情報処理安全確保支援士試験の概要と各問題の解法を知ろう

2018年8月1日(水)
棚橋 英之

はじめに

本連載では、今回から6回にわたって、平成30年度秋期試験「情報処理安全確保支援士試験」の試験対策を解説します。今回は「情報処理安全確保支援士試験」の概要と解答に対するアプローチを紹介します。

情報処理安全確保支援士とは

まず、情報処理安全確保支援士とはどのような資格かを確認してみましょう(国家資格「情報処理安全確保支援士(登録セキスペ)」について)。情報処理安全確保支援士は日本国内初のサイバーセキュリティ分野での国家資格であり、サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成を目指す資格として誕生しました。

本資格を取得する条件の一つとして「情報処理安全確保支援士試験」の合格が必要です。詳しくは情報処理安全確保支援士(登録セキスペ)になるにはをご確認ください。

情報処理安全確保支援士試験の概要

情報処理安全確保支援士試験の申込み開始日や受験料は「平成30年度秋期試験について(申込日付、金額)」を確認してください。本稿が公開される頃には申込み期日が迫っているので、まだ申込みされてない方はご注意ください。

また、情報処理安全確保支援士試験の概要や出題形式は「支援士試験について(概要、出題形式)」で確認できます。なお、「試験要綱Ver3.0(情報処理安全確保支援士試験抜粋版)」ではより詳細な試験情報が得られるので、必ず試験前に一読しておきましょう。

情報処理安全確保支援士試験は2017年4月から開始された試験で、他の高度試験とは位置付けが異なります。試験範囲や出題形式は、今のところ2016年までの「情報セキュリティスペシャリスト試験」とほぼ違いはありません。

試験時間と出題形式、出題数・解答数は表1の通りです。

表1:試験時間と出題形式、出題数・解答数

午前Ⅰ 午前Ⅱ 午後Ⅰ 午後Ⅱ
試験時間 9:30~10:20
(50分)
10:50~11:30
(40分)
12:30~14:00
(90分)
14:30~16:30
(120分)
出題形式 多肢選択式
(四肢択一)
多肢選択式
(四肢択一)
記述式 記述式
出題数
解答数
出題数:30問
解答数:30問
出題数:25問
解答数:25問
出題数:3問
解答数:2問
出題数:2問
解答数:1問

試験に合格するには、全ての試験区分で合格ライン(100点満点中60点)を満たす必要があります。前回試験の得点分布(「情報処理安全確保支援士試験 得点分布」)を見ると、60点にあと一歩で不合格という方が非常に多いことがわかります。特に午後試験は記述問題も含まれるため、確実に点数を積み重ねる必要があります。

では、続いて各試験区分について見ていきましょう。

午前問題(午前Ⅰ/午前Ⅱ)

午前Ⅰ問題は高度試験で共通のため、本連載では割愛します。

午前Ⅱ問題はすべて四肢択一で25問出題されます。

ここ数年間の午前Ⅱ問題の出題範囲と出題比率は表2のようになっています。

表2:午前Ⅱ問題の出題範囲と主題比率

設問 出題分野 1試験における問題数
問1~問17 セキュリティ 約17問
問18~問20 ネットワーク 約3問
問21 データベース 1問
問22 システム開発技術 1問
問23 ソフトウェア開発1問
問24 サービスマネジメント 1問
問25 システム監査 1問

分類は筆者による。考え方によって分類が異なる場合もある
セキュリティ、ネットワーク分野は問題数が変化する年も見られる

出題はセキュリティに関する問題が大半を占めます。セキュリティとネットワークに関しては技術レベル4相当であり、それ以外の分野は技術レベル3相当(午前Ⅰ問題と同等)です。どのようなセキュリティに関する知識が必要かは「試験要綱Ver3.0(情報処理安全確保支援士試験抜粋版)」 より確認できます(表3)。試験範囲をしっかり確認し、知らないキーワードや曖昧なキーワードはしっかり学習しておきましょう。

表3:情報処理安全確保支援士試験の午前問題の出題範囲(「試験要綱Ver3.0」)から引用

分類 知識項目例
情報セキュリティ 情報の機密性・完全性・可用性,脅威,マルウェア・不正プログラム,脆弱性,不正のメカニズム,攻撃者の種類・動機,サイバー攻撃(SQL インジェクション,クロスサイトスクリプティング,DoS攻撃,フィッシング,パスワードリスト攻撃,標的型攻撃ほか),暗号技術(共通鍵,公開鍵,秘密鍵,RSA,AES,ハイブリッド暗号,ハッシュ関数ほか),認証技術(ディジタル署名,メッセージ認証,タイムスタンプほか),利用者認証(利用者ID・パスワード,多要素認証,アイデンティティ連携(OpenID,SAML)ほか),生体認証技術,公開鍵基盤(PKI,認証局,ディジタル証明書ほか),政府認証基盤(GPKI,ブリッジ認証局ほか)など
情報セキュリティ管理 情報資産とリスクの概要,情報資産の調査・分類,リスクの種類,情報セキュリティリスクアセスメント及びリスク対応,情報セキュリティ継続,情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程),ISMS,管理策(情報セキュリティインシデント管理,法的及び契約上の要求事項の順守ほか),情報セキュリティ組織・機関(CSIRT,SOC(Security Operation Center),ホワイトハッカーほか) など
セキュリティ技術評価 ISO/IEC 15408(コモンクライテリア),JISEC(IT セキュリティ評価及び認証制度),JCMVP(暗号モ ジュール試験及び認証制度),PCI DSS,CVSS,脆弱性検査,ペネトレーションテスト など
情報セキュリティ対策 情報セキュリティ啓発(教育,訓練ほか),組織における内部不正防止ガイドライン,マルウェア・不正プログラム対策,不正アクセス対策,情報漏えい対策,アカウント管理,ログ管理,脆弱性管理,入退室管理,アクセス制御,侵入検知/侵入防止,検疫ネットワーク,多層防御,無線 LAN セキュリティ(WPA2 ほか),携帯端末(携帯電話,スマートフォン,タブレット端末ほか)のセキュリティ,セキュリティ製品・サービス(ファイアウォール,WAF,DLP,SIEM ほか),ディジタルフォレンジックス など
セキュリティ実装技術 セキュアプロトコル(IPSec,SSL/TLS,SSH ほか ), 認 証プロトコル(SPF , DKIM ,SMTP-AUTH,OAuth,DNSSEC ほか),セキュアOS,ネットワークセキュリティ,データベースセキュリティ,アプリケーションセキュリティ,セキュアプログラミング など

また、ネットワークの知識も要求されます。実際の現場でも、午後問題を解く上でも重要な知識のため、TCP/IPなど基本的なネットワークの知識についてもしっかりと学習しておくと良いでしょう。

試験対策として、セキュリティの基本的な知識を身に付けることは非常に大事ですが、過去問にしっかりと取り組むことも重要です。特に午前問題は過去に出題された問題と全く同じ問題や、似たような問題が出題されることも多いからです。

なお、過去問題はIPAの「過去問題」 よりPDFファイルで公開されています。少なくとも過去6回分ほどは挑戦することをお勧めします。計画的に時間を確保して、公開されている過去試験を一つでも多く解けるようにチャレンジしてみましょう。

午前Ⅱ問題を解いてみよう!

ここで、過去に出題された午前Ⅱ問題として、「平成30年度春期試験 午前Ⅱ問題 問11」を見てみましょう。

問11 cookieにsecure属性を設定しなかったときと比較した,設定したときの動作の差として,適切なものはどれか。

ア cookieに設定された有効期間を過ぎると,cookieが無効化される。
イ JavaScriptによるcookieの読出しが禁止される。
ウ URLのスキームがhttpsのときだけ,Webブラウザからcookieが送出される。
エ WebブラウザがアクセスするURL内のパスとcookieに設定されたパスのプレフィックスが一致するとき,Webブラウザからcookieが送出される。

正解は(ウ)です。

複数のWebページ間で情報を維持する(ログイン状態を維持するなど)仕組みの一つとしてCookie(クッキー)がよく用いられます。Cookieにはログイン状態の維持に必要な認証情報などが含まれますが、Cookieを通常のHTTP通信で送信すると盗聴される恐れがあるため、暗号化通信を行うHTTPSHTTP over TLS/SSL)で送信することが推奨されます。Cookieにsecure属性を付けるとTLS/SSLで保護された通信の場合でのみ、Cookieがブラウザから送出されます。

この問題とほぼ全く同じ問題が「平成28年度秋期試験 午前Ⅱ問題 問9」で出題されています。また、ほぼ同様のテーマで「平成27年度秋期試験 午前Ⅱ問題 問13」で出題されたほか、「平成26年度春期試験 午後Ⅱ問 問10」では形を変えて出題された頻出テーマの一つです。

CookieやHTTP、TLS/SSLに関する問題は午後問題でも頻出のため、各要素についても是非理解を深めておきましょう。

午後問題(午後Ⅰ/午後Ⅱ)

午後問題は多くのセキュリティ技術に関する総合問題です。問題を解くことで実際の現場でも用いられる様々なセキュリティ技術や対策を学習できるので、午前問題と同様に「過去問題」 を通して多くの知識や考え方を習得しましょう。関連技術や用語を調べておくと知識の強化につながり、合格へと近づけるでしょう。

午後問題の主題範囲は午後Ⅰ/午後Ⅱ共通で、「試験要綱Ver3.0(情報処理安全確保支援士試験抜粋版)」 より確認できます(表4)。

表4:情報処理安全確保支援士試験の午後問題の出題範囲(「試験要綱Ver3.0」)から引用

1 情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること 情報システムの企画・要件定義・開発,物理的セキュリティ対策,アプリケーション(Webアプリケーションを含む)のセキュリティ対策,セキュアプログラミング,データベースセキュリティ対策,ネットワークセキュリティ対策,システムセキュリティ対策 など
2 情報セキュリティの運用に関すること 情報セキュリティポリシ,リスク分析,業務継続計画,情報セキュリティ運用・管理,脆弱性分析,誤使用分析,不正アクセス対策,インシデント対応,ユーザセキュリティ管理,障害復旧計画,情報セキュリティ教育,システム監査(のセキュリティ側面),内部統制 など
3 情報セキュリティ技術に関すること アクセス管理技術,暗号技術,認証技術,マルウェア(コンピュータウイルス,ボット,スパイウェアなど)対策技術,攻撃手法(ソーシャルエンジニアリング,サイバー攻撃など), セキュリティ応用システム(署名認証,侵入検知システム,ファイアウォール,セキュアな通信技術(VPN ほか),鍵管理技術,PKI など。また,周辺機器も対象とする),監査証跡のためのログ管理技術 など
4 開発の管理に関すること 開発ライフサイクル管理,システム文書構成管理,ソフトウェアの配布と操作,人的管理手法(チーム内の不正を起こさせないような仕組み),開発環境の情報セキュリティ管理,脆弱性情報収集管理 など
5 情報セキュリティ関連の法的要求事項などに関すること 情報セキュリティ関連法規,国内・国際標準,ガイドライン,著作権法,個人情報保護,情報倫理 など

午後Ⅰ問題は90分間で3問中2問を選択し、午後Ⅱ問題は120分間で2問中1問を選択して解答する必要があります。各問題は文章量も多く、問題の選択や時間の配分にも注意が必要なため、過去問を通じて感覚を身に付けておくと良いでしょう。

午後Ⅱ問題を解いてみよう!

ここでは、「平成30年度春期試験 午後Ⅱ問題 問2」から、設問2と設問3を解いてみましょう。

・設問2の解説
設問2では、ストーリーを把握し、問題文中のキーワードを見つけ、指定された文字数にまとめる力が要求されます。

[全社のWebサイトのセキュリティ強化]以下では、Webサイト担当者が脆弱性を把握していなかったことが書かれています。これに対応するため「情報システム部が脆弱性情報を収集しWebサイト担当者に提供することにした」とありますが、効率的に情報を収集するためには、Webサイト担当者に何を報告させれば良いでしょうか。

各Webサイトで使用しているOSやミドルウェア、アプリケーションなどの種類やバージョン情報がわからないと、どこに脆弱性があるかの情報収集ができません。[Webサイトの運用]以下でWF(Webアプリケーションフレームワーク)が用いられていることがわかるため、こちらも解答に含め50字以内にまとめると良いでしょう。

従って、解答例は「Webサイトで使用しているOS、ミドルウェア及びWFの名称並びにそれぞれのバージョン情報」です。

・設問3の解説
設問3では、キーワードを知っているかが問われています。午前Ⅱ問題と要求される知識レベルは同等ですが、記述式なので正確な理解が求められます。

IPAが発行している「安全なウェブサイトの作り方」では代表的なWebシステムのセキュリティ対策法が挙げられており、ここからキーワードを得られます。

解答例は、以下の通りです。

c:「ディレクトリ」トラバーサル
d:「クロスサイト」リクエストフォージェリ
e:「HTTP」ヘッダインジェクション
f:クリック「ジャッキング」

設問2のように組織内システムの脆弱性が把握できないため、対応できず被害を受けるというストーリーは過去の午後Ⅰ/午後Ⅱ問題でも頻出されています。対応策も同様であるため、確実に押さえておきたい内容です。

試験では支援士がこのような対応を行っていくというストーリーが多いことから、支援士として知っておくべき内容と言えます。過去問を通じて学習していきましょう。

なお、実際の現場でも同様の事象は頻出で重要な対応項目でもあるため、試験でもよく問われていると見ることができます。一般的に脆弱性管理は次のような流れで行います。

①「利用しているシステムの種類とバージョンを把握」
②「そのバージョンの脆弱性情報を入手」
③「しかるべき対処(多くはセキュリティパッチの適用)」

この流れは試験のみならず、数あるセキュリティ対策の中でも最重要な一つと意識しておきましょう。

おわりに

最後に、今回紹介したリンク先を以下の通りまとめました。試験対策を行うにあたり、試験に関する情報は早めに整理しておきましょう。

平成30年度秋期試験の試験日(2018年10月21日(日))まで残り3か月弱です。過去問題を解くだけでもかなりの時間を要するので、計画的に対策を進めていきましょう。

次回は、最新のサイバー攻撃手法と対策方法について解説します。

NECマネジメントパートナー株式会社 人材開発サービス事業部
2009年日本電気株式会社入社。人材開発事業部門に所属し、Linuxシステム、Webプログラミング、セキュリティの教育を担当。近年では、官公庁や重要インフラ事業者へのCSIRT要員に対して、インシデント対応の演習を展開している。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています