非エンジニアでもOK、セキュリティ業界への登竜門

　前回は、セキュリティ関連の資格を概観してみた。今回からは主だった試験をいくつか取り上げてみたい。各試験のレベルや問題の内容、業務での役立ち度合いなどを説明する。

　連載で取り上げる予定の試験は以下の3つだ。

・情報セキュリティマネジメント試験（SG）
・情報処理安全確保支援士試験（SC）
・CISSP（Certified Information Systems Security Professional）

　まずは「情報セキュリティマネジメント試験（SG）」を解説する。

非エンジニアでも合格が狙える試験

　情報セキュリティマネジメント試験（以下SG）は、IPAが実施する情報処理技術に関する試験のひとつ。全国区で通用する認定試験といってよい。試験は毎年4月と10月に実施され、2017年度の受験者数は4万269人。合格率は58.4％と高めの数字だ。

　試験では、午前中に4択式の問題が50問。午後は、ひとつのテーマの長文があり、そこから3つの問題が出題される。各問題には、3～5つくらいの選択式の回答項目がある。

　SGは2016年からスタートした試験なので、まだ3年目で今年の試験はこれから始まる。試験制度がスタートして年数が浅いため、受験者数や市場の声によっては、シラバスの変更やそれに伴う合格率の変動が起こる可能性がある。

　SG試験が対象とする人材は、「情報システムの利用部門にあって、情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程（情報セキュリティポリシを含む組織内諸規程）の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者」（IPAホームページより引用）となっている。

　つまり、企業の情報システム部門やセキュリティ担当者に求められる、基本的な知識レベルを持った人が対象ということだ。情報システム部門と言っても、エンジニアである必要はない。試験レベルとしては、「ITパスポート試験」より高度だが、基本情報技術者試験と同等か少し上といったところだ。

　「上」というのは、SG試験問題のうちセキュリティと法律に関する問題は、基本情報技術者試験で出題される問題より高度だからだ。SG試験でもマネジメント系の問題は出題されるが、基本情報技術者試験の範囲でカバーできる問題がほとんどだ。

　セキュリティ技術や関連法について対策すれば、非エンジニアでも合格することができる試験でもある。

どんな問題が出題されるのか

　試験内容は、情報セキュリティ対策に関する知識、法務やマネジメントに関する知識、ITシステムに関する知識を問う問題となる。しかし、技術的に高度な問題はでなく、複雑な計算を必要とする問題もない。

　例題で説明しよう。例えば以下の問題。

問　デジタルフォレンジックスでハッシュ値を利用する目的として、適切なものはどれか。

ア　一方向性関数によってパスワードを復元できないように変換して保存する。
イ　改変されたデータを、証拠となり得るように復元する。
ウ　証拠となり得るデータについて、原本と複製の同一性を証明する。
エ　パスワードの盗聴の有無を検証する。

　これは（ウ）が正しい。正解するには、デジタルフォレンジックスとハッシュ値に関する最低限の意味や機能を知っている必要がある。

　フォレンジックス（鑑識）はシステムのログやファイルの状況を詳しく分析し、サイバー攻撃の有無、どのデータが複製されたか、外部に送られたか、マルウェアはどこから侵入したか、といった証拠を得る作業のこと。ハッシュ値は、暗号とちがって元の値を復元できない（ハッシュ）関数の出力値。パスワードの保存、デジタル署名、改ざん防止に利用される。

　こうした最低限の知識があれば、アはハッシュ値のみの説明、イとエはフォレンジックスの説明であり、ウだけが両方を説明していることがわかる。

　長文形式の問題は、業務でセキュリティポリシーや運用規定を決める作業、インシデント発生後の対応や復旧・対策について書かれた文章で構成される。選択問題のような知識が前提だが、当然長文をしっかり読む力が必要だ。

　試験開始直後の問題は、ビジネスやセキュリティに対して一般的な常識と知識があれば、回答から排除できる選択肢がいくつくかあり、正解を絞り込みやすかった。だが昨年度の問題をみていると、明らかにおかしい回答選択肢が減っている。テクニックだけで解ける問題をなくしていこうとする、主催者の方針だろう。

セキュリティ関連キャリアの足掛かり

　個人のキャリア、企業の業務活用という視点からはどうだろう。SG試験は免許や資格ではないので、セキュリティ業務に携わるからといって取得する必要はない。SG試験は採用やキャリアアップと関係なく見える。筆者の周辺でも、SG試験合格を明確に採用条件に設定しているケースはあまり見ない。

　だからといって無意味ではない。IT関連試験で実績のあるIPAが実施しており、業界内でのプレゼンスはある。セキュリティに関する知識やスキルを手っ取り早く、客観性を持って説明できる人材であることを証明できるSG試験合格が、キャリアのマイナスになるとは思えない。

　セキュリティ業界は、認定試験よりどの企業で何をやっていたという実績を評価しがち。複数社のセキュリティ部門を渡り歩く人もいるくらいだ。経験の浅い人は、なかなか参入が難しい。そこでSG試験合格をアピールして、まず社内のセキュリティ業務に携わるきっかけを作り、実績を積んでいく方法が考えられる。

　では企業は、SG試験合格人材をどうとらえるべきか。シラバスはISO/IEC 27000シリーズ（JIS Q 27000:2014）といった情報セキュリティシステムマネジメント標準に準じて作られており、試験問題でも関連の用語や考え方が出題される。

　企業において、セキュリティポリシーや対策を考えるとき、この知識は必須である。セキュリティ対策すべてをアウトソースする考え方（とくに中小企業）もあるが、その場合でもアウトソース先とやりとりする知識やスキルを持つ人間が社内に必要だ。社員に対して、受験支援策を考えても損はないだろう。