情報セキュリティスペシャリスト試験
※ここでは後継の資格である
概要 編集
情報セキュリティスペシャリスト試験(略号SC、Information Security Specialist Examination、略称セキスペ)とは、平成21年度(2009年度)より実施されている情報処理技術者試験の区分の1つです。試験実施団体は、経済産業省所管の独立行政法人情報処理推進機構(IPA)IT人材育成センター国家資格・試験部(旧・情報処理技術者試験センター)です。
IPAが定めた情報処理技術者試験制度のスキルレベル4(スキルレベルは1から4が設定されています。)に相当する国家試験です。ちなみにスキルレベル4の試験区分は情報セキュリティスペシャリスト試験以外にもいくつか存在し、高度情報処理技術者試験と総称されます。
2006年(平成18年)度春期にシステム開発者向けのセキュリティの試験であるテクニカルエンジニア(情報セキュリティ)試験として年1回実施されるようになり、2009年(平成21年)度からは技術要素だけでなく管理(マネジメント)要素まで出題範囲を拡大した上で情報セキュリティスペシャリスト試験に改称しています。2009年以降は春期(4月第3日曜日)および秋期(10月第3日曜日)の年2回の実施となっています。
セキュリティの技術的な専門性を有することを認定する国家試験です。試験対象者には、情報セキュリティの専門家として、情報システムの開発プロジェクトや運用プロセスにおける技術面の支援および、企業の情報セキュリティ管理の品質を維持・向上する情報セキュリティマネジメントの実践能力も求められます。暗号化技術やサイバー攻撃対策といった情報セキュリティの一般知識に加えて、セキュアプログラミング、ネットワークセキュリティなどといった要素技術も問われます。
情報セキュリティ対策の需要と比例する形で試験の人気も上昇傾向が続き、高度情報処理技術者試験の中では最も受験者数が多い区分となっています。
情報処理安全確保支援士 編集
2017年春以降は情報処理安全確保支援士(略号RISS、Registered Information Security Specialist、別名登録情報セキュリティスペシャリスト)という登録制の国家資格に生まれ変わりましたが、試験内容は従来の情報セキュリティスペシャリスト試験とほぼ同じです。
重要インフラ事業者や、国家安全保障にかかわる重要技術を持つ企業へのサイバー攻撃は、ひとたび発生すれば、国民の生命や社会システム全体に甚大な被害が発生する可能性があり、国家として対応を強化すべき課題です。サイバーセキュリティ対策の中核人材の育成、人材の見える化と質の担保の措置として情報処理安全確保支援士が新設されました。
なお、情報処理安全確保支援士には独占業務(この資格を持っていなければ就けない職種)はありませんが、名称独占資格ではあるため、この資格を持っていない者が勝手に情報処理安全確保支援士を名乗ると、逮捕・刑事罰につながります。
難易度 編集
合格率は例年10%台ですが、受験者の大部分は既に下位区分の応用情報技術者試験(スキルレベル3)や基本情報技術者試験(スキルレベル2)に合格できる実力を有している場合が多いため、難易度は相対的に高くなっています。試験の水準は高く、民間資格を含め、日本国内で実施されるセキュリティに関する資格試験では最難関にあたり、実務経験者であっても合格するのは難しい試験として広く認知されています。
しかし、スキルレベル4の試験区分(高度情報処理技術者試験)の中では、情報セキュリティスペシャリスト試験は最も難易度が低いと言われることもあります。スキルレベル4の試験としては唯一、応用情報技術者試験や基本情報技術者試験と同様に年2回実施されることが一番の理由ですが、午後試験ではネットワークスペシャリスト試験やデータベーススペシャリスト試験ほどの技術的知識は要求されず、ある程度の読解力があれば解答できる問題が多いことがあげられます。また、プロジェクトマネージャ試験やシステムアーキテクト試験、ITサービスマネージャ試験のような論述式課題(小論文)も課されないため、難易度が高いとはいえ市販の参考書を活用することで合格を狙うことは十分可能だと言われています。
本試験は年2回実施ということもあり、スキルレベル4の試験区分の中で最も受験者数が多いです。応用情報技術者試験の合格者がステップアップとして次に受験することが多い区分でもあります。
なお、似たような名称の試験区分として、スキルレベル2の情報セキュリティマネジメント試験がありますが、情報セキュリティスペシャリスト試験のほうが難易度は格段に高いです。
形式 編集
午前I、午前II、午後I、午後IIの四部構成です(ただし午前Iのみ免除制度があります。)。4科目(午前I免除の場合は3科目)全てが正解率60%以上の場合のみ合格となり、晴れて情報セキュリティスペシャリストの国家資格を得ることができます(逆に言えば、例えば午前I、午前II、午後Iで100点満点を獲得できたとしても、午後IIで59点しか取れなかった場合は不合格となってしまいますので注意してください。)。
午前I 編集
試験時間は50分です。四肢択一式(マークシート使用)で30問出題されます。全ての問題が必須解答です。午前I科目の問題は、同時間に開催される他の高度情報処理技術者試験の区分との共通問題です。
情報処理技術者試験制度におけるスキルレベル3(応用情報技術者試験の午前の部とほぼ同じくらいの難易度です)に相当する、テクノロジ系、マネジメント系、ストラテジ系の3分野の知識が問われます。
スキルレベル3なので出題内容の水準はそれほど高くはありませんが、とにかく範囲が広いので注意が必要です。セキュリティと関連の薄い経営戦略や企業活動、プロジェクトマネジメントなども含む問題が出題されます。
なお午前I科目に関しては免除制度があります(後述)。午前I試験は範囲がとても広いため、先に午前I試験の免除を受けてからそれ以降(午前II、午後I、午後II)の対策に集中すると効率が高まります。
午前II 編集
試験時間は40分です。四肢択一式(マークシート使用)で25問出題されます。全ての問題が必須解答です。情報セキュリティシステムの開発並びに情報処理システムおよびこれを用いる業務におけるセキュリティ管理に関する専門的知識が問われます。
出題対象となる範囲としては、セキュリティおよびネットワークに関する領域が重点分野(情報処理技術者試験制度におけるスキルレベル4に相当します)ですが、関連領域であるデータベース、開発技術、サービスマネジメントもスキルレベル3相当の扱いで含まれます。
分野ごとの出題比率としては、例年、セキュリティ分野から15問程度、ネットワーク分野から5問程度、その他関連領域から5問程度出題されています。なお、出題内容に類似性があるネットワークスペシャリスト試験の午前IIで過去に出題されたことのある問題がこの試験で再出題されることが時々あります。
午後I 編集
試験時間は90分です。中規模の問題が3問出題され、そのうち2問を選択して解答します。
従来、3題のうち1題はセキュアプログラミングの問題が出題されていました。言語はC++、Java、ECMAScript(2012年春期から)のいずれかでした(2011年秋期まではPerlも出題対象に含まれていました。)。受験者個人が言語を選択できる基本情報技術者試験と異なり、いずれの言語にも対応できなければなりませんでした。一般的にプログラミング未経験者がセキュアプログラミングの問題を選択することは推奨されませんでした。そのため、セキュアプログラミングを回避する場合は実質2問が必須解答となっていたのです。
近年ではセキュアプログラミングは出題されなくなっています。
午後II 編集
試験時間は120分です。情報漏洩対策、公開鍵基盤、アクセス制御などを扱う大規模な事例解析問題が2問出題され、1問を選択して解答します。正解率60%以上で合格です。
科目免除 編集
午前I科目に関しては免除制度があります。利用条件は以下のいずれかです。
- 過去2年以内に応用情報技術者試験で午前、午後ともに合格していること。
- 過去2年以内にいずれかのレベル4の区分(高度情報処理技術者試験)に合格していること。
- 過去2年以内にいずれかのレベル4の区分(高度情報処理技術者試験)の午前Iで60点以上獲得していること(最終的に当該区分の午前II、午後I、午後IIで不合格になってしまっても構いません。)。