どうも、現在試験勉強絶賛追い込み中の@kuronamaです。
情報セキュリティスペシャリスト
前回は情報処理技術者試験の概要について触れたが、今回は本題である情報セキュリティスペシャリストの概要について触れたい。
その前になんでわざわざこんな記事を書いているかについてちょっと書く。
現在はまだ概要レベルでしか触れていないのだが、次回辺りからは実際の試験に出るような内容について触れたいと思っている。
他人に分かりやすく説明するには当然自らも説明する内容について熟知していなければならないので、まぁこれも試験勉強の一環だったりする。
本当はもっと早くから始めれば良かったんだけど、試験範囲を一通り勉強するのに思ったより時間がかかってしまった…。
というわけで今回は概要について
概要
IPAの以下のページから引用すると、このように書いてある。
情報処理推進機構:情報処理技術者試験センター:情報処理技術者試験制度:制度の概要
対象者像
高度IT人材として確立した専門分野をもち、情報システムの企画・要件定義・開発・運用・保守において、情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し、又は情報システム基盤を整備し、情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者
試験の名前や昨今のネット上のセキュリティ意識の高まりからしてWeb系のセキュリティに特化したような資格かと思う人もいるかもしれない。だが実際の試験内容を見て貰うと分かるのだが、確かにWebサービス系のセキュリティの分野は大部分を占めているが、他の分野を蔑ろにしては合格できないくらいの比率にはなっている。
分野について分かりやすく説明するために、先日一通り終わらせたアイテックの参考書の章立てを引用しようと思う。
まず午前問題についてはこちら、後半はネットワーク関連の分野が多くなっている。
- 情報セキュリティの概念
- セキュリティ関連規格
- 脅威
- ハッシュ関数
- ディジタル署名
- 無線LAN
で、こちらが午後問題について。
- 企業のセキュリティマネジメント
- 認証とアクセスコントロール
- PKI
- 時刻認証
- VPN
- ファイアウォール・IDS・IPS・UTM
- サーバセキュリティ
- 電子メールのセキュリティ
- ICカード
- セキュアプログラミング
- 物理的セキュリティ対策
- ログ
- インシデント対応
- モバイル端末のセキュリティ
筆頭として取り上げられている「企業のセキュリティマネジメント」についてはISMS、情報セキュリティマネジメントシステムを中心とした章となっている。ソフトウェア会社やネットワーク系の会社以外でも、個人情報及び顧客情報を扱う企業(ほぼ全ての企業が当てはまるだろうが)としては要注目の内容となっている。
他にはPKI、公開鍵暗号基盤も非常に重要な分野であり、今では一般的に利用されているSSLやICカードなどに利用されている。
ちなみに上記の一覧の中で案外簡単そうに見える「電子メールのセキュリティ」についてだが、クライアントのメーラーレベルの内容は当然として、クライアント・サーバー間やサーバー同士でのメール転送におけるセキュリティの確保もテーマとなっているためそれなりの知識レベルが要求される。
まとめ
勉強終わって酒飲んだ後に書いてるのでだいぶざっくりした内容になったが、まぁだいたいこんな感じ。
応用情報までと比べると分野がセキュリティと区切られているので学習の的が絞れてやりやすいのだが、とにかく要求される知識レベルが高い。また午後問題では単純に単語だけ問われる問題はむしろ少なく、覚えた知識を元に問題文に書かれた事象に対して数十文字程度で解答する問題が多く出題されるため事象分析能力・読解力・作文能力も問われる。
次回は各分野について掘り下げて書きたいと思う。