「情報セキュリティマネジメント試験」を受けるメリットはあるの？：短期集中！ 情報セキュリティマネジメント試験攻略法（4）

連載目次

　皆さんこんにちは。現役のSE兼ITライターの左門至峰（さもんしほう）です。この連載では、2016年4月から始まる新試験「情報セキュリティマネジメント試験」について解説しています。

　さて、本稿の公開が2016年3月2日ですから、試験までいよいよ2カ月を切ったことになります。前回の記事では、「参考書（薄いもの）を使って基礎知識を習得する」「基本情報技術者試験やITパスポートの過去問、サンプル問題を学習する」「ためしにITパスポート試験にチャレンジする」といった具体的な学習法や試験対策を解説しました。

　4回目となる今回は、直前対策として、本試験の受験のメリットや合格に向けた勉強のコツなどを紹介します。

そもそも合格して、どんないいことがあるの？

　レベル2の試験とはいえ、サンプル問題などを見る限り、情報セキュリティマネジメント試験は決して簡単な試験ではありません。全く勉強せずに合格できるほど甘いものにはならないでしょう。従って、多少なりとも勉強に時間を割く必要があります。

　では、仕事や学業などが忙しい中、貴重な時間を割いてまでこの試験の勉強をするメリットはあるのでしょうか？ つまり、「合格して何か“良いこと”はあるのでしょうか」。受験するかどうか判断する上では、ぜひこの点について知っておきたいですよね。

　先に結論を言ってしまうと、「合格して良いことは、小さなことばかり」です。しかし、情報セキュリティの知識を得るための入り口としては、本試験は有用だと筆者は考えています。具体的なメリットを挙げると、例えば以下のようなものがあります。

1．スキルアップ

　この試験に向けて勉強をすれば、情報セキュリティに関する知識は確実に向上します。資格試験というのは作問者が知識を整理した上で作ってくれるものですから、本試験の勉強を通じて、情報セキュリティに関する体系的な知識を効率良く手に入れることができます。また、午後試験は実際の事例を基にしたものです。机上の知識だけではなく、実際の情報セキュリティマネジメントに役立つ力も付くでしょう。

2．周りの評価

　この試験はれっきとした国家試験であり、大臣の名で合格証が届きます。人事上優遇されることまではないかもしれませんが、社内やお客さまから、情報セキュリティに関して基本的なことは分かっている人という評価を得ることができるでしょう。

3．心の満足

　たかが資格試験と思う人もいるかもしれませんが、社会に出ると誰かに褒められることはあまり（というかほとんど）ありませんから、たまに「合格証」によって人に認められる気分を味わうのは、実はとても大事なことなのではないかと筆者は考えています。また、本試験で情報セキュリティに関して興味を持つことができれば、さらに知識を深めていくためのモチベーションにもなります。

勉強のコツは「覚える」のではなく「理解する」こと

　この試験は、「情報セキュリティのキーワードを知っているかどうか」を問うようなものではありません。ですから学習の際は、単純な諳記ではなく、「何のためにこの対策が必要なのか」「組織のセキュリティはそもそもどうあるべきなのか」といった本質を理解するよう心掛けましょう。特に午後試験は午前試験と違って「問題文に記載された状況において、どういう管理策を実行すべきか」などを受験者に“考えさせる”問題が出題されますから、キーワードを覚えるだけでは回答は難しいでしょう。

　ただし、本質の理解といっても、そう難しく考える必要はありません。重要なのは、「この行為のどこにセキュリティ上の問題があるのか」「では、どうすれば対策できるのか」といったことをシンプルに考えて、理解することです。

　例えば、午後試験では「組織における内部不正防止ガイドライン」が求めている管理策や対策などを積極的に取り上げるということがIPAのサイトで発表されています。このガイドラインを全て覚えるのは難しいと感じる人もいるかもしれませんが、実際に中身を読んでみると、常識で考えれば分かることも結構たくさん書かれているのです。これらのポイントさえ理解すればいいのです。例えば、以下はガイドラインにある「内部不正防止の基本原則」です。少し読んでみてください。

　1つ目の原則の「犯行を難しくする」ためには、技術的な対策を施したり、情報を持ち出せないルールを定めたりするといった仕組み作りが考えられますし、2つ目の原則の「捕まるリスクを高める」ためには、ログを取って監視するなどの方法があるでしょう。案外、その気になって考えれば分かることが多いと思いませんか？ 皆さんが企業にお勤めであれば、会社のルールや対策において、既にこうしたことは考慮されているはずです。自分の会社のルールなどと照らし合わせてみるのも、理解を深める助けになるでしょう。

午後問題は「問題文」に答えがある

　それから、これはちょっとしたコツですが、午後問題を解く際に大事なことがあります。それは、「問題文から答えを導く」ということです。例えば、IPAが公開しているサンプル問題の設問だけを見ると、正解が複数あるように見受けられるものがあります。しかし、実際には正解は1つだけです。問題文の中に、正解が1つになるようなヒントや制約があらかじめ仕込まれているのです。

　例えば、サンプル問題の設問2を見てください。この問題の正解は選択肢「ウ．退職する営業部員に、その営業部員と締結した機密保持契約書を見せ、その営業部員がアクセスした顧客情報がログに記録されていることを説明する」なのですが、問題文を見ると、「退職後も一定期間有効な損害賠償条項を含む機密保持契約を全従業員と締結している」というヒントがあります。答えに迷ったときは、「問題文の中に答えがある」という考えをあらかじめ持っておくと、正解が見えてくるでしょう。

最後まで地道に

　筆者はこれまでに、15個ほどの情報処理技術者試験に合格してきました。本連載で紹介し切れないような細かい勉強のノウハウも、いろいろと持っています。しかしながら筆者の経験からいうと、最終的に一番大事なのは、「試験直前まで継続的に勉強する」こと以外にありません。「勉強のコツ」などと言いながら当たり前の結論になってしまい恐縮ではありますが、これは事実ですし、実行するのは案外難しいものです。少しずつでもいいので、毎日勉強を続けましょう。

　さて、本連載も残すところ1回となりました。残りの期間、引き続き学習を継続しましょう。ちなみに、筆者自身もこの試験を受ける予定です。皆さん、一緒に頑張りましょう！

筆者プロフィール

左門 至峰（さもん しほう）

　現役のSE（システムエンジニア）兼ITライター。保有資格は、情報セキュリティスペシャリスト、情報セキュリティマネジメント、ネットワークスペシャリスト、システム監査技術者など。

　著書に、情報セキュリティマネジメント試験の対策本「やさしくわかるセマネの教科書」（日経BP社、税込1944円）。

　他にも、ネットワークスペシャリスト試験対策の「ネスペ」シリーズ（技術評論社）や、情報セキュリティスペシャリスト試験対策の「セスぺ」シリーズ（日経BP社）など著書多数。