情報セキュリティコラム

【過去問から傾向を探る】情報セキュリティマネジメント午後試験 時間が足りない!?

「時間が足りない」ともっぱら噂の情報セキュリティマネジメント試験、午後試験。その対策として、過去の出題テーマから出題の傾向を探ります。

先日、国家試験である「ITパスポート試験」に最年長86歳の合格者が出たとIPAから発表がありました。これまでは2017年に合格した83歳が最年長、そして2020年に合格した8歳の小学3年生が最年少ということでしたので、ITリテラシーは「いくつでも・いくつになっても」という感じですね。

参考:プレス発表 ITパスポート試験に86歳が合格、最年長合格者記録を更新:IPA 独立行政法人 情報処理推進機構

1.はじめに

さてこのコラムには、同じく国家試験である「情報セキュリティマネジメント試験」の午後問題の対策方法を調べて見に来ていただいている方が多いようです。中でも「午後試験は時間が足りない」という噂を聞きつけて何とか攻略のコツを掴もうとされてるのではないでしょうか?

こういうのはまず、出題の傾向を知ることが大事ですからね。
まずは実際に出題された過去問のテーマを見て傾向を把握し、対策を考えていきましょう。

 

関連コラムはこちら

 

(注意)本コラムは「ここが確実に出る」というような情報はお伝えしておりません。あくまで、過去の出題傾向や最近のサイバー攻撃の動向など過去の情報や発表されている情報に基づいた内容となっております。

2.過去7回の出題テーマはこちら

平成28年春期 午後問題
問1 標的型攻撃メールの脅威と対策
問2 業務委託におけるアクセス制御
問3 情報セキュリティ自己点検

平成28年秋期 午後問題
問1 オンラインストレージサービスの利用における情報セキュリティ対策
問2 情報機器の紛失
問3 業務用PCでのWebサイト閲覧

平成29年春期 午後問題
問1 マルウェア感染への対応
問2 クラウドサービスを利用した情報システムの導入と運用
問3 オフィスの物理的セキュリティ対策

平成29年秋期 午後問題
問1 情報セキュリティリスクアセスメント
問2 WebサービスでのWebアプリケーションソフトウェア開発委託
問3 スマートデバイスの業務利用

平成30年秋期 午後問題
問1 インターネットを利用した振込業務の情報セキュリティリスク
問2 リスク対応策の検討
問3 標的型メール攻撃への対応訓練

平成31年春期 午後問題
問1 サイバー攻撃を想定した演習
問2 企業における情報セキュリティ管理
問3 情報セキュリティの自己点検

令和元年秋期 午後問題
問1 ECサイトの情報セキュリティ対策
問2 アカウント乗っ取りによる情報セキュリティインシデント
問3 業務委託先への情報セキュリティ要求事項

3.テーマは大きく3分類

過去問のテーマを古いものから順に見ていくと、何となく傾向が分かるかと思います。上記からいくつかのキーワードを抜粋してみましょう。

「標的型メール」「業務委託」「自己点検」「オンラインストレージ」「情報機器の紛失」「業務用PC」「マルウェア感染」「クラウドサービス」「オフィス」「リスクアセスメント」「開発委託」「スマートデバイス」「インターネットを利用した振込業務」「リスク対応策」「標的型メール攻撃」「サイバー攻撃を想定」「企業における情報セキュリティ管理」「自己点検」「ECサイト」「アカウント乗っ取り」「業務委託先」・・・

多くなってしまいましたが、なんとなく、毎年こんな雰囲気のテーマではないでしょうか?

 ① 最近のサイバー攻撃の動向

 ② 自社の業務において、自社の情報を守る

 ③ 他社との協業において、自社の情報を守る

 

また、それぞれのキーワードを3つのテーマに当てはめてみると以下のようになりました。「ふむふむ、確かに」という感じでしょうか。

情報セキュリティマネジメント試験午後試験の出題テーマ

そもそも情報セキュリティマネジメント試験とは、IPAによると「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験」です。

(引用 https://www.jitec.ipa.go.jp/sg/about.html)

 

ここから「組織の情報セキュリティ確保」という素晴らしい情報が見えてきました。そして、この試験の目的として以下の3つの目標が挙げられています。

 

①部門全体の情報セキュリティ意識を高め、組織における情報漏洩のリスクを低減する!

②万が一トラブルが発生しても、適切な事後対応によって、被害を最小限に食い止める!

情報セキュリティを確保することで、より安全で積極的なIT利活用を実現する!

情報セキュリティマネジメント試験の目的

▲参考:情報セキュリティマネジメント試験とは

 

 

つまり、「内部不正を防ぐための権限設定はどうしたらよいか」「この事象はマルウェア感染の可能性がある→どう対応したらよいか」「不正アクセスがあった→原因と再発防止はどうしたらよいか」といった、業務を推進する上でのインシデント対応や未然防止の知識がついているか、という観点で出題されていることが分かります。

 

出題者の意図がここまで分かると、対策も立てやすいのではないでしょうか。

 

 

関連コラムはこちら
情報漏洩の発生パターンと対策 | サイバーセキュリティサイト-株式会社シー・エル・シー (clc-cybersecurity.com)
情報漏洩の発生パターンと対策
企業の経営層や管理職にとって、情報漏洩のセキュリティ対策は大きな関心事でしょう。
そこで今回は、情報漏洩の発生パターンとともに、その対策をご紹介します。

4.出題の傾向まとめ

情報セキュリティマネジメント試験午後試験の出題の傾向まとめ

ここで申し上げておきたいこととして、各サイバー攻撃の特徴を把握することはもちろんのこと、インシデントの発生原因の特定方法や対処方法、再発防止策までの一連を理解できていることがとても大事になってきます。

 

また、午前試験の過去問を繰り返し行っていくと、各サイバー攻撃の特徴はなんとなくイメージできてくるかと思います。ですがご存じの通り、サイバー攻撃は日々脅威を増し手法も巧妙化しております。ですので、やはり過去問に頼るだけでなく最近の動向を知っておくことも重要です。

 

ということで、情報セキュリティマネジメント 午後試験の出題の傾向としては、まず

 ①自社他社含めた「組織」にまつわる情報漏洩対策

 ②トラブル発生時の「事後対応」

 ③そしてトラブルを未然に防ぐため「情報セキュリティを確保」する方法

を問われていることを認識していただければと思います。

5.最後に

そしてなんと言っても出題者、つまり主催者IPA(独立行政法人情報処理推進機構)が出す情報にはヒントが沢山散りばめられているといっても過言ではないでしょう。是非、こうした公式機関の情報(例:情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構など)をこまめにチェックして試験勉強や実務に役立てていただければと思います。

 

 

こちらのコラムもおすすめです

激変する働き方、セキュリティ対策への取り組み方~可視化とパソコン対策~

激変する働き方、 セキュリティ対策への取り組み方 ~可視化とパソコン対策~

セキュリティ対策予算がそこまでない、可視化が無理ならせめて「最小権限の原則」に則り、必要なリソースへのアクセスは必要なユーザにしか行わせない様、アクセス権限を設定することから始めてもよい。

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

1980年から培った解決力
システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。