情報セキュリティマネジメント試験とは?
去る2019年4月21日、情報セキュリティマネジメント試験(以下、SG試験)が行われました。SG試験は国家試験「情報処理技術者試験」のうちの1つです。ITの安全な利用・活用の推進を目的に、幅広い職種の人を対象に行われている試験です。年に2回、春期(4月第3日曜日)と秋期(10月第3日曜日)に行われます。
試験は午前と午後に分かれており、それぞれ100点満点中60点を取れれば合格です。午前は四肢択一の多肢選択式で、情報セキュリティと法務が重点分野として出題されます。午後も多肢選択式ですが、5〜7ページ程の文章から出題される形式となっており、選択肢が4つを超える問題もあります。
IPA(独立行政法人 情報処理推進機構)の発表によると、今年は13,000人以上が受験し、そのうちの約7,000人が合格を果たしました。
情報セキュリティマネジメント試験の試験形式と配点
試験の意義と情報セキュリティの重要性
ところで、SG試験は2016年に新設された比較的新しい試験です。どうしてこの試験が新設されたのでしょうか。
この試験が新設された時期は、大量の個人情報漏洩が立て続けに起こりました。情報セキュリティが重要であるという認識が日本国内で一気に広まるなかで、SG試験は生まれたのです。
情報セキュリティ対策を浸透させたり、何かあったときに迅速に連携したりするために、情報セキュリティ担当者を各部署に配置するという組織も珍しくなくなりました。しかし、情報セキュリティに詳しい人材は社会的に不足しています。配置される担当者が情報セキュリティに詳しくないケースも少なくありません。また、現実問題として、情報セキュリティの脅威にはITに詳しい人だけでは対処できません。脅威への対処にはITに詳しくない人の力が必要です。
SG試験が生まれた背景にはこうした状況があります。人材のスキルを培うための手段として、資格試験は有効です。情報セキュリティについては、情報セキュリティスペシャリスト試験(現在の情報処理安全確保支援士試験)が当時からあったものの、あくまでIT技術者向けでした。そのため、IT技術者でもない人が情報セキュリティを勉強するには、適切な教材がありませんでした。対して、SG試験はむしろITに詳しくない人こそが対象者です。
SG試験は、情報セキュリティ担当者として何をどの程度を知っておけばよいのかという指標になります。また、実際に起こった事例をもとにした問題も出題されますので、「経験のない自分でも大丈夫だろうか」といったセキュリティ担当者になることへの不安を払拭するのにも役立つでしょう。
試験問題を解いてみよう 事例1「ランサムウェア」
ここからは、実際の事例をもとにSG試験で出題された問題をいくつか見てみましょう。最初はランサムウェアを題材にした問題です。
感染したPCを使用不能にし、身代金を要求する。そのようなマルウェア(悪意あるソフトウェアの総称)をランサムウェアと呼びます。近年多くの被害が発生しているマルウェアの代表例です。
2018年7月にJPCERT/CCより公開されたレポートでは、国内の重要インフラ組織を含む全184組織にとったアンケートの結果、35%の組織でランサムウェアの感染があったことが報告されました。一例として、2018年10月に起きた奈良県宇陀市立病院の事件があります。この病院では、ランサムウェアによって電子カルテシステムが約2日間にわたり使用できない被害が発生しました(※)。
2017年5月に大流行したランサムウェア「WannaCry」
SG試験では、ランサムウェアに関連して、下記のような問題が出題されています(問題文と選択肢は一部簡略化しています)。
[問題]
[解説]
ランサムウェアの特徴は、先述の通りPCなどの端末を「使用不能(=可用性が失われる)」にし、PCの利用者に対して身代金の要求などの「脅迫」を行う点です。よって、ランサムウェアの特徴に当てはまるのは【ウ】と【オ】です。
なお、【ア】は感染経路を挙げていますが、ランサムウェアの特徴とは関係がありません。【イ】については、ランサムウェアは情報の窃取を目的にしたものではないので、この問題の解答としては不適当です。また、【エ】については、未知のランサムウェアであれば、マルウェア対策ソフトを導入していても感染します。
試験問題を解いてみよう 事例2「ビジネスメール詐欺」
情報セキュリティはマルウェアや不正アクセス対策に限った話ではありません。ビジネスメール詐欺(Business E-mail Compromise:BEC)という、組織を狙ったオレオレ詐欺のような脅威も存在します。
ビジネスメール詐欺は、取引先や経営者などになりすまし、メールで入金を誘導する詐欺の手口です。攻撃者は、標的の組織や従業員の情報をなんらかの方法により入手し、通常のビジネスメールと見分けがつかない文面やメールアドレスのメールによって、標的をだまそうとします。ビジネスメール詐欺は組織を標的にするため、金銭被害が高額になりやすく、組織にとっては被害発生時のインパクトが大きくなります。
2018年7月には、ビジネスメール詐欺にて米国の農業関連会社が約7,800万円の詐欺被害にあったことが報じられました。本件では日本国内の会社役員ら男女4名が逮捕されました(※)。
ビジネスメール詐欺に関連しては、下記のような問題が出題されています(問題文と選択肢は一部簡略化しています)。
[問題]
[解説]
この問題の正しい解答は[a]が【イ】、[b]が【カ】です。
偽メールに騙されないためのすぐに効果がある対策は、電話などの、メールではない手段で取引先に事実確認することです。ただし、メール内に記述されている電話番号は、攻撃者が用意した電話番号である可能性もあります。そのまま信用しないことが重要です。
また、電話で確認する対策を行うとすると、経理担当者の業務が増えてしまいます。どんな業務内容なのか、なぜ対策を行う必要があるかなど、教育をする必要があります。
試験問題を解いてみよう 事例3「内部不正」
「情報セキュリティ」と聞いて、どういったものを想像されるでしょうか。サイバー攻撃から情報システムを守ること、マルウェア感染を防ぐこと、多くの方はそのような印象を持つのではないでしょうか。たしかに、それも情報セキュリティの一要素です。しかし、脅威は組織の内部にも潜んでいます。組織の関係者による内部不正です。
近年、企業の従業員や公的機関の職員が機密情報を不正利用したり、売却したりという報道を目にする機会が多くなりました。たとえば、2018年には、岩手県八幡平市の職員が一時的に付与された管理者用パスワードを業務外目的で使用して、業務用パソコンから人事に関する情報を不正に閲覧し、懲戒処分を受けたという報道がありました(※)。
内部不正による被害は外部からの攻撃による被害よりも大きくなることがあり、情報セキュリティを確保する上で無視することはできません。SG試験でも、内部不正の事例がたびたび取り上げられており、その対策について問われています。下記がその一例です。
[問題]
[解説]
不正のトライアングルは、「動機・プレッシャ」、「機会」、「正当化」の3要素を指します。この3要素がすべて存在したときに不正が発生するとされています。
不正のトライアングル
各要素は以下を指します。
- ・動機・プレッシャ
- 他人に言えない経済的理由の心理的な要因、業務のプレッシャなど。
- ・機会
- 不正行為を秘密裏に行える環境。
- ・正当化
- 不正行為をしてもよいと自らを納得させる理由付け。
以上より、不正のトライアングルの構成要素を正しく説明しているのは【ア】になります。
終わりに
ほんの一部ではありましたが、SG試験の問題を見てみました。試験と現場には、どうしても乖離(ギャップ)があります。しかし、自分の業務に直接的に関係ないと感じることであっても、全体像を知る、一般論を知るというスタンスであれば、試験は良い機会になるでしょう。
最後に、SG試験を実際に受験するとしたら、どのような対策をとるのがよいのでしょうか。
現場では調べれば済むことであっても、試験対策としては、ある程度の用語を覚えておく必要があります。試験という特性上、傾向に慣れておかないと実力を発揮できない、という可能性もあるでしょう。
受験者にとって幸いなことに、SG試験では過去問と正しい解答が公開されており、ポイントとなる用語や傾向を分析することができます。過去問に取り組むことは、効率のよい試験対策として王道ですが、SG試験でも同様です。
ただし、IPAが公開している解答は、どの選択肢が正しいかはわかっても、何故正しいかまでは詳細に解説してくれません。この度刊行した『令和元年【秋期】情報セキュリティマネジメント パーフェクトラーニング過去問題集』では、各選択肢の正解・不正解の理由まで解説しています。この過去問題集が、試験対策として有効に働くだけでなく、現場の業務にも有益となることを願っています。
