情報処理推進機構(IPA)は2015年9月15日、情報処理技術者試験に利用部門のセキュリティ担当者向けの「情報セキュリティマネジメント試験」を新たに設け、2016年春期試験から実施すると公表した(写真)。内部不正やサイバー攻撃が相次ぐ中、技術だけでなく人の対策が不可欠になってきたことに応える。
7年ぶりに新試験を追加する。新試験はユーザー企業の情報セキュリティを利用者側の現場で管理する人材に対して、基本的な知識やスキルを認定するもの。「内部不正や標的型攻撃で大量の情報漏洩が相次ぐ中、システムだけでなく人の対策も欠かせなくなった。だが試験からはすっぽりと抜け落ちていた」とIPA関係者は話す。
具体的にはどんな人材なのか。実態としては「火元責任者」のように兼任者がほとんどだろう。サイバー攻撃の被害が判明した時やサイバー攻撃の対策訓練の時などに、CISO(最高情報セキュリティ責任者)の指示の下、IT部門などに所属する全社のセキュリティ管理者と連携しながら、利用部門での調査や情報収集、対策の指示などをリードする。「現場で初動を指揮する人」(同)。平時は部門のメンバーに教育などを施す。
「とにかく受験者数を増やしたい」
IPAは情報セキュリティマネジメント試験の合格者を早期に大量輩出することを狙う。まず試験範囲をセキュリティに絞り、受験しやすくした。「アルゴリズムとかコンピュータの知識とか、技術的なことはそれほど求めない。セキュリティの身近な事例をベースにした実践的な出題とする」(同)。具体的には情報セキュリティそのものの考え方や、管理の実践手法、マルウエア対策などの各種対策、サイバーセキュリティ基本法などの関連法案などを主に問うという(図)。
出題数を絞ったことで試験時間も短くなった。試験時間は午前と午後でそれぞれ90分。同レベル(4段階中の下から2番目)の試験である「基本情報技術者試験」と比べると、午前も午後も1時間短い。新試験の出題数は午前が四択の50問、午後が長文の穴埋めで3問で、午前と午後にそれぞれ100点満点で60点以上を取ると合格となる。合格率は基本情報技術者試験と同様に25%程度となりそうだ。
情報処理技術者試験は年2回、春期(例年は4月の第3日曜日)と秋期(同10月第3日曜日)に開催するが、ほとんどの試験は年1回の開催だ。これに対し新試験は両方で開催する。「セキュリティ人材が不足している現状に何とか応えようと、開催を増やした」(同)。
これに伴い、IPAは出題者の確保に苦労しているという。出題者としてそろえる人数は、一般に午後の出題数の2倍程度という。新試験であれば6人程度と見られる。「セキュリティはそもそも専門家が少ない上に皆忙しい。だが試験内容は今の脅威に合わせないと意味が無い。出題者の確保は本当に苦労しているが、それでもやり続ける」(同)
