第31回 情シス向け資格*セキュリティ編(試験攻略のコツ付)

公認会計士、税理士、社会保険労務士・・・世の中にはその道のプロフェショナルのための資格が数多く存在する。

持っていないとそもそも業務に携わることが出来ない資格もあるし、そうでない資格もある。

IT業界においては後者の資格が多いのだが、情報システム部門で仕事をする(したい)場合に、勉強しておいて絶対に損をしない、また知識、経験、技術を証明する一つのツールとして間違いのない資格は存在する。

簡単に言うと情シス的に“使える”資格である。

まず今回は近年のサイバー攻撃の深刻化・増加により今後確実に需要が拡大する(既にしている)、サイバーセキュリティに関する注目資格を、自分基準で紹介する。

pixta_40284586_edit

1.CISSP/SSCP

CISSP/SSCPとも、ISC2というグローバルな情報セキュリティの専門家育成を目的として設立されたNPO団体が認定する情報セキュリティ資格。特にCISSPは日本には2000人強の保持者しかおらず、まさに情報セキュリティの横綱資格。

セキュリティ専門家として4年(SSCPは1年)以上の実務経験が無いと認定を受けられない。

また資格維持するためには毎年規定された量の情報セキュリティ活動に従事する必要があり、同時に年会費も必要である。

恥ずかしながら受けたことが無いので過去問を見てみたが、分野(ドメイン)が情報セキュリティのマネジメントから、運用、技術まで多岐に分かれており、それぞれ深く最新の知識を問われ、さらには問題(場合によっては原文の英語も)を読み解く読解力も問われる。

実務経験に加えて、長時間の学習と地頭の良さ、集中力が必要となる、まさに専門家のための資格だと感じる。


2.CISM(公認情報セキュリティマネージャー)

ISACAという情報システム、セキュリティ、リスク管理等のIT専門家の国際的NPO団体によって認定される、情報セキュリティマネジメントに特化した資格の最高峰。

出題問題を資格保有者から応募し、その中から採用されたものが出題されるという特色がある。

CISSP等と同様に情報セキュリティ業務の経験が5年以上ないと認定が受けられず、更新維持には専門教育活動を年間に規定時間以上行う必要がある。年会費も必要。

こちらも受験経験が無いため過去問をWebで探してみたが・・・あまり見当たらない。書籍を買って学習する必要があるが、公認問題集には、学習用問題が1000問(!)も載っているという、物量的にハードルが高そうな試験である。


3.情報処理安全確保支援士

イメージ的には、これまで述べたCISSPCISMが情報セキュリティ資格の両横綱であり、持ってる人が身近にいたら単純にすげえ!と思う難関資格である。

しかし認定や維持に実務経験や関連活動の条件があり、CISSPに至っては日本語による試験が数ヶ月先までキャンセル待ちとなっていることもあるらしい。また問題文の原文が英語のため、回答に影響するような誤訳も時にあるらしく、併記された英文を読めないと回答を導けないこともあるかも知れない。

上記のように、多数のハードルが存在しているためか資格保有者は決して多いとは言えない。

そこで国として情報セキュリティを担う人材の育成・確保を目的として誕生したのが、IPA(情報処理推進機構)により実施され、経産省によって認定される情報処理安全確保支援士である。

登録や維持には費用がかかり、特に維持には教育受講費用として前述の2資格以上の費用(3年で15万円)がかかる。

この教育受講が維持条件というのは大きな特徴であり、3年に一度は集合形式の教育受講を受ける必要がある。

まだまだ誕生して日が浅く、現時点ではCISSPやCISMにブランド力は及ばず、有効性にも疑問符が付くイメージだが、純国産のサイバーセキュリティ資格として、今後どのように成長するか注目の資格である。

pixta_35878179_S

上記3資格、難易度的には CISSP>CISM=情報処理安全確保支援士 という感覚だが、前述のハードルを考えると、やはり国産の資格である情報処理安全確保支援士が取得しやすいと思う。

ちなみに、情報処理安全確保支援士の前身である「情報セキュリティスペシャリスト試験」および「テクニカルエンジニア(情報セキュリティ)」の合格者には、一定期間、情報処理安全確保支援士の登録資格が与えられている(登録申請期日は2018年8月19日)。

おれは幸い前身の情報セキュリティスペシャリスト試験には何とか合格しているため、試験範囲や試験構成が当時と変わらない前提※ だが、僭越ながら以下にコツを伝授させて頂きたい。
(※記事公開現在 IPAのページに「情報処理安全確保支援士試験の出題内容・範囲は、これまでの情報セキュリティスペシャリスト試験(SC)と変わりません。」との記載あり)

まず午前は選択式で、共通的な知識を問われる午前1と、情報セキュリティメインだが割と幅広い知識を問われる午前2に区分が分けられている。

とは言え、実はここ数年の問題から全く同じ問題がいくつか出題される(少なくとも当時はされていたが・・・)ため、過去問を数年分振り返っておけば非常に大きなアドバンテージとなる。
後はセキュリティ以外も含めた情報処理に関する常識がある程度あれば問題無い。

また応用情報処理試験に合格すると午前1が免除されるという2年間の確変状態に突入するため、これを利用するのがベストだ。

pixta_42168486_line1

やはり難関は午後試験である。

午後は午後1午後2に分けられており、何れも実務経験+相応の知識を問われる。

さらに午後1には一部選択式の出題があるが、午後2については完全に記述式で一部は50文字前後の短い論述式の出題もある。

つまりヤマ勘による合格が見込めないだけでなく、知識に加えて問題文と質問の読解力、また自分の考えを決められた文字数内で理論的に説明するという、国語力も合わせて問われることになる。

情報セキュリティの専門家であっても、こうした国語力が不足している人が落ちることは多々あるらしいが、逆に言えば専門家レベルの知識がなくとも、一定の知識と国語力があれば合格が見込めるということである。

あとは午前午後を通したコツとして、最新の技術や事件に関する出題が多く見られるため、そういった情報を仕入れておくことも重要だ。

pixta_42168486_line2

陸海空に加え、今や宇宙とサイバー空間が第4、第5の戦場と定義される世の中である。

何れの資格にしてもこれらを保有するに足る知識と経験は、業務に役立つだけでなく、サイバー空間における自分の身を守ることにも繋がっていく。

ぜひ勉強し、合格を目指してみてはいかがだろうか。(ブーメラン)

次回は開発者、ネットワーク技術者向けの資格を、またもや自分基準で紹介する。

情シス野郎 チラシの裏 と同一カテゴリの記事

みんなのスキルアップ体験記 と同一カテゴリの記事

ページTOPへ