2023年7月4日 AMRailsRubysecurityWebブラウザエンジニアマネジメント業務改善脆弱性診断

IPAのセキュリティマネジメント試験を受けてきました!

こんにちは、GMOアドマーケティングのryoutakoです。
普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。

タイトルにある通り情報セキュリティマネジメント試験を受けたのでその話です。
(無事合格できました🎉)

情報セキュリティマネジメント試験とは

情報セキュリティマネジメント試験は情報処理推進機構(通称: IPA)が主催している国家資格です。

以下IPAのホームページより引用
情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。

参考:IPA独立行法人 情報処理推進機構 情報セキュリティマネジメント試験情報

簡単に内容を説明すると
  • 情報セキュリティの基礎とマネジメントに関わる知識
  • ネットワークやアプリケーションのセキュリティ技術
  • 個人情報保護法などの法律・規制・コンプライアンスに関わる知識
のような内容を問われる試験になります。

受けてみようと思った理由

 先述の通り私は脆弱性診断などのセキュリティ関連の業務も行っていますが、最近セキュリティに対する興味が増しており、知識と技術を身につけたいと考えていました。しかし、セキュリティはジャンルが多岐に渡るため自分がどの分野に進みたいのか、何をしたいのかをまだ明確にできていませんでした。

そこで、情報セキュリティマネジメント試験を受験することでセキュリティ分野の全体像を把握し、その中から自分の進むべき方向、興味や適性に合った分野を明確にできればと思い受験しました。

試験概要

  • 試験時間: 120分
  • 問題数: 60問
  • 試験料: 7500円
  • 合格点: 600/1000
 2023年の4月より試験の方式が変わり、知識を問われる試験(旧 科目A)と技能を問われる試験(旧 科目B)が合体しました。

出題範囲

  • テクノロジ系 (6割)
    • ネットワーク、データベース、システム構成要素
  • マネジメント系 (2割)
    • システム監査、サービスマネジメント、プロジェクトマネジメント
  • ストラテジ系 (2割)
    • 経営管理、システム戦略、システム計画 
参考:IPA独立行法人 情報処理推進機構 情報セキュリティマネジメント試験 出題内容

勉強方法

個人的におこなった勉強は以下になります。 基本的には過去問を往復して分からないところを潰していく、という作業を繰り返します。
学習にかかった時間は毎日1時間 x 2ヶ月くらいなので約60時間になります。(※個人差があります。)

重要なポイント

※ 注意:ここで記載する内容は自分が受けた試験の内容をもとにしたものではなく、あくまで参考書での学習と過去問5年分を解いてみて個人的に重要だと感じた対策のまとめです。

・わからない単語をなくす

 情報セキュリティマネジメント試験に限ったことではないですが、今まで知らなかった用語がたくさん出てきます。そしてわからない単語が問題文に出てきたらその問題は高確率で詰みます。ですので参考書や過去問を活用してわからない単語をなくしておくことが重要です。

・法律関係の知識

 過去問の傾向から法律に関する知識は他の題目よりも比較的多く問われる(傾向にある)ので特に頭に入れておきましょう。問題の形式としては「刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。」「マルウェアを侵入させてコンピュータのデータを消去した場合、処罰の対象となる法律はどれか。」などです。また、請負契約や派遣契約などの仕組みを問われる問題も高頻度で問われる印象です。
(太字の問題は情報セキュリティマネジメント試験ドットコム 過去問道場から参照)

法律の知識は一見難しそうですが、出題数的にコスパが良いので頑張って理解しましょう!

・マルウェアや脆弱性に関する知識

 バックドア、ランサムウェア、SQLインジェクション、クロスサイトスクリプティングなどの知識は広く浅く出題される印象です。もし全て理解するのが大変な時は「攻撃を行う動機」「標的となるもの」「対策」をセットで頭に入れておくと整理しやすいです。

例えばランサムウェアの場合は以下のような具合です。
  • 攻撃を行う動機 → 金銭や情報の獲得、破壊行為
  • 標的となるもの → 企業・組織・個人のコンピューター、データ
  • 対策 → 定期的なバックアップ、強力なセキュリティソフト、教育と意識の向上
 基本的にこの3つを理解しておけば最低限問題ないかと思います。もちろんより深く理解しておくことに越したことはないので、余裕があれば取り組みましょう!

・長文問題

 公式が公開しているサンプル問題にもありますが後半は細かい状況が記された長文の問題が出題されます。過去問道場だけやっているとなかなか慣れない部分なので、サンプル問題や過去の科目Bを確認してちゃんと心構えしておくのが良いでしょう。(初見の時はいきなり文字数が多くなってびっくりしました)
参考:基本情報技術者試験、情報セキュリティマネジメント試験の通年試験に関するお知らせ(サンプル問題セット、リテイクポリシーの公開)

 内容としては、セキュリティ対策を行う場合やインシデント発生時の対処法などを問われるため、普段の学習からこのことも頭に入れて学習しましょう。解く際のポイントとしては「何をしたいのか」「誰の立場で行うのか」を明確にすることが大事です。これによりそのヒントとなる情報が書いてある箇所を見つけやすくなるのでオススメです。

楽しかったところ

以下の内容はそんな風になってるんだ〜と言う発見があって、勉強していて楽しかったです!
  • 名前だけ知っているマルウェアや脆弱性の概要
  • 暗号化に関する技術やそれを利用した仕組み
  • セキュリティを保つと言う視点から必要なWiFiやルーターの設定
  • マルウェアの解析方法

苦労したところ

勉強していて苦労した点は以下です。。。
  • わからない単語が多すぎて理解するのが大変
  • セキュリティ関係の組織の役割(CSIRTなど)
  • 長文問題の対策。実践形式のためシチュエーションが多岐に渡り慣れるのが大変。
  • もう見たくないワード → JIS Q 27001

感想

 情報セキュリティマネジメント試験についてはちゃんと勉強ができていれば十分合格可能な範囲だと感じました。覚えるのが大変なところもありましたが、それ以上に今まで詳しくわからなかった技術に関して理解を深めることができたので受験してよかったです。また、セキュリティリスクへの対応方法に関する知識は自分の業務にも活用できるかと思うので、積極的に取り入れていきたいと思っています!

 自分の興味としては暗号化、マルウェア、画面周りのセキュリティに向いていることがわかったので、これをもとに今後の方向性も決めていきたいと思います。

ここまで読んでいただきありがとうございました!

おすすめ

  1. Railsのタグ機能でN+1問題解消

    2024年1月18日

  2. Professional Scrum Master ⅠとⅡに合格しました

    2024年1月10日

  3. background-imageを活用して、アップする画像を1個で済ませたい

    2023年12月28日