情報セキュリティスペシャリスト

概略

IPAの高度試験の1つで、文字通り情報セキュリティに関する知識を問うもの。旧区分で言う、テクニカルエンジニア(情報セキュリティ)と情報セキュリティアドミニストレータを包含したものという扱いになっています。試験は午前I・午前II・午後I・午後IIの4つに分かれており、全てを60%以上得点すると合格です。IPAのサイトによれば「高度IT人材として確立した専門分野をもち、情報システムの企画・要件定義・開発・運用・保守において、情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し、又は情報システム基盤を整備し、情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者」とありますが、実際には、この資格に合格することと、「自信を持ってペネトレーションテストの設計・実施ができること」との間には大きな隔たりがありますね。


試験で問われるのは、ネットワークの知識をベースとした情報セキュリティの主要概念と、サービスマネジメントやシステム監査的な内容となっています。僕のようにアプリケーションよりのプログラマにとっては「知っておいて損はないけれども、直接業務に役立つという程ではない*1」という感じで、どちらかというとインフラ系の方にとって必須の知識となるのかもしれません。

対策

いわゆる「論文のない高度試験」向け対策です。つまり「午前試験は暗記/午後試験は主要概念を理解した上での過去問演習」の2本柱ですね。社会人にとってこの「過去問演習」の時間を作るのは困難ではありますが、読む勉強法だけでは記述問題の対策が不十分になりがちです。自分の言葉で答えを書き、模範解答と照らし合わせて、どういう点がポイントになるのか不足している論点は何か、ということを丁寧に考える必要があります。「内容を自分の言葉で説明できる」ことや「普段からそういうことについて考えていること」が求められている試験ですので、そこに自分を合わせていくということですね。


そういう勉強をするのに適したテキストを一冊だけとりあげるならこちら:

基本概念のおさらいから始まって応用的な内容までを網羅しており、過去問演習もできる良書です。もし午前に不安があるならば、もう一冊別の本が必要ですね。




若干戦術的な話になりますが、午後試験は自分が確実に得点できる問題を選ぶことが重要です。「自分はこのテの問題は解ける/解けない」という「嗅覚」はある程度養っておく必要があるかもしれません。いきなり問題文を読み始めず、全問一通りパラパラと眺めるところから始めるのがいいでしょう。なお、旧来の高度試験は午後Iでとにかく時間が足りなくなるという印象がありましたが、新試験では多少時間に余裕はあるようです。

*1:SQLインジェクションXSSなど、絶対に知っておかなければいけない内容も含まれてはいます。しかし、そういうものは全体の割合として見るとそれほど多くありません。