連載
» 2016年01月18日 05時00分 UPDATE

短期集中! 情報セキュリティマネジメント試験攻略法(1):情報セキュリティマネジメント試験の概要――本番前にポイントを総ざらいしよう (1/2)

2016年4月からいよいよ始まる「情報セキュリティマネジメント試験」。第1回に向けて、重要なポイントを短期集中で総ざらいしておきましょう! 「セキュリティスペシャリスト試験」や「ネットワークスペシャリスト試験」の対策本を執筆する左門至峰氏が解説します。

[左門至峰,@IT]
「短期集中! 情報セキュリティマネジメント試験攻略法」のインデックス

連載目次

 皆さんこんにちは。現役SE兼ITライターの左門至峰(さもんしほう)です。この連載では、2016年4月から始まる新試験「情報セキュリティマネジメント試験」について詳しく解説します。この試験は、経済産業省が行う情報処理技術者試験の一つで、国家資格であることから、合格すれば社会から高い評価を得ることができるでしょう。

 第1回となる今回は、試験の概要、出題形式、出題範囲、対象者、難易度、他の試験(例えば情報セキュリティスペシャリスト試験)との違いなどについて紹介します。

お客さま情報が入ったカバンを忘れたらどうしますか?

 試験の解説に入る前に、皆さんに質問です。飲み屋で酔いつぶれ、お客さま情報が入ったカバンを忘れてしまいました。お店に電話しても「ない」と言われました。さて、あなたならどうしますか?

 この質問について、筆者が独自にアンケートを実施したところ、以下のような結果になりました。なお、漏えいした情報の件数によって回答が変わる可能性があるため、アンケートでは1件としました。

Q.お客さま情報(1件)の書類を紛失した場合、どうしますか?

 お客さま情報を漏えいしたら、会社に報告する必要があります。でも、報告すると大きな問題になりますから、黙っておいた方が得だという考え方もあります。さて、あなたならどうしますか?

  1. 会社に報告する 84件 (80.8%)
  2. 黙っておく 10件 (9.6%)
  3. 分からない(状況による) 10件 (9.6%)

 お客さま情報の漏えいということですから、当然、会社に報告すべきです。そしてお客さまにもきちんと説明をし、おわびをする必要があります。このアンケート結果を見ても、約8割の人が「会社に報告する」を選択しています。

 一方で、「黙っておく」「分からない」という人も、少なからずいます。私は、そんな人たちが一概に悪い人だとは思いません。というのも、情報漏えい事故を起こして、素知らぬ顔で黙っている人は、結構いるからです。黙っている人が得をし、正直に報告した人が損をしている面も、少なからずあります。正直に報告すれば、会社やお客さまから怒られるでしょうし、紛失した状況、漏えいした情報の詳細などを説明する必要があるため、多くの資料作成も求められます(恐らく、何度も書き直しをさせられることになるでしょう)。加えて、懲戒処分を受ける可能性もあります。そのため、「黙っておくのが最善策だ」と考える人もいるのです。

 しかし、私は黙っておくことを肯定しているわけではありません。怒られようと処分を受けようと、「報告する」が正解です。なぜなら、万が一黙っていたという事実が発覚すれば、「隠蔽(いんぺい)」ということで、さらに大ごとになるからです。もしかすると、会社に居られなくなってしまうかもしれません。

大事なのは事前の「セマネ」

 では、どうしたらいいのでしょう? 大事なのは「セマネ(=情報セキュリティマネジメント)」です。情報セキュリティ対策というのは、セキュリティを管理(=マネジメント)することといえます。マネジメントを発揮する一つの場は、事故が起こったときにどうするか、つまりインシデント発生後の対応です。しかしそれよりも、セキュリティ事故が発生しないようにする事前のマネジメントが大事なのです。

 今回のカバンのようなケースでは、どうすれば良かったのでしょうか。大事なのは、事前のマネジメントです。つまり、そもそもお客さま情報を持って飲みに行かないことです。事務所に戻って、書類を置いてから飲みに行けばいいのです。また、やむを得ずに書類を持ったまま飲むのであれば、飲む量を適量にするとか、同僚に「カバンを忘れたら教えて」と伝えておくことも効果があります。きちんとマネジメントをしておけば、被害は最小限にコントロールできます。

情報セキュリティマネジメント試験とは

 さて、そんな情報セキュリティのマネジメントに関する試験、「情報セキュリティマネジメント試験」が、2016年4月にスタートします。この試験の学習を通じて、情報セキュリティマネジメントを体系的に理解し、飲み屋で情報漏えいをしないための方法を学びましょう。そうすることで、情報漏えいによって誰かに迷惑を掛けることを防げるだけでなく、自分の身を守ることができます。

 筆者は、2015年12月に、この試験に関する対策本を執筆しました(記事末尾プロフィール参照)。本連載では、この本の中から、特に皆さんにお伝えしたいポイントを中心に紹介します。

(1)情報セキュリティマネジメント試験ってどんな試験?

 IPAの資料には以下の記載があります。

情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。

 この試験の対象者は、「情報処理技術者」ではなく「ITを利用する人」です。SEなどのIT技術者だけでなく、幅広い人が受験できるように考慮された内容になることが想定されます。

 さて、この試験の概要について説明します。試験は、春期(4月第3日曜日)、秋期(10月第3日曜日)の年2回実施されます。2016年春の場合は、2016年4月17日(日)実施です。申し込みはちょうどこの記事の公開日である1月18日から、IPAのサイト上で行えるようになります。なお、郵送での申し込みも可能です。受験料は、5700円です(「情報処理の促進に関する法律施行令の一部を改正する政令」により、従来の5100円から値上げ)。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。