情報処理安全確保支援士試験(以下、支援士と呼びます)は、サイバーセキュリティに関する深い知識と高度な技能を持つことを証明する国家資格です。ここでは 22 歳の新入社員向けに情報処理安全確保支援士試験の概要を説明します。
支援士を受検する目的
支援士を受検するメリットを3つあげます。
キャリアアップと専門性の強化
現代のビジネス環境では、情報セキュリティは企業存続に関わる重要な要素です。この資格を持つことで、セキュリティの専門家としてキャリアの幅を広げることができます。
情報漏洩やサイバー攻撃からの防御力向上
サイバー攻撃や情報漏洩などのリスクを最小限に抑え、組織を守るための実践的なスキルを身につけることができます。
法的コンプライアンスの支援
情報セキュリティに関する法律や規制の遵守が求められる中、この資格を持つことで、法的リスクを管理し、コンプライアンスを強化する役割を果たすことができます。
支援士の受験方法
支援士は春期(4月)、秋期(10月)の年2回実施されています。一般的な筆記試験で実施されます。
具体的な申し込み方法は、実施団体である情報処理推進機構(IPA)のホームページをご確認ください。
https://www.ipa.go.jp/shiken/mousikomi/moushikomi.html
支援士の出題範囲
情報処理安全確保支援士試験は出題範囲が広いことで知られています。おおまかには選択式の「午前問題」と記述式の「午後問題」に分けられます。
| 試験区分 | 科目名 | 試験時間 | 出題数 | 出題形式 | 合格点 | 配点 |
|---|---|---|---|---|---|---|
| 情報処理安全確保支援士試験 | 午前Ⅰ | 50分 | 30問 | 四肢択一 | 60点 | 100点 |
| 情報処理安全確保支援士試験 | 午前Ⅱ | 40分 | 25問 | 四肢択一 | 60点 | 100点 |
| 情報処理安全確保支援士試験 | 午後 | 150分 | 4問 | 記述式 | 60点 | 100点 |
午前Ⅰの出題範囲
午前Ⅰの試験は他の情報処理技術者試験と共通する問題が 30 問出題されます。
午前Ⅱの出題範囲
午前Ⅱの試験は以下のテクノロジ分野、マネジメント分野から 25 問出題されます。
テクノロジ分野
9 データベース
1 データベース方式
データベースの種類と特徴,データベースのモデル,DBMSなど
2 データベース設計
データ分析,メタデータ,データベースの論理設計,データの正規化,データベースのパフォーマンス設計,データベースの物理設計など
3 データ操作
データベースの操作,データベースを操作するための言語(SQLほか),関係代数など
4 トランザクション処理
排他制御,リカバリ処理,トランザクション管理,データベースの性能向上,データへのアクセス制御など
5 データベース応用
データウェアハウス,データマイニング,分散データベース,リポジトリ,ビッグデータなど
10 ネットワーク
1 ネットワーク方式
ネットワークの種類と特徴(WAN/LAN,有線・無線,センサーネットワークほか),インターネット技術,回線に関する計算,パケット交換網,QoS,RADIUSなど
2 データ通信と制御
伝送方式と回線,LAN間接続装置,回線接続装置,電力線通信(PLC),OSI基本参照モデル,メディアアクセス制御(MAC),データリンク制御,ルーティング制御,フロー制御など
3 通信プロトコル
プロトコルとインタフェース,TCP/IP,HDLC,CORBA,HTTP,DNS,SOAP,IPv6など
4 ネットワーク管理
ネットワーク仮想化(SDN,NFVほか),ネットワーク運用管理(SNMP),障害管理,性能管理,トラフィック監視など
5 ネットワーク応用
インターネット,イントラネット,エクストラネット,ネットワークOS,通信サービス,LTE,5G,モバイル通信技術など
11 セキュリティ
1 情報セキュリティ
情報の機密性・完全性・可用性,多層防御,脅威,マルウェア・不正プログラム,脆弱性,不正のメカニズム,攻撃者の種類・動機,サイバー攻撃(SQLインジェクション,クロスサイトスクリプティング,DoS攻撃,フィッシング,パスワードリスト攻撃,標的型攻撃,AIを悪用した攻撃ほか),暗号技術(共通鍵,公開鍵,秘密鍵,RSA,AES,ハイブリッド暗号,ハッシュ関数ほか),認証技術(デジタル署名,メッセージ認証,タイムスタンプほか),利用者認証(利用者ID・パスワード,多要素認証,パスワードレス認証,アイデンティティ連携(OpenID,SAML)ほか),生体認証技術,公開鍵基盤(PKI,認証局,デジタル証明書ほか),政府認証基盤(GPKI,ブリッジ認証局ほか)など
2 情報セキュリティ管理
情報資産とリスクの概要,情報資産の調査・分類,リスクの種類,情報セキュリティリスクアセスメント及びリスク対応,情報セキュリティ継続,情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程),ISMS,情報セキュリティ管理策(組織的管理策,人的管理策,物理的管理策,技術的管理策),情報セキュリティ組織・機関(CSIRT,SOC(SecurityOperationCenter),エシカルハッカーほか),コンピュータ不正アクセス対策基準,コンピュータウイルス対策基準,PCIDSSなど
3 セキュリティ技術評価
ISO/IEC15408(コモンクライテリア),JISEC(ITセキュリティ評価及び認証制度),JCMVP(暗号モジュール試験及び認証制度),CVSS,脆弱性検査,ペネトレーションテストなど
4 情報セキュリティ対策
情報セキュリティ啓発(教育,訓練ほか),組織における内部不正防止ガイドライン,マルウェア・不正プログラム対策,ランサムウェア対策,不正アクセス対策,情報漏えい対策,アカウント管理,ログ管理,脆弱性管理,入退室管理,アクセス制御,侵入検知/侵入防止,検疫ネットワーク,携帯端末(携帯電話,スマートフォン,タブレット端末ほか)のセキュリティ,クラウドサービスのセキュリティ,IoTのセキュリティ,AIを使ったセキュリティ技術,AIそのものを守るセキュリティ技術,セキュリティ製品・サービス(ファイアウォール,WAF,DLP,SIEMほか),デジタルフォレンジックスなど
5 セキュリティ実装技術
セキュアプロトコル(IPsec,SSL/TLS,SSH,WPA3ほか),認証・認可技術(SPF,DKIM,SMTP-AUTH,OAuth,DNSSECほか),セキュアOS,ネットワークセキュリティ,データベースセキュリティ,アプリケーションセキュリティ,コンテナセキュリティ,セキュアプログラミングなど
12 システム開発技術
1 システム要件定義・ソフトウェア要件定義
システム要件定義(機能,境界,能力,業務・組織及び利用者の要件,設計及び実装の制約条件,適格性確認要件ほか),システム要件の評価,ソフトウェア要件定義(機能,境界,能力,インタフェース,業務モデル,データモデルほか),ソフトウェア要件の評価,UXを考慮した要件の定義など
2 設計
システム設計(ハードウェア・ソフトウェア・サービス・手作業の機能分割,ハードウェア構成決定,ソフトウェア構成決定,システム処理方式決定,データベース方式決定ほか),システム統合テストの設計,アーキテクチャ及びシステム要素の評価,ソフトウェア設計(ソフトウェア構造とソフトウェア要素の設計ほか),インタフェース設計,UXデザイン,ソフトウェアユニットのテストの設計,ソフトウェア統合テストの設計,ソフトウェア要素の評価,ソフトウェア品質,レビュー,ソフトウェア設計手法(プロセス中心設計,データ中心設計,構造化設計,オブジェクト指向設計ほか),モジュールの設計,部品化と再利用,アーキテクチャパターン,デザインパターンなど
3 実装・構築
ソフトウェアユニットの作成,コーディング標準,コーディング支援手法,コードレビュー,メトリクス計測,デバッグ,テスト手法,テスト準備(テスト環境,テストデータほか),テストの実施,テスト結果の評価など
4 統合・テスト
統合テスト計画,統合テストの準備(テスト環境,テストデータほか),統合テストの実施,検証テストの実施,統合及び検証テスト結果の評価,チューニング,テストの種類(機能テスト,非機能要件テスト,性能テスト,負荷テスト,セキュリティテスト,回帰テストほか)など
5 導入・受入れ支援
導入計画の作成,導入の実施,受入れレビューと受入れテスト,納入と受入れ,教育訓練,利用者用文書類,妥当性確認テストの実施,妥当性確認テストの結果の管理など
6 保守・廃棄
保守の形態,保守の手順,廃棄など
13 ソフトウェア開発管理技術
1 開発プロセス・手法
ソフトウェア開発モデル,アジャイル開発,DevOps,ローコード/ノーコード開発,ソフトウェア再利用,リバースエンジニアリング,マッシュアップ,構造化手法,形式手法,ソフトウェアライフサイクルプロセス(SLCP),プロセス成熟度など
2 知的財産適用管理
著作権管理,特許管理,保管管理,技術的保護(コピーガード,DRM,アクティベーションほか)など
3 開発環境管理
開発環境稼働状況管理,開発環境構築,設計データ管理,ツール管理,ライセンス管理など
4 構成管理・変更管理
構成識別体系の確立,変更管理,構成状況の記録,品目の完全性保証,リリース管理及び出荷など
マネジメント分野
15 サービスマネジメント
1 サービスマネジメント
サービスマネジメント,サービスマネジメントシステム,サービス,サービスライフサイクル,ITIL2),サービスの要求事項,サービスレベル合意書(SLA),サービス及びサービスマネジメントシステムのパフォーマンス,顧客,サービス提供者など
2 サービスマネジメントシステムの計画及び運用
サービスマネジメントシステムの計画,サービスマネジメントシステムの支援(文書化した情報,知識ほか),サービスポートフォリオ(サービスの提供,サービスの計画,サービスライフサイクルに関与する関係者の管理,サービスカタログ管理,資産管理,構成管理),関係及び合意(事業関係管理,サービスレベル管理,供給者管理),供給及び需要(サービスの予算業務及び会計業務,需要管理,容量・能力管理),サービスの設計・構築・移行(変更管理,サービスの設計及び移行,リリース及び展開管理),解決及び実現(インシデント管理,サービス要求管理,問題管理),サービス保証(サービス可用性管理,サービス継続管理)など
3 パフォーマンス評価及び改善
パフォーマンス評価(監視・測定・分析・評価,内部監査,マネジメントレビュー,サービスの報告),改善(不適合及び是正処置,継続的改善)など
4 サービスの運用
システム運用管理,運用オペレーション,サービスデスク,運用の資源管理,システムの監視と操作,スケジュール設計,運用支援ツール(監視ツール,診断ツールほか)など
5 ファシリティマネジメント
設備管理(電気設備・空調設備ほか),施設管理,施設・設備の維持保全,環境側面など
16 システム監査
1 システム監査
システム監査の体制整備,監査人の倫理,監査の独立性と客観性の保持,監査の能力及び正当な注意と秘密の保持,システム監査の計画・実施・報告・フォローアップ,システム監査基準,システム監査技法,監査証拠,監査調書,情報セキュリティ監査,監査による保証又は助言など
2 内部統制
内部統制の意義と目的,内部統制の限界,内部統制報告制度,ITへの対応(IT環境への対応,ITの利用,ITに係る全般統制,ITに係る業務処理統制),CSA(統制自己評価)など
午後の出題範囲
午後の試験は 4 問出題され、そのうち 2 問を選択して解答します。午後の出題範囲を以下に挙げます。
1 情報セキュリティマネジメントの推進又は支援に関すること
情報セキュリティ方針の策定,情報セキュリティリスクアセスメント(リスクの特定・分析・評価ほか),情報セキュリティリスク対応(リスク対応計画の策定ほか),情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の策定,情報セキュリティ監査,情報セキュリティに関する動向・事例の収集と分析,関係者とのコミュニケーションなど
2 情報システムの企画・設計・開発・運用におけるセキュリティ確保の推進又は支援に関すること
企画・要件定義(セキュリティの観点),製品・サービスのセキュアな導入,アーキテクチャの設計(セキュリティの観点),セキュリティ機能の設計・実装,セキュアプログラミング,セキュリティテスト(ファジング,脆弱性診断,ぺネトレーションテストほか),運用・保守(セキュリティの観点),開発環境のセキュリティ確保 など
3 情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること
暗号利用及び鍵管理,マルウェア対策,バックアップ,セキュリティ監視並びにログの取得及び分析,ネットワーク及び機器(利用者エンドポイント機器ほか)のセキュリティ管理,脆弱性への対応,物理的セキュリティ管理(入退管理ほか),アカウント管理及びアクセス管理,人的管理(情報セキュリティの教育・訓練,内部不正の防止ほか),サプライチェーンの情報セキュリティの推進,コンプライアンス管理(個人情報保護法,不正競争防止法などの法令,契約ほかの遵守) など
4 情報セキュリティインシデント管理の推進又は支援に関すること
情報セキュリティインシデントの管理体制の構築,情報セキュリティ事象の評価(検知・連絡受付,初動対応,事象をインシデントとするかの判断,対応の優先順位の判断ほか),情報セキュリティインシデントへの対応(原因の特定,復旧,報告・情報発信,再発の防止ほか),証拠の収集及び分析(デジタルフォレンジックスほか) など
問題の例
午前の過去問は「情報処理安全確保支援士ドットコム」の「過去問道場」で見ることができます。
合格率と学習時間
資格予備校の TAC によると、支援士を独学で合格する場合は100~600時間の学習時間が必要との事です。合格者の平均年齢は34.8歳です。過去には14歳の中学3年生が合格した事があります。
| 試験名 | 合格率 | 勉強時間 |
|---|---|---|
| 情報処理安全確保支援士試験 | 20% | 100~600時間 |
まとめ
この記事では、情報処理安全確保支援士試験の概要と出題内容、過去問を紹介しました。情報処理安全確保支援士試験は、情報セキュリティに関する深い知識と技能を持つことを証明する国家資格です。現代のデジタル社会では、インターネットを使う際のセキュリティ対策が非常に重要で、この試験に合格することで、その専門家としてのスキルを認められます。
参考文献
情報処理推進機構 > 試験要綱 Ver.5.3