情報処理安全確保支援士試験の概要

はじめに

本連載では、7回にわたって「情報処理安全確保支援士試験」の対策講座を行います。今回は「情報処理安全確保支援士試験」の概要と試験合格に向けた学習のポイントを紹介します。

情報処理安全確保支援士とは

まず、情報処理安全確保支援士とはどのような資格かを確認しましょう(【参考】国家資格「情報処理安全確保支援士(登録セキスペ)」とは)。情報処理安全確保支援士は日本国内初のサイバーセキュリティ分野での国家資格であり、サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成を目指す資格として誕生しました。

資格の需要

本資格の需要を語るにあたり、昨今のセキュリティ人材確保の需要の高まり、特に高度なセキュリティ知識を有するセキュリティ統括人材の需要の増加が背景として挙げられます。

昨今のIT業界は情報社会の発展やサイバー攻撃の増加・高度化により、サイバー攻撃による社会的脅威が急速に増加していることは言うまでもありません。

JPCERT/CCの発表によると、2021年上半期に寄せられたインシデント報告件数は19,903件となっており、3年前の2018年同時期と比較しておよそ2.6倍にも増加しています(【参考】JPCERT/CC インシデント報告対応レポート)。

これに伴い、セキュリティ人材確保の需要も急速な高まりを見せており、情報通信研究機構(NICT)の試算では2020年時点でのセキュリティ人材不足が約19.3万人(【参考】セキュリティ人材育成の最前線～ NICT におけるセキュリティ人材育成事業 ～)、日本情報システム・ユーザー協会(JUAS)からの発表では、今後、企業によるセキュリティ関連費用への投資額は増加を見込んでいるとの試算結果と同時に、セキュリティ人材不足の状況も悪化傾向にあることが示されています(【参考】企業IT動向調査報告書 2021)。

さらに、情報処理推進機構(IPA)が公開する「サイバーセキュリティ体制構築・人材確保の手引き」によると、セキュリティ人材の中でもセキュリティ統括機能に配置され、経営層や実務者・技術者層とのコミュニケーション、関係部門等との調整の中核を担う人材の確保が重要視されており、これには情報処理安全確保支援士相当のスキルを持つ人材を配置することが適切と明記されています。

このような背景から、今後もIT業界でのセキュリティ人材は求められる存在になり続けると考えられます。本資格の取得によリ高度な専門スキルを身に着けることは将来的にも大きいメリットになり得るでしょう。

業務と役割

情報処理安全確保支援士を取得することで主導できる業務を示します。前項で紹介した「サイバーセキュリティ体制構築・人材確保の手引き」でも参照されている「ITSS+(プラス)」を用いて説明します。

ITSS+は、第4次産業革命に向けて求められる新たな領域の“学びなおし”の指針として策定されました。また、従来のITスキル標準(ITSS)が対象とする情報サービスの提供やユーザ企業の情報システム部門の従事者のスキル強化を図る取組みへの活用が想定されています。

ITSS+では、新たに「データサイエンス領域」「アジャイル領域」「IoTソリューション領域」「セキュリティ領域」について策定されています。ここでは、「セキュリティ領域」のみに注目します。セキュリティ領域における17分野とタスク例、担当部門は図1の通りです。これを活用することで、セキュリティ対策の実務を担う部門に対応する業務を抽出できます。

図1：分野

また、ITSS+内の資料には各分野と必要なセキュリティ関連知識・スキルの対応表も定義されており(図2)、図1と組み合わせて使うことで情報処理安全確保支援士を取得後自身のキャリアパスを検討できます(※図2の「◎」は主導できるレベル(情報処理安全確保支援士試験レベル)、「〇」はコミュニケーションが取れるレベルを想定しています)。

図2：知識対応表

情報処理安全確保支援士を取得することで、幅広い分野での業務で主導できる立場を証明できます。

資格の活用

情報処理安全確保支援士試験に合格し、登録作業を済ませると、晴れて情報処理安全確保支援士(登録セキスペ)となります。登録セキスペは国家資格であり、他の高度試験合格にはないメリットが得られます。また、業務においても他社との差別化をはかり優位に立つことができます。

信頼できる人材としての証明

登録セキスペには、「情報処理の促進に関する法律」に基づいた3つの義務があります。

信用失墜行為の禁止
「情報処理の促進に関する法律」第二十四条に、「情報処理安全確保支援士は、情報処理安全確保支援士の信用を傷つけるような行為をしてはならない。」と記載されています。

秘密保持
「情報処理の促進に関する法律」第二十五条に、「情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなった後においても、同様とする。」と記載されています。

講習受講
「情報処理の促進に関する法律」第二十六条に、「情報処理安全確保支援士は、経済産業省令で定めるところにより、機構の行うサイバーセキュリティに関する講習を受けなければならない。」と記載されています。

これら3つの義務に違反をすると、登録の取り消しや罰金などが課されます。

また、従うべき規範として「情報処理安全確保支援士 倫理綱領」が定められています。これは登録セキスペが情報セキュリティの専門家として公正・誠実に行動することを求めるものです。

これらの仕組みは、登録セキスペが「信頼できる人材」であることを証明するためのものです一見とても厳しいものに見えますが、正しい倫理観を持ち誠実に対応していれば問題はありません。この仕組みを活用し、特に、官公庁、自治体などのシステム開発の入札案件では、登録セキスペの資格を保有している者が携わることが条件になっていることも少なくありません。

登録セキスペのロゴは登録番号とともに名刺に入れることが可能です。さらに、氏名や連絡先、勤務先などは「登録セキスペ検索サービス」に登録されるため(図3)、会社としては対外的に登録セキスペの登録者数などをアピールすることもできます(公開情報は自身で選択することが可能です)。

図3：登録セキスペ検索(※一部画像を加工)

知識をすぐに業務へ活用できる

情報処理安全確保支援士試験の特に午後問題では、実業務で起こりえるようなことが複合的に出題される傾向にあります。例えば、平成31年度 春期 午後Ⅱ問題 問1では、無線LANを侵入経路としたマルウェアへの感染を題材として、マルウェアの調査と対策について出題されています(図4)。

ある会社のLAN構成にインシデントが発生したという想定で、一連のインシデントハンドリングの流れ、証拠保全の方法や暫定対策・恒久対策、その中で無線LANや暗号化通信の仕組みや欠点(脆弱性や制約事項)などが問われる問題となっていました。

図4：平成31年 春季 午後Ⅱ問題 問1

無線LANは今や当たり前に社内で利用されていますが、その設定や運用次第でセキュリティが低下してしまうことを正しく理解しておく必要があります。また、マルウェア感染も実際に起こりえるインシデントの1つなので、起こったときにどう対処すべきかを押さえておく必要があります。

現場でどのようなインシデントが起こりえるのか(インシデントにならなくてもどのようなヒヤリ・ハットがあるのか)を知っておくこと、その要因や対処法を学ぶことで、万一セキュリティ事故やサイバー攻撃にあった場合でも、対処するための当たりをつけることができます。当たりがつけられれば、根本原因が特定できなくなってしまったり、余計に事態を悪化させたりすることを防ぐことにもつながるでしょう。また、システムの設計段階から脅威が発生する可能性を認識し、セキュリティ対策をしておくことでインシデントが起こりにくくすることもできます。

セキュリティの最前線にいる立場から見ても、情報処理安全確保支援試験はセキュリティの初歩から応用まで幅広いセキュリティの知識を体系的に学べる試験だと感じます。参考書は様々出ていますが、教科書的に記載されているものを1冊持っておくと、その後の業務においても辞書代わりになるなど役立つことがあるでしょう。

セキュリティ専門家としての副業などもできる

IPAでは、公式に中小企業の情報セキュリティマネジメント指導業務の要員を募集しています。登録セキスペを保有する人のみが応募できるもので、全国の中小企業にセキュリティ対策の指導やセキュリティポリシー策定支援などを実施する事業です(2021年9月現在は募集停止中) 。また、検索サービスに連絡先や得意領域等を記載しておくこともできるので、目に留まれば個人的にオファーがあるかもしれません。

情報処理安全確保支援士試験の概要

情報処理安全確保支援士試験には、午前問題(午前I/午前Ⅱ)と午後問題(午後Ⅰ/午後Ⅱ)があります。すべての試験で合格ライン(各区分100点満点中60点以上)を満たす必要があります。試験時間・出題数/回答数は、図5のようになっています。

図5：試験時間・出題数/回答数

以降では、午前問題と午後問題それぞれの特徴を見ていきましょう。

午前問題(午前Ⅰ/午前Ⅱ)

午前Ⅰ問題はすべての高度試験で共通のため本連載では詳細は割愛しますが、情報処理の基礎的な知識(例えば、アルゴリズムとプログラミング、コンピュータ構成要素など)から、プロジェクトマネジメント、経営戦略など幅広い分野から出題されるため、午前Ⅰから受験される方は十分復習しておくことをお勧めします。

また、午前Ⅰ試験は免除される場合があるので、詳細はこちらを参照ください。

午前Ⅱ問題は、すべて四肢択一で25問出題されます。技術要素としては、セキュリティとネットワークが最も重視される分野(技術レベル４相当)となっています。それに次いで、データベース、システム開発術、ソフトウェア開発管理技術、サービスマネジメント、システム監査が重点分野(技術レベル３相当)です。

近年の出題傾向を調べると、25問中、セキュリティ・ネットワークに関する問題が8割程度を占めていました。また、目立って新しい知識の問題は出題されていないため、基本的なセキュリティ・ネットワークに関する基本的な用語とその意味などを押さえておくことで確実に点が取れると考えられます。過去問をベースにしっかりと学習しましょう。

なお、午前Ⅱ問題の出題分野・範囲の詳細は「情報処理安全確保支援士試験(レベル4) シラバス 追補版(午前Ⅱ)Ver.3.1」を参照ください(図6)。シラバスには、小分類ごとに学習目標とその具体的な内容が示されており、用語例として習得すべき用語やキーワードも記載されています。これらの用語を理解し説明できるようになることが合格への近道です。

図6：シラバス追補版の一部

午後問題(午後Ⅰ/午後Ⅱ)

午後問題は記述式で、午後Ⅰは3問中2問を選択、午後Ⅱは2問中1問を選択して解答します。文章量が多く、時間配分などもしっかりと調整していく必要があります。問題の内容は、セキュリティ技術や知識が複合的に出題されます。知識のみを問う問題だけでなく、なぜその技術を使うのか、どんな効果が得られるのかなども問われる問題も多いです。特にここ数年はクラウド、IoT、テレワーク、標的型攻撃など比較的モダンな問題が出題されています。これらは過去問だけでは補えない部分なので、日ごろから最新の技術動向や世の中で起きているセキュリティインシデントなどの情報に目を通しておくことをお勧めします。

午後問題の出題分野・範囲は「試験要綱 Ver4.6」から確認できます。

おわりに

今回は、情報処理安全確保支援士試験の概要として、資格の内容とその活用方法、および出題傾向を紹介しました。本連載では、以下のテーマに関連する問題について、次回から6回にわたって解説していきます。筆者はセキュリティに関する業務に従事している現役の技術者であり、現場目線での解説を取り入れていく予定です。

• 脆弱性診断
• 標的型攻撃
• 工場セキュリティ
• クラウドサービスのセキュリティ
• IoTセキュリティ
• テレワーク/スマートフォンのセキュリティ

なお、テーマは現時点での予定であり、変更する可能性もありますのでご了承ください。