お知らせ
- 「ITpro Smart」リリース!
- 書籍「IT提案戦術」5月21日発売!
- 電子ブック新刊!「説得・交渉術」など
スキルアップの宝箱
第28回 情報セキュリティアドミニストレータ
|
|||||||||||||||||||||||||||||||
| 試験の名称と概要: | 情報セキュリティアドミニストレータ 情報処理技術者試験の1つ。情報セキュリティ管理の現場責任者として,情報セキュリティに関する企画・実施・運用・分析のすべての段階で,物理的観点,人的観点および技術的観点から情報セキュリティを保つための施策を計画・実施し,その結果に関する評価を行う能力を問う試験。試験は毎年10月に実施される。2003年は受験者数約2万8000人。合格率は11.3%。 |
|
| |
| 筆者略歴: | 克元 亮,村中 直樹,原 純江,芦屋 広太,三好 康之 (プロフィールは本文の下を参照) |
先生も落ちた第1回目の試験
―― 2001年に始まったこの試験は,今秋で4回目になりますが,過去3回で受験者数は驚くほど増えました。みなさんは,いつ受験しましたか
克元:2002年に受けて,一度で合格しました。この半年前,勉強しながら「情報セキュリティアドミニストレータ短期合格テキスト」を執筆していたのが良かったのだと思います。合格してホッとしました(笑)。
村中:私は2001年の第1回目のときに合格しました。ヤマが当たってまぐれの合格でしたが…。午前の試験では,「出る順」的に基礎的なセキュリティ用語の意味をおさえることに専念。午後は,スペシャリストの視点ではなく,あくまで「アドミニストレータ」の視点に徹したことが奏功しました。
芦屋:私はまだ受験していません。というのも,私は論文指導をしていますから論文のある試験を優先しているので。秋はたくさん論文試験がありますから。
原:私は2001年の第1回から2連敗して,2003年に3回目でようやく合格しました。
―― えっ,先生でも落ちるのですか?
三好:私も第1回は落ちましたよ。その経緯を本連載の第1回目に書きましたが,おかげで講師をしている会社から叱られましたよ(笑)。2回目にリベンジしました。
―― 2001年の第1回目はずいぶん荒れたようですね。どんな試験でも第1回目はいろいろ番狂わせがあるようですが,執筆者や講師の先生方といったベテランがボロボロ落ちる試験も珍しいのではないでしょうか?
村中:私の周りで言うと,知り合いのシステム監査人やネットワークスペシャリストもかなりダメだったようです。ところが,上級シスアド保有者は結構受かっていたようですね。具体的な数値はわかりませんが。
―― 理由は何でしょう?
原:言い訳ではありませんが,試験にも問題があったようで…(笑)。「アドミニストレータ」の位置付けが明確になっていなかったため,出題者の意図を読み取るのに苦労しました。私には「アドミニストレータ」の経験がなかったので,これはネットワークエンジニアとして答えるのか,システム管理エンジニアなのか,システム監査技術者として答えるのか,と迷いました。
三好:そう,出題者の意図がわからないものがたくさんありましたね。答えが1つに定まらないから困りました。でも既に3回実施されて,そのあたりはだいぶ落ち着いてきた気がします。
「セキュリティ管理者」の視点が明確に
―― 過去3回の試験を振り返って,出題傾向にどんな変化がありましたか?
芦屋:「アドミストレータ」,つまりテクニカルエンジニアではなくセキュリティの管理者という視点がだんだん明確になったように思います。ポイントは各種ガイドラインを理解しているかどうかだと思いますよ。SSはガイドラインを制することが必要です。
克元:午後I,午後IIは,従来の「セキュリティポリシ策定」や「インシデントレスポンス」といったオーソドックスなテーマの問題だけでなく,「認証技術」や「VPN」など特定のセキュリティ技術に関するテーマの問題も出るようになりましたね。
―― 過去3回とも必ず出題されているポイントは何でしょう?
克元:午後I,午後IIは,「セキュリティポリシ」の見直し・追加に関する出題が毎年出ます。また,2年連続して「個人情報保護」も出題されました。時事ネタですから今年も要チェックです。
―― 新しい傾向はありませんか?
村中:午後Iの「VPN」は,新しいですね。かなり理解を要する問題が出ますから要注意です。
芦屋:「インシデントレスポンス」がかなり詳しく問われるようになりましたね。事故発生時の望ましい行動パターンをどれだけ知っているかも,ポイントでしょう。
問題文の中から答えを探し出す
―― お答えになりにくいでしょうが(笑),今までの試験でどういうところを間違えたのでしょうか?
原:不思議なんですが,不合格だったときの方が試験終了時の感触は良かったんですよ。特に初回は,あまり苦労せずに答案を埋めることができて,時間も余ったくらい。それなのに落ちてしまって…。どこを間違えたかは,チェックしていません,悔しいから(笑)。合格したときは,逆に,試験が終わった瞬間に「ダメだ…」と思いましたけど。
克元:午後の問題は,問題文中に答えが隠れていて,それを見つけて答える「解答導出型」が比較的多いですね。時間内にいかに早く,いかに正確に答えを探し出せるかが勝負です。
原:そうなんです! つい,自分の業務経験と知識から解答を作成したくなるんですが,それではダメなんですね。経験ではなく,問題文,つまり与件と知識から解答を作成しなきゃいけないんです。経験による解答作成を避けたのが私の勝因だと思います。思い込みや経験で解答しないことが,不合格にならないポイントですね。
克元:「解答導出型」と,もう1つのタイプが「知識確認型」。これは主に穴埋めで出題されます。解答導出型は国語の長文読解。知識確認型は,キーワードをできるだけおさえておくことがポイントです。最新のキーワードも忘れずに。
著書にはそれぞれ工夫をこらして
―― SSの試験対策本を執筆したり,教材を作成したりするうえで気をつけている点は?(試験対策本は最後の座談会参加者プロフィールを参照)
原:解答はいくつも考えられますが,設問に合致した最適解を見つけることが重要です。いくつも解答が出てくるような問題を作成してはいけないので,答えが一意に定まるような問題作りに努めています。
克元:最適な解答の是非については,読者からもいろいろとお問い合わせをいただきますね。問題によっては別解が出るケースも多々ありますから。そこで,本の解説の中で触れたり,問い合わせに対しては出版社を通してご返答しています。
芦屋:私は受験していませんが問題は当然解きます。そして「曖昧だなあ」という問題には,どう解釈するのかを必ず解説し,解答を導く論理性を確保するようにしています。
村中:例題などを通じて,さりげなく「こうするとこんな失敗につながる」という失敗事例を紹介しています。実体験に基づいていますから,きっと参考になると思います。
「セキュリティポリシ」と「ウイルス対策」が必出テーマ
―― 試験が1カ月後に迫ってきましたが,ズバリ今年の予想は?
克元:まず「セキュリティポリシ策定・見直し」は王道のテーマです。確実に出ますよ。同じく,「ウイルス対策」も要注意ですね。「セキュリティ監査」は平成14年に一度出題されたのみで,そろそろ怪しいかもしれません。気をつけたいのが「個人情報保護」。いまだに個人情報の流出事件が減りませんからね。
芦屋:そうそう。時事ネタは危ない。この試験は時事ネタ多いんですね。法律の改正なども注意。あとハッキング・テクニックなども最新の情報を学習しておいた方がよいでしょう。
原:過去3回でかなりの数の合格者が出きたので,そろそろ他の試験区分との棲み分けが出てきてもいい頃ですね。昨年の問題を見る限りでは,まだ試験の位置付けがぶれていたようです。ハッキリしたことは言えませんが,分野としては「ウイルス対策」,「個人情報保護」,「セキュリティポリシの見直し」,「リスクマネジメント」といったところが重要ではないでしょうか。「ウイルス対策」では,最近セキュリティホールの発表やアップデートが頻繁にあるので,これとからむような内容が出るのではないかと思います。
―― 個人情報保護ガイドラインについては?
原:個人情報保護ガイドラインは,発表が遅れたため,試験への直接的な影響は低いと思いますが,一度目を通しておいた方がいいでしょう。セキュリティ管理策にはJISX
5080「情報セキュリティマネジメントの実践のための規範」を推奨。実務面というより,基準書として有効です。リスクマネジメントやセキュリティポリシの枠組みについては,ISMS(情報セキュリティマネジメントシステム)が参考になります。プライバシーマークの枠組みと合わせて理解しておくと効率的。セキュリティ管理策と個人情報保護の管理策との違いは理解しておくこと。
村中:本来トップダウンの視点でやるべきセキュリティ運用(ISO/IEC17799)の話ですが,午後問では主人公が主任や課長だったりするので,ボトムアップアプローチの視点が必要になってきます。このあたりは上級シスアドにそっくりですね。 人材像を間違えないように答える必要があります。
過去問の復習が合格のポイント
――最後に,今年の受験者のみなさんに一言お願いします。
村中:午後問は,問題文をしっかり読めば,半分は確実にとれます。日本語ですから,落ち着いて読み込んでください。あとは「運」です。
芦屋:午後問題は一通り出題されたかなと思います。過去問題を確実に解いておくことが必要ですね。
|
||||||||||||||||||||||
