情報処理安全確保支援士試験の概要と学習の手引き
はじめに
今回から6回にわたって、「情報処理安全確保支援士試験」の直前対策を行います。今回は「情報処理安全確保支援士試験」の概要と、試験合格に向けた学習のポイントを紹介します。
情報処理安全確保支援士とは
まず、情報処理安全確保支援士とはどのような資格かを確認しましょう(国家資格「情報処理安全確保支援士(登録セキスペ)」とは)。情報処理安全確保支援士は日本国内初のサイバーセキュリティ分野での国家資格であり、サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成を目指す資格として誕生しました。
本資格を取得するためには、情報処理安全確保支援士試験の合格が必要です。詳細は情報処理安全確保支援士(登録セキスペ)になるにはを確認してください。
情報処理安全確保支援士試験の概要
次に、情報処理安全確保支援士試験の概要を確認します。
試験の申込日付や受験料は「令和元年秋期試験について」を確認してください。本稿が公開される頃には申込み期日が迫っていますので、まだ申込みされていない方はご注意ください。
情報処理安全確保支援士試験の概要や出題形式は「支援士試験について(概要、出題形式)」で確認できます。「試験要綱Ver4.1」では試験についてより詳細な情報が得られるので、試験前に必ず一読しておきましょう。
情報処理安全確保支援士試験は2017年4月から開始された試験で、他の高度試験とは位置づけが異なります。ただし、試験範囲や出題形式は、今のところ2016年までの「情報セキュリティスペシャリスト試験」とほとんど違いはありません。
試験時間、出題形式、出題数・解答数は表1の通りです。
表1:試験時間と出題形式、出題数・解答数
| 試験区分 | 午前Ⅰ | 午前Ⅱ | 午後Ⅰ | 午後Ⅱ |
|---|---|---|---|---|
| 試験時間 | 9:30~10:20 (50分) |
10:50~11:30 (40分) |
12:30~14:00 (90分) |
14:30~16:30 (120分) |
| 出題形式 | 多肢選択式 (四肢択一) |
多肢選択式 (四肢択一) |
記述式 | 記述式 |
| 出題数 解答数 |
出題数:30問 解答数:30問 |
出題数:25問 解答数:25問 |
出題数:3問 解答数:2問 |
出題数:2問 解答数:1問 |
試験に合格するには、全ての試験区分で合格ライン(100点満点中60点)を満たす必要があります。前回試験(平成31年度春期)の得点分布(情報処理安全確保支援士試験 得点分布)を見ると、60点まであと一歩という方が非常に多いことがわかります。特に午後は記述問題も含まれるため、確実に点数を積み重ねる必要があります。
続いて、各試験区分について詳細に見ていきましょう。
午前問題(午前Ⅰ/Ⅱ)
午前Ⅰ問題は高度試験で共通のため、本連載では割愛します。
午前Ⅱ問題はすべて四肢択一で25問出題されます。ここ数年における午前Ⅱ問題の出題範囲と出題比率を表2に示します。
表2:午前Ⅱ問題の出題範囲と主題比率
| 設問 | 出題分野 | 1試験における問題数 |
|---|---|---|
| 問1~問17 | セキュリティ | 約17問 |
| 問18~問20 | ネットワーク | 約3問 |
| 問21 | データベース | 1問 |
| 問22 | システム開発技術 | 1問 |
| 問23 | ソフトウェア開発 | 1問 |
| 問24 | サービスマネジメント | 1問 |
| 問25 | システム監査 | 1問 |
※分類は筆者による。考え方によって分類が異なる場合もある
※セキュリティ、ネットワーク分野は問題数が変化する年も見られる
表2から読み取れるように、セキュリティに関する問題が大半を占めます。セキュリティとネットワークに関しては技術レベル4相当であり、それ以外の分野は技術レベル3相当(午前Ⅰと同等)です。具体的にどのような知識が必要かは「試験要綱Ver4.1」より確認できます(表3)。出題範囲をしっかりと確認し、知らないキーワードや曖昧なキーワードは重点的に学習し、理解を深めておきましょう。
表3:情報処理安全確保支援士試験の午前問題の出題範囲(「試験要綱Ver4.1」)より引用
| 分類 | 知識項目例 |
|---|---|
| 情報セキュリティ | 情報の機密性・完全性・可用性,脅威,マルウェア・不正プログラム,脆弱性,不正のメカニズム,攻撃者の種類・動機,サイバー攻撃(SQL インジェクション,クロスサイトスクリプティング,DoS攻撃,フィッシング,パスワードリスト攻撃,標的型攻撃ほか),暗号技術(共通鍵,公開鍵,秘密鍵,RSA,AES,ハイブリッド暗号,ハッシュ関数ほか),認証技術(ディジタル署名,メッセージ認証,タイムスタンプほか),利用者認証(利用者ID・パスワード,多要素認証,アイデンティティ連携(OpenID,SAML)ほか),生体認証技術,公開鍵基盤(PKI,認証局,ディジタル証明書ほか),政府認証基盤(GPKI,ブリッジ認証局ほか)など |
| 情報セキュリティ管理 | 情報資産とリスクの概要,情報資産の調査・分類,リスクの種類,情報セキュリティリスクアセスメント及びリスク対応,情報セキュリティ継続,情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程),ISMS,管理策(情報セキュリティインシデント管理,法的及び契約上の要求事項の順守ほか),情報セキュリティ組織・機関(CSIRT,SOC(Security Operation Center),ホワイトハッカーほか) など |
| セキュリティ技術評価 | ISO/IEC 15408(コモンクライテリア),JISEC(IT セキュリティ評価及び認証制度),JCMVP(暗号モ ジュール試験及び認証制度),PCI DSS,CVSS,脆弱性検査,ペネトレーションテスト など |
| 情報セキュリティ対策 | 情報セキュリティ啓発(教育,訓練ほか),組織における内部不正防止ガイドライン,マルウェア・不正プログラム対策,不正アクセス対策,情報漏えい対策,アカウント管理,ログ管理,脆弱性管理,入退室管理,アクセス制御,侵入検知/侵入防止,検疫ネットワーク,多層防御,無線 LAN セキュリティ(WPA2 ほか),携帯端末(携帯電話,スマートフォン,タブレット端末ほか)のセキュリティ,セキュリティ製品・サービス(ファイアウォール,WAF,DLP,SIEM ほか),ディジタルフォレンジックス など |
| セキュリティ実装技術 | セキュアプロトコル(IPSec,SSL/TLS,SSH ほか ), 認 証プロトコル(SPF , DKIM ,SMTP-AUTH,OAuth,DNSSEC ほか),セキュアOS,ネットワークセキュリティ,データベースセキュリティ,アプリケーションセキュリティ,セキュアプログラミング など |
また、ネットワークの知識も要求されます。実際の現場でも、午後問題を解く上でも重要な知識のため、TCP/IPなど基本的なネットワークの知識についてもしっかりと学習しておくと良いでしょう。
試験対策として、セキュリティの基本的な知識や考え方を身に付けることは非常に大事ですが、過去問にしっかりと取り組むことも重要です。特に午前問題は過去に出題された問題と全く同じ問題や、似たような問題が出題されることも多いからです。
なお、過去問題はIPAの「過去問題」よりPDFファイルで公開されています。複数回分の過去問題にチャレンジすれば、見たことがない出題タイプや用語はほぼなくなると思いますので、少なくとも過去6回分ほどは挑戦することをお勧めします。計画的に時間を確保して、公開されている過去問題を1つでも多く解けるように取り組んでみましょう。
午前Ⅱ問題の過去問を確認
ここで、実際に出題された午前Ⅱ問題を見てみましょう。「平成31年度春期試験 午前Ⅱ 問3」です。
問3 標準化団体OASISが,Webサイトなどを運営するオンラインビジネスパートナ間で認証,属性及び認可の情報を安全に交換するために策定したものはどれか。
ア SAML イ SOAP ウ XKMS エ XML Signature
正解は(ア)です。SAML(Security Assertion Markup Language)は、シングルサインオンを実現するために標準化団体OASISによって策定された、認証、認可などの情報を安全に交換するためのフレームワークです。SAMLを用いることで、複数のドメイン間でもシングルサインオンの仕組みを活用した認証連携を実現できます。
近年は、この問題とほぼ同じ問題が「平成29年度春期試験 問3」や「平成28年度春期試験 問4」で出題されており、頻出のテーマと言えます。
午後問題(午後Ⅰ/Ⅱ)
午後問題は多くのセキュリティ技術に関する総合問題です。問題を解くことで実際の現場でも用いられる様々なセキュリティ対策や技術を学習できるので、午前問題と同様に「過去問題」で多くの知識や考え方を習得しておきましょう。関連技術や用語も調べておくと知識の強化につながり、合格に近づけるでしょう。
午後問題の主題範囲は午後Ⅰ/Ⅱ共通で、「試験要綱Ver4.1」より確認できます(表4)。
表4:情報処理安全確保支援士試験の午後問題の出題範囲(「試験要綱Ver4.1」)より引用
| 1 | 情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること | 情報システムの企画・要件定義・開発,物理的セキュリティ対策,アプリケーション(Webアプリケーションを含む)のセキュリティ対策,セキュアプログラミング,データベースセキュリティ対策,ネットワークセキュリティ対策,システムセキュリティ対策 など |
|---|---|---|
| 2 | 情報セキュリティの運用に関すること | 情報セキュリティポリシ,リスク分析,業務継続計画,情報セキュリティ運用・管理,脆弱性分析,誤使用分析,不正アクセス対策,インシデント対応,ユーザセキュリティ管理,障害復旧計画,情報セキュリティ教育,システム監査(のセキュリティ側面),内部統制 など |
| 3 | 情報セキュリティ技術に関すること | アクセス管理技術,暗号技術,認証技術,マルウェア(コンピュータウイルス,ボット,スパイウェアなど)対策技術,攻撃手法(ソーシャルエンジニアリング,サイバー攻撃など), セキュリティ応用システム(署名認証,侵入検知システム,ファイアウォール,セキュアな通信技術(VPN ほか),鍵管理技術,PKI など。また,周辺機器も対象とする),監査証跡のためのログ管理技術 など |
| 4 | 開発の管理に関すること | 開発ライフサイクル管理,システム文書構成管理,ソフトウェアの配布と操作,人的管理手法(チーム内の不正を起こさせないような仕組み),開発環境の情報セキュリティ管理,脆弱性情報収集管理 など |
| 5 | 情報セキュリティ関連の法的要求事項などに関すること | 情報セキュリティ関連法規,国内・国際標準,ガイドライン,著作権法,個人情報保護,情報倫理 など |
午後Ⅰ問題は90分間で3問中2問を選択し、午後Ⅱ問題は120分間で2問中1問を選択して解答する必要があります。各問題は文章量も多く、問題の選択や時間の配分にも注意が必要なため、過去問を通じて感覚を身に付けておくと良いでしょう。
午後Ⅰ問題の過去問を確認
先ほどは午前問題の例としてSAMLに関する問題を取り上げました。SAMLについては午後問題でも出題されています(「平成29年度春期午後Ⅰ 問3」など)。
本問題はSAMLを用いた認証連携に関する問題です。SAMLは午前問題でも頻出の重要なキーワードですが、午後問題では単なる知識だけでなく、その活用法まで問われることがあるので、「何のための技術か」「どのような技術か」を明確に把握しておくことが要求されます。
また、本問題ではSAMLに詳しくなくても文章から読み解けるようになっていますが、SAMLの知見を持っておくことで、解答する際に圧倒的に有利になります。
SAMLに限らず、午後問題では様々な技術が出題されますが、突拍子もないテーマが出ることはなく、必要とされる技術や考え方が問われます。「過去問題」からは採点講評も確認できるので、過去問題を解いた後は、その問題で何が問われているのか、何を知っておくべきかを意識して振り返っておくと、試験本番でもその考え方を活用できるでしょう。
学習の手引き
最後に参考として、情報処理安全確保支援士試験の合格に向けて学習の助けとなる公開資料を紹介します。ぜひ、必要に応じて各資料を活用してください。
ガイドライン/フレームワーク
各ガイドラインの内容が一部抜粋されて出題されることもあります。一読しておくことをお勧めします。
- セキュリティ関連NIST文書
- NIST Cybersecurity Framework Version 1.1
(和訳:重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版) - PCI DSS
- ISO27000シリーズ(JIS27000)
例:JIS27001、JIS27017 - サイバーセキュリティ経営ガイドライン
- 中小企業の情報セキュリティ対策ガイドライン
IPA関連
IPAの資料や組織活動を基にした出題も多く見られます。
セキュリティの基本
基本事項からセキュリティのポイントを確認できる資料です。
要素技術
各要素技術で不安な点があれば確認してみてください。
| 暗号技術・PKI | PKI | PKI関連技術情報 |
| SSL/TLS | SSL/TLS暗号設定ガイドライン | |
| 認証 | SAML | アイデンティティ管理技術解説 |
| OAuth 2.0 | セキュリティトークンとOAuth 2.0 | |
| DNS | DNS概説 | DNSの概説と用語 |
| DNSへの攻撃 | DNSリフレクション攻撃/DNS増幅攻撃/DNS水責め攻撃とは | |
| SPF | なりすましメール撲滅に向けたSPF(Sender Policy Framework)導入の手引き | |
| DKIM | DKIM (Domainkeys Identified Mail) | |
| Web | システム/アプリ | 安全なウェブサイトの作り方 |
| アプリケーション | OWASP Top 10 2017 | |
| WAF | Web Application Firewall 読本 | |
| プログラミング | IPA セキュア・プログラミング講座 | |
| マルウェア | マルウェアとは | |
| 無線LAN | 企業等が安心して無線LANを導入・運用するために | |
| IoT | IoT開発におけるセキュリティ設計の手引き | |
| インシデント レスポンス |
CSIRTガイド | CSIRTガイド |
| インシデント ハンドリングマニュアル |
インシデントハンドリングマニュアル | |
| 標的型攻撃対策 | サイバー攻撃(標的型攻撃)対策 防御モデルの解説 | |
| 『高度標的型攻撃』対策に向けたシステム設計ガイド |
要素技術まとめ
過去の連載記事では、以下の内容をまとめています。出題されやすいポイントをピンポイントで学習したい方はぜひ参照してください。
おわりに
令和元年度秋期試験の本番、2019年10月20日(日)まで残り3か月弱です。過去問題を解くだけでもかなりの時間を要するので、計画的に対策を進めていきましょう。
次回からは平成31年度春期試験について、解説とともに試験対策のポイントを紹介します。
