情報セキュリティマネジメント試験に合格した

まるです。

昨年12月に、情報セキュリティマネジメント試験という資格試験に合格しました。
自分の所属する会社では、資格を取得した際に報奨金が出るのですが、それを受け取る条件として何かしらの形でのアウトプットを求められるので、こうして記事を書いています。

この記事では、試験の概要や、自分が勉強時や実際に試験を受ける際に意識したこと、反省点を書いておこうかと思います。
何かしらの参考になれば幸いです。

また、今回の記事は2022年12月時点に受験した際の情報を記載しています。もしかすると出題方式など変わっているかもしれませんので、ご注意ください。

情報セキュリティマネジメント試験とは？

IPA公式サイト

情報セキュリティマネジメント試験は、IPAが実施する国家試験の一つです。この資格試験ができた背景は公式を見ていただければわかりますが、要約すると「IT発達してめちゃ便利になった！その分セキュリティも意識しないとね！じゃあ社会全体のセキュリティ意識やスキルを向上させるための試験作ろう！」って感じに作られた試験のようです。

開発者限定というわけではなく、業務で個人情報を扱ったりする人は勉強しておいて損はない、くらいの認識です。

試験は午前試験と午後試験に分かれており、現在はCBT方式と呼ばれる方法で試験を受けることができます。
午前試験と午後試験について、それぞれ受験する数日前にインターネットから申し込みを行い、指定した試験会場で受験を行います。CBT方式となる前は1日で午前試験と午後試験を受験する必要がありましたが、現在は別日に試験を受けることが可能です。

受験勉強開始時のスペック

スタートラインは人によって異なると思うので、今回は一例ということで自分の勉強開始時のスペックを晒しておきます。

自分は基本情報技術者と応用情報技術者については既に合格済みの状態でした。ただ、どちらも二年以上前に合格した状態で、一部の知識が抜け落ちている状態です。
基本情報技術者は60点ギリギリで、応用情報技術者については70 ~ 80点程度で合格していたような気がします。応用情報はともかく基本情報が酷過ぎてわろた。

自分はフロントエンドエンジニアとして一年弱実務を行っており、どのくらいセキュリティに精通しているかというと、ある攻撃の内容や対策についてはある程度把握できている状態ではあるが、実際にそれを意識して開発できているのかというと「？」マークが浮かぶくらいのレベルです。要するに全然詳しくありません。

勉強時にやっていたこと・考えていたこと

情報セキュリティマネジメント試験の対策には、みなさん大好き過去問道場を利用させていただきました。（基本情報・応用情報でも非常にお世話になりました。いつもありがとうございます…！！！）

情報セキュリティマネジメントの午前試験では４択問題が60問出題されますが、その問題の大半が過去問題からの出題や、基本情報・応用情報の午前問題からの引用となっています。そのため、既に基本情報や応用情報の知識が一定量あるので午前問題はそこまで対策の必要がないのでは？と勉強時は考えていました。

その分、午後問題の対策に力を入れていたと思います。
情報セキュリティマネジメントの午後試験では大問形式で、1つの大問につき1つのケースを例とした、より応用的な問題が出題されます。
専門的な知識が求められるのかというと実はそうでもなく、午前問題が安定して解けるレベルであれば全然問題ないと思います。ただ、問題自体の文章量がとてつもなく多く、相応の読解力を求められる印象でした。

自分の対策の流れとしては、

1. 午前問題を解き、知識の下地を整える

2. 午後問題を解き、安定して問題の読解ができるようにする

3. 午後問題で間違った箇所の見直し

4. 1 ~ 3の繰り返し（後半からは午後問題のみ対策）

といった感じでサイクルを組んでいました。
また、自分は今回の試験対策に過去問道場のみを利用しましたが、できれば試験対策本を購入されることを推奨します。
理由として、CBT方式が導入されて以降の過去問題がネット上に公開されていないためです。そのため、最新の過去問を過去問道場から解答することができません。大抵の問題については過去問道場で事足りる気はしますが、最新の用語について知っておいて損はない（というより、知っておくべき）と思いますので、ぜひ試験対策本 + 過去問道場で対策をされると良いかと思います。

試験当日（午前試験）

というわけで試験当日のお話をします。
ここまで対策のお話をしましたが、結局自分は色々あって１ 〜 ２週間程度しか勉強していませんでした。わろす。

試験は朝起きた瞬間から始まるといっても過言ではありません。普段は４度寝常習犯な自分も、このような日ばっかりは余裕を持って起床。
ほどほどに朝ご飯を食べて試験会場に向かいました。

試験会場へは電車で40分程度かかりますので、それまでは過去問道場で過去問を解きながら時間を過ごしました。直前のタイミングで詰め込みすぎると悲惨なことになりがちなので、あまり意識しすぎず、願掛け程度の気持ちで解いていた気がします。

試験会場に入り、受付を済ませて試験開始。早速解き始めたのですが…
「何この単語？知らねぇ…😇」という状況が頻発しました。詳しい内容は載せられませんが、自分が見たことのないような単語が大量に出てきてしまい、面食らってしまいました。
「応用情報合格してるし、午前は余裕やろ！」という気持ちが油断を生んでいたような気がします。この時点で正直諦めていた（白目）

午前試験の結果

CBT方式の場合、受験終了後から１時間程度で結果がメールに送信されます。自分の午前試験の点数は74点でした。「少なくても80点は超えられるだろ！」という気持ちで望んでいただけに、割とショックだったのを覚えています。
とはいえ一応午前試験は合格ラインを突破しているので、ヨシ！

試験当日（午後試験）

午後試験は午前試験の3日後に受験しました。この3日間についても、今までと同様に午前で知識の下地を整えながら、午後問題を安定して読解できるよう練習を行いました。
ちなみに前日は勉強せず、しっかり音ゲーとサウナで整っていました。心身リフレッシュして臨むのも大事な要素ですよね。ね？

個人的な印象ですが、自分が受けた回の午後試験はそこまで難易度が高くなかったように思います。分からない単語が出るようなこともなく、落ち着いて問題を解くことができました。（自分が得意な分野が出ていただけかも）解きながら考えていたのですが、午後試験は落ち着いて問題を読む力が特に必要で、「この単語知らない！！あわあわ」となってしまっている段階の場合、午前試験の対策を優先して行うべきかもです。

午後試験で意識したいこととして、必要な情報と不要な情報の整理が挙げられます。午後試験は文章量が多いですが、6割は不要な文章と言っても過言ではない気がします。ここで不要な文章も併せて咀嚼しようとしてしまうと、とてもじゃないですが解答時間が足りないです。
そのため、必要な情報のみを文章から拾うことができるよう、自分は先に問題文から確認を行うようにしていました。

午後試験の結果

自分の午後試験の点数は86点で、結果的には午前試験より全然高い結果となりました。なんでや。
というわけで、無事合格。

反省点

試験自体は無事合格できました。
反省点として、「最新のセキュリティ事情に対するアンテナが足りていなかった」点が挙げられるな、と思ってます。
過去問については十分に対策できており、本番でもしっかり解答できていたのですが、それでも知らない単語が選択肢にある問題が頻発しており、かなり失点してしまいました。

受験者としては合格と言えても、開発者としては不合格と言わざるを得ないかも、と個人的には思ってます。これを機に、最新のセキュリティ事情にも関心を持って、しっかりアンテナを張っていきたいな…。

あとは単に油断しすぎ。🙅

午後試験については特に言うことなさそう。取れる問題を落ち着いて取ることができた結果なのでは、と思ってます🙆‍♂️

おわりに

モチベが出たら高度試験も頑張りたいな〜〜〜。
もしやるとして、とりあえずの予定は安全確保支援士。万が一合格したらまた記事を出すかもです。