリティスペシャリスト試験は過去15回実施されて過去問もたくさんあり、傾向も把握しやすく、新しい試験を受験するよりも勉強しやすいと思います。試験を先延ばしにせず、今回の合格を目指して頑張りましょう。
情報セキュリティスペシャリスト試験の概要
情報セキュリティスペシャリスト試験には「午前Ⅰ(多肢選択式)」「午前Ⅱ(多肢選択式)」「午後Ⅰ(記述式)」「午後Ⅱ(記述式)」の4つの時間区分があります(図1)。
図1:試験時間・出題形式・出題数・解答数
各時間区分の合格ラインは60%です。半分ちょっと正解すれば良く「合格しやすいのでは」と思う方もいるかもしれませんが、28年春季の合格率は16.5%でした。例年に比べると少し高いかもしれませんが、それでも6人に1人しか合格できない難易度の高い試験です。
また、得点分布図(図2)を見ると、得点50~59ゾーンの「あと一歩」のところで残念な結果に終わってしまった方が非常に多いことが分かります。特に得点が難しい午後試験では得点60~69ゾーンの次に50~59ゾーンの方が多いこともからも分かるように、ちょっとしたミスが命取りになり合否を分けるケースが多いと思われます。よって、確実に得点できるように訓練することが合格への近道です。
図2:H28年度 春季 情報セキュリティスペシャリスト試験 得点分布
では、確実に得点するにはどうすれば良いのでしょうか? 午前Ⅰは高度試験で共通の問題なので、ここでは触れません。午前Ⅱ、午後問題について、それぞれ説明しましょう。
午前Ⅱは過去問をたくさん解くこと!
では、まず午前Ⅱの出題分野を見てみましょう(図3)。
図3:情報セキュリティスペシャリスト試験の出題分野一覧
ポイントとしては出題される7分野のうち、重点分野の「ネットワーク」と「セキュリティ」が全体の8割(20問)を占めるため、この2分野の内容をしっかり理解できているかで合否が決まります。
ここ数年の出題傾向(図4)を見ても分かるように、特にセキュリティ分野は65%(17問)以上を占めます。セキュリティの知識をしっかり身につけることが合格への早道となるので、セキュリティの知識項目例(図5)の範囲をしっかりと確認して勉強するように心がけましょう。
図4:「セキュリティ」と「ネットワーク」の出題傾向
図5:セキュリティの知識項目例
図5の中でも攻撃手法や暗号化、PKIなど「情報セキュリティ」分野からの出題が多くなっています。これらの分野は午前Ⅰでも出題されますが、午前Ⅱの方が「AESの段数」「CRLやOCSP」「ハッシュの衝突発見困難性」「SQLインジェクションを引き起こす入力データ」など、一歩踏み込んだ内容が出題されています。
また、新しい攻撃が流行ると、その手法に関して出題される場合もあります。例えば、昨年あたりから日本でも増えてきた「ランサムウェア」も狙われるかもしれません。ランサムウェアについてはIPAからもいろいろな情報が出ていますので、一度確認しておくと良いでしょう。
(【参考】2016年4月13日 独立行政法人情報処理推進機構 プレス発表:【注意喚起】ランサムウェア感染を狙った攻撃に注意)
DNSサーバやメールサーバ、Webサーバに対する攻撃手法やサーバ側の対策といった「セキュリティ実装技術」もよく問われます。DKIM、SMTP-AUTH、DNSSEC、SSL、IPsecなどの主要な対策技術については説明できるようにしておきましょう。
午前Ⅱは過去に出題された問題が非常に多く出てきます。まったく同じ問題(選択肢の内容も順番も同じ)や一部だけ変更した問題等を数えると、通常でも全体の6割以上、多い時では8割近くが過去問から出題されています。よって、合格ラインの60%を突破するには、過去問をたくさん練習すれば良いことになります。
「過去問を覚えて正解しても真の実力ではない!」と思われる方もいるでしょう。過去問をたくさん練習するときは解答だけを覚えるのではなく、問題や選択肢で分からない用語や内容を調べるようにしてください。
例えば、平成26年秋季の午前Ⅱ問15では、次のような問題が出題されました。
問15 スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。
ア 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して,受信側メールサーバで検証する。
イ 送信側メールサーバで利用者が認証されたとき,電子メールの送信が許可される。
ウ 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する。
エ ネットワーク機器で,内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を禁止する。
この問題の正解はアですが、イはSMTP-AUTH、ウはSPF、エはOP25Bの説明です。もし違う選択肢が正解の問題でも解答できるように、不正解の選択肢も一度は内容を調べる癖をつけてください。そうすれば知識の習得につながるだけでなく、「なぜ出題者がこの選択肢を入れたのか」が分かり、引っ掛け問題を落とす確率を下げることもできます。
また「なぜ正解なのか」「なぜ不正解なのか」を理解できるようにもなります。本番までに過去15回分の過去問をすべて解くつもりで頑張ってください。
午後問題は「読む練習」「書く練習」をすること!
午後問題の出題範囲は午後Ⅰ、Ⅱとも共通です。どちらも記述問題で、午後Ⅰは3問中2問を、午後Ⅱは2問中1問を選択します。
- 情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること
情報システムの企画・要件定義・開発、物理的セキュリティ対策、アプリケーション(Webアプリケーションを含む)のセキュリティ対策、セキュアプログラミング、データベースセキュリティ対策、ネットワークセキュリティ対策、システムセキュリティ対策 など - 情報セキュリティの運用に関すること
情報セキュリティポリシ、リスク分析、業務継続計画、情報セキュリティ運用・管理、脆弱性分析、誤使用分析、不正アクセス対策、インシデント対応、ユーザセキュリティ管理、障害復旧計画、情報セキュリティ教育、システム監査(のセキュリティ側面)、内部統制 など - 情報セキュリティ技術に関すること
アクセス管理技術、暗号技術、認証技術、マルウェア(コンピュータウイルス、ボット、スパイウェアなど)対策技術、攻撃手法(ソーシャルエンジニアリング、サイバー攻撃など)、セキュリティ応用システム(署名認証、侵入検知システム、ファイアウォール、セキュアな通信技術(VPN ほか)、鍵管理技術、PKIなど。また、周辺機器も対象とする)、監査証跡のためのログ管理技術 など - 開発の管理に関すること
開発ライフサイクル管理、システム文書構成管理、ソフトウェアの配布と操作、人的管理手法(チーム内の不正を起こさせないような仕組み)、開発環境の情報セキュリティ管理、脆弱性情報収集管理 など - 情報セキュリティ関連の法的要求事項などに関すること
情報セキュリティ関連法規、国内・国際標準、ガイドライン、著作権法、個人情報保護、情報倫理 など
よく「午後問題が苦手で合格できない!」という方がいますが、午後問題のポイントは、以下の通りです。
- 問題選択と時間配分
- 試験問題の読み方
- 解答の書き方
改めて書くと大したポイントとは思えないような項目ですが、非常に重要なポイントです。
まず「1.問題選択と時間配分」です。特に午後Ⅰは90分しかない中で3問中2問を解答しなくてはなりません。「どの問題を選択するか」の見極めに10分、解答に1問あたり30分(×2問)、残り20分で全体の見直し、という時間配分でちょうど90分です。
午後Ⅰではセキュアプログラミングに関する問題が必ず出題されます。プログラミング経験がなく、よほど自信がない限りは選択しない方が良いでしょう。その場合は残り2問での勝負になりますが、問題選択の見極めに時間をかけずに済む分、解答時間を増やすことができます。あらかじめ、どのような方針で問題を選択するか(問題を捨てるか)を決めておくと時間を有効に利用できます。
また、練習で過去問を解く場合と試験本番で問題を解く場合とでは緊張度も違うため、練習時は本番よりも短い時間(例えば1問25分以内)で解く練習をする必要があります。ただし、この練習は10月に入ってからでも問題ないので、それまではじっくりと問題に取り組み、考える力を養っていくべきです。
次に「2.試験問題の読み方」です。本番では時間がないため、かなりのスピードが要求されます。ただ、練習時にいきなり早く読む練習をしても内容が頭に入らず、正しい解答を導くことができない恐れがあります。まずは時間を気にせず、じっくり読んで考える力を養うことから始めてください。
情報処理技術者試験の午後問題は国語力が問われます。出題者も正解を絞らせるため問題文中にたくさんヒントを潜ませている場合があります。自分の経験を踏まえて解答するのではなく、問題文の記述内容から解答を導き出すようにしてください。そのために何度も問題を読んで傾向をつかみましょう。「この文章は、この問題を解くために必要だから記載されているのだ」ということが分かるようになれば合格に大きく近づきます。
最後に「3.解答の書き方」です。よく受験者から「解答をうまくまとめるにはどうすれば良いでしょうか?」と質問を受けます。
ほとんどの問題が「解答は20文字以内で書きなさい」と字数制限されており、解答をうまく字数以内にまとめることができず、中途半端な内容になって正解できないケースが多いです。
解答をうまくまとめるには練習が必要ですが、必ずマス目があり字数をすぐに確認できる紙に書くようにしてください。頭で解答を考え、正解を確認して考えた内容と同じだったら正解した!と安心する方も多くいますが、紙に書いてもらうと字数制限よりも長かったり、辻褄が合っていなかったり、表現がおかしかったりすることが多々あります。頭で考えていることを頭の中で判定するので、勝手に行間を補ったりして「正解が書けた」と錯覚してしまいます。紙に書くことで自分の考えを客観的に見直しできるだけでなく、書く練習にもつながります。
最新情報にも気を配ろう!
情報処理技術者試験は、最近の出来事や最近発表された資料等を参考に問題を作る場合も多いため、いろいろな情報に目を向けることも大切です。
例えば、IPAが発表した「情報セキュリティ10大脅威」(https://www.ipa.go.jp/security/vuln/10threats2016.html)や、3月に警察庁が公表した「平成27年におけるサイバー空間をめぐる脅威の情勢について」(https://www.npa.go.jp/kanbou/cybersecurity/H27_jousei.pdf)等、最近の情報セキュリティの事件や状況がよく分かるので、こういったページも積極的に見るようにしてください。
おわりに
今回は、情報セキュリティスペシャリスト試験について、試験概要と全体の出題傾向を解説しました。受験される方は、今回解説した内容をしっかりと心に留め、ぜひ本番まで頑張って学習していただければと思います。
次回からは、情報セキュリティスペシャリスト試験で頻出のセキュリティ技術から「PKI・認証技術」について解説します。
