一般記事

「情報セキュリティマネジメント試験」の問題から学ぶ情報セキュリティ

この記事を読むのに必要な時間:およそ 3 分

情報セキュリティマネジメント試験とは?

去る2019年4月21日,情報セキュリティマネジメント試験(以下,SG試験)が行われました。SG試験は国家試験情報処理技術者試験のうちの1つです。ITの安全な利用・活用の推進を目的に,幅広い職種の人を対象に行われている試験です。年に2回,春期(4月第3日曜日)と秋期(10月第3日曜日)に行われます。

試験は午前と午後に分かれており,それぞれ100点満点中60点を取れれば合格です。午前は四肢択一の多肢選択式で,情報セキュリティと法務が重点分野として出題されます。午後も多肢選択式ですが,5〜7ページ程の文章から出題される形式となっており,選択肢が4つを超える問題もあります。

IPA(独立行政法人 情報処理推進機構)の発表によると,今年は13,000人以上が受験し,そのうちの約7,000人が合格を果たしました。

情報セキュリティマネジメント試験の試験形式と配点

情報セキュリティマネジメント試験の試験形式と配点

試験の意義と情報セキュリティの重要性

ところで,SG試験は2016年に新設された比較的新しい試験です。どうしてこの試験が新設されたのでしょうか。

この試験が新設された時期は,大量の個人情報漏洩が立て続けに起こりました。情報セキュリティが重要であるという認識が日本国内で一気に広まるなかで,SG試験は生まれたのです。

情報セキュリティ対策を浸透させたり,何かあったときに迅速に連携したりするために,情報セキュリティ担当者を各部署に配置するという組織も珍しくなくなりました。しかし,情報セキュリティに詳しい人材は社会的に不足しています。配置される担当者が情報セキュリティに詳しくないケースも少なくありません。また,現実問題として,情報セキュリティの脅威にはITに詳しい人だけでは対処できません。脅威への対処にはITに詳しくない人の力が必要です。

SG試験が生まれた背景にはこうした状況があります。人材のスキルを培うための手段として,資格試験は有効です。情報セキュリティについては,情報セキュリティスペシャリスト試験(現在の情報処理安全確保支援士試験)が当時からあったものの,あくまでIT技術者向けでした。そのため,IT技術者でもない人が情報セキュリティを勉強するには,適切な教材がありませんでした。対して,SG試験はむしろITに詳しくない人こそが対象者です。

SG試験は,情報セキュリティ担当者として何をどの程度を知っておけばよいのかという指標になります。また,実際に起こった事例をもとにした問題も出題されますので,⁠経験のない自分でも大丈夫だろうか」といったセキュリティ担当者になることへの不安を払拭するのにも役立つでしょう。

試験問題を解いてみよう 事例1「ランサムウェア」

ここからは,実際の事例をもとにSG試験で出題された問題をいくつか見てみましょう。最初はランサムウェアを題材にした問題です。

感染したPCを使用不能にし,身代金を要求する。そのようなマルウェア(悪意あるソフトウェアの総称)をランサムウェアと呼びます。近年多くの被害が発生しているマルウェアの代表例です。

2018年7月にJPCERT/CCより公開されたレポートでは,国内の重要インフラ組織を含む全184組織にとったアンケートの結果,35%の組織でランサムウェアの感染があったことが報告されました。一例として,2018年10月に起きた奈良県宇陀市立病院の事件があります。この病院では,ランサムウェアによって電子カルテシステムが約2日間にわたり使用できない被害が発生しました(※)

2017年5月に大流行したランサムウェア「WannaCry」

2017年5月に大流行したランサムウェア「WannaCry」

SG試験では,ランサムウェアに関連して,下記のような問題が出題されています(問題文と選択肢は一部簡略化しています⁠⁠。

[問題]

ランサムウェアの特徴として最も適切な選択肢を,次の【ア】【オ】の中から二つ選べ。

(選択肢)

【ア】感染経路が暗号化された通信に限定される点
【イ】感染後,組織内部のデータを収集した上でひそかに外部にデータを送信することが多い点
【ウ】端末がロックされたり,ファイルが暗号化されたりすることによって端末やファイルの可用性が失われる点
【エ】マルウェア対策ソフトが導入されていれば感染しない点
【オ】マルウェアに感染したPCの利用者やサーバの管理者に対して脅迫を行う点

(平成29年度春期 情報セキュリティマネジメント試験 午後問題 問1 設問1 ⁠2)を一部改変)

[解説]

ランサムウェアの特徴は,先述の通りPCなどの端末を「使用不能(=可用性が失われる⁠⁠」にし,PCの利用者に対して身代金の要求などの「脅迫」を行う点です。よって,ランサムウェアの特徴に当てはまるのは【ウ】【オ】です。

なお,⁠ア】は感染経路を挙げていますが,ランサムウェアの特徴とは関係がありません。⁠イ】については,ランサムウェアは情報の窃取を目的にしたものではないので,この問題の解答としては不適当です。また,⁠エ】については,未知のランサムウェアであれば,マルウェア対策ソフトを導入していても感染します。

著者プロフィール

庄司勝哉(しょうじかつや)

株式会社ラック
2012年に株式会社ラックに入社。金融機関のシステム基盤構築を担当しており,セキュリティ製品の導入支援なども行っている。アプリケーション開発にも精通しており,退社後や休日にはWebアプリケーションやスマートフォンアプリの開発を行っている。保持する資格は情報セキュリティスペシャリスト,データベーススペシャリスト,ネットワークスペシャリスト,情報セキュリティマネジメント他。


星代介(ほしだいすけ)

株式会社ラック
情報セキュリティコンサルタントを経て,現在は,ラックセキュリティアカデミーにて,インシデントレスポンス研修や演習型講習等の企画及び講師を担当。また,執筆活動や情報処理安全確保支援士の集合講習講師としての活動等を行っている。保有資格は,情報処理安全確保支援士,ネットワークスペシャリスト,CISSP,CompTIASecurity+他。

バックナンバー

2019

  • 「情報セキュリティマネジメント試験」の問題から学ぶ情報セキュリティ