【情報セキュリティ】新試験スタート ―ITコンサルが伝授 情報セキュリティマネジメント試験勉強法とは
本年4月より、新しくスタートする国家試験『情報セキュリティマネジメント試験』。近年、サイバー攻撃への対策や適切な情報管理、組織内での規定順守など、より確かな情報セキュリティへの取り組みが求められる中で、情報セキュリティマネジメントを担う人材を育成していくためにも、注目を集めている資格です。
ジョーシスでは、『情報セキュリティマネジメント試験』について、日々多くの企業の情報セキュリティ対策を手掛け、アメリカでの現状や、国内での中央省庁や大学機関の動きなど、情報セキュリティについて幅広い視点を持つ、株式会社アジアンリンクのITコンサルタント後藤勇人さんのご意見を伺いました。
前編では、情報セキュリティに対する社会や企業の現状と必要な対策について語っていただきました。
後編では、『情報セキュリティマネジメント試験』が社会や企業にもたらす効果や影響についてお聞きするとともに、具体的な試験対策などについてもお教えいただきました。『情報セキュリティマネジメント試験』に興味をお持ちの方、受験を考えている方は必読です。
この記事の目次
『情報セキュリティマネジメント試験』によって共通の認識、言葉を持つ方が増える。
――『情報セキュリティマネジメント試験』が実施されることにより、各企業内にどのような効果や影響があると思いますか?
後藤さん:IT業界内での人材不足の解消につながるのではないかと期待しています。この資格を持っている方が増えるということは、情報セキュリティ対策において、“人”についての対策ができた方が増えるということですので。もちろん、世の中全体に良い影響を与えるだけではなく、資格ができることにより、共通の認識、言葉を持つ方が増えて、仕事もよりスムーズになると思います。共通の認識を持って物事に取り組んだ方が成果も出ますよね。
――共通の認識を持つということは具体的にはどのようなことでしょうか。
後藤さん:例えば、『情報セキュリティマネジメント試験』に「セキュリティの機密性」という言葉が出てきますが、この資格を取っている方が「機密性」と聞けば、「見られたくない情報を見られたくない人に対して、ちゃんとアクセスコントロールされていることだよね」と、すぐに理解できるはずです。そういう方が増えれば、世の中の情報セキュリティ対策のベースは間違いなく向上しますし、IT業界内で深刻化している人材不足の解消にもつながると思います。
――共通の認識、言葉を持つ方が増えるということだけでも意義がありそうですね。
後藤さん:さらにこの資格があることによって、情報セキュリティを体系的に学ぶきっかけにもなります。情報セキュリティについて勉強しようと思っても、業務に追われながら少しずつするのでは、なかなか体系的に学べないですよね。資格の取得は「資格を取るため」と、ある意味強制的に行動させられることになりますが、強制的であっても行動することで意識が変わり、意識が変わることでよりまとまって勉強をするようになり、結果として情報セキュリティの体系的な知識が頭に落ちてくると思います。よく、意識を変えて行動を変えるという順番で結果を出そうとする人がいますが、確実に結果を出すためには、どんなきっかけでもまず行動することが非常に大切です。ですので、『情報セキュリティマネジメント試験』をきっかけに情報セキュリティを学んでいこうという行動は、情報セキュリティの体系的な知識を確実に得るという点でもすごく良いことだと思います。
――資格を持つということも大事ですが、知識を身に付けることの方が確かに重要です。
後藤さん:ITの導入は多くのメリットがありますが、使い方を間違えるとリスクの塊ですよね。資格を持たない、知識を持たないということは、ITのメリットよりもリスクの方を多く持っていると思った方がいいです。例えば、情報セキュリティについて知らないでパソコンを使うことは、車の無免許運転に近しいものを感じます。人に迷惑をかける可能性もある。知らない間に危険な事件・事故に関与してしまうこともある。知りませんでしたでは済ませられませんよ、という話です。ただ悲観的になる必要はありません。例えば資格を取ることによって知識を得る。そして知識を得たことによって、リスクをコントロールできる状態になれば良いですよね。情報セキュリティに対する意識を高めてもらうためにも、新人には必ず、今言ったようなセキュリティの話をしています。
演習をたくさん解くことと、ケーススタディではルールを押さえることがコツ。
――『情報セキュリティマネジメント試験』を受ける方に、勉強方法のコツなどがあったらお教えください。
後藤さん:この試験は100問中60問正解すれば合格なので、一問一問間違えたらどうしようと緊張しながら解く必要はないと思います。それよりも、情報セキュリティに対する責任を果たすために、まずは最低限のことから知ろうと勉強を始めるのが良いと思います。その上で、資格が取れるまでのレベルになるように、ともかく演習するのみだと思います。何問も何問も解いてみて、間違えた時がチャンスだと思います。間違えたということは、自分の理解が間違えていたということに気付けますよね。それを正していけば良いんです。同じ問題で何回も間違えることもあると思いますが、繰り返し解いていけば、いつか間違えなくなり思います。間違えなくなった時には試験にも合格しますし、理解もできています。
――理解を深めるためにも、どんどん問題を解いて、間違えを正していくのがコツなんですね。
後藤さん:どうしても試験に合格することにばっかり目が行ってしまうと、知識を得るということがおざなりになってしまうし、間違えるということにネガティブになってしまいますが、まずは最低限の知識を得ようと思いながら演習を繰り返し、間違えたらラッキーくらいに思いながらやると良いと思います。
――ケーススタディによる出題もあり、実務経験の少ない方は不安になるかと思いますが、そういった出題に対する勉強方法はありますか?
後藤さん:ケーススタディの問題を解くには、本当にコツがいると思います。例えば、現実のトラブルで、「お金も手間もかかるけど、これが理想の対策です」というのがあっても、実際にはその会社のルールや前提条件によって最善の対策方法って変わってきます。ケーススタディの問題ではそのルールや前提条件を出題内容から読み取るのが重要になります。ケーススタディの問題の中には、ルールや前提条件に相当する記載が必ずあるはずです。まずはそれを最初に抽出してしまう。出題者の意図をよく考えて、この問題におけるルールを押さえてから選択肢を見て、それから問題文全体を見るようにすれば、選択肢を確認している時点で4択が2択になったりしていて問題文全体を確認し終わったころには問題が解けると思います。
――何がルールになっているのか押さえるのは、非常に有効なコツですね。
後藤さん:問題文を上から読んでいっても、人間って前半の部分って忘れちゃうんですよ。だけど、ルールは絶対に忘れてはいけないので、それを最初に押さえて、忘れないように書いておく。そして選択肢を見て問題文全体を読む。そうすると、ルールと選択肢を把握した上で、問題文を読めるので、問題文を読んでいる時の気分も変わってくると思いますよ。試験中の緊張対策も試験対策では重要ですからね。
試験はセキュリティの世界で唯一間違えて良いところ。間違え尽くしてエキスパートになる。
――『情報セキュリティマネジメント試験』で得た知識を実務で有効に活用するためは、どのようなことを心掛ければいいでしょうか。
後藤さん:この資格をベースに、自分のモデルを持つと良いと思います。例えば、情報セキュリティ全般についての出題内容に、「機密性」「完全性」「可用性」についての問題があるのですが、情報セキュリティの基本方針を考える時に、この3つを軸にするモデルを持ったら、ある事象に対して必ず、「このデータの機密性・完全性・可用性は守られているか」と、チェックすることができますよね。
――試験で得た知識によって自分なりの情報セキュリティのモデルが作られるんですね。
後藤さん:他にも情報セキュリティ全般の出題の中には、「暗号」「認証」「脅威」「脆弱性」「サイバー攻撃手法」などの問題もありますが、「機密性」「完全性」「可用性」は基本方針やルールを作るのに必要、「暗号」「認証」はインフラを作るのに、「脅威」「脆弱性」「サイバー攻撃手法」はサイバー攻撃対策をしていくのに必要といった形でグルーピングすることができます。自分の中で、当該業務においてどのモデルを適応させれば活かすことができるかということを考えるだけで、試験を通して得た知識がかなり使えるようになります。そうやって整理がある程度進んだ段階で、整理した結果を書き出して、周りの方と話し合えば、リスト化されたことにより自分の理解も深まりますし、周囲の方の認識も深まるのではないでしょうか。
――最後に、『情報セキュリティマネジメント試験』を受けようと思っている方に、アドバイスをお願いします。
後藤さん:情報セキュリティに詳しい方は、実際の現場でセキュリティの失敗をたくさんされてきた方だと思います。私はそのジャンルで間違え尽くしてきた方がエキスパートだと思うので、資格の勉強は、ある意味エキスパートを養成していくようなものだと考えています。勉強中に間違えた分だけ知識が身に付いていく。そういった姿勢で試験勉強に取り組んで欲しいですね。まだまだ実務経験の少ない方が得るものは正直すごく多いと思います。試験勉強を通して経験値を得ていくことができる。だから間違えることを不安に思わなくて良いんですよ。むしろ間違えに気付くきっかけを得ているのでラッキーです。エキスパートでも最初は間違えます。間違え尽くした時に自分が成長できるって思ってください。実際の現場ではミスは許されないので、試験勉強の中でどんどん間違えていって欲しいですね。情報セキュリティの世界では、試験勉強が唯一間違えていいところですから。
<株式会社アジアンリンク>
〒140-0002 東京都品川区東品川2-2-4天王洲ファーストタワー 18階
電話:03-5781-0730
URL:http://www.asianlink.co.jp/
設立:2007年8月1日
社員数:120名
経営理念:社員に安心と働く楽しさを提供し世の中に喜びを提供する
<後藤勇人さんプロフィール>
ITコンサルタント。20歳で開業しフリーのSEとして多くの現場を経験。中央省庁や重要インフラにおけるコンサルティング業務経験や、大手セキュリティ会社との協業で培ったリスクアセスメント業務経験を生かした、ITリスクに関する多くの相談に対応されています。好きな食べ物はマグロ。
【相談無料】ITリスクに関するご相談は下記のメールへお問い合わせください!!
ITリスクの119番 al119@asianlink.co.jp
カテゴリー: