情報セキュリティマネジメント試験の難易度と資格取得体験記

2017年7月5日2021年8月13日資格・スキル

今回は、伝統ある情報処理技術者試験の中でも、新しい資格である「情報セキュリティマネジメント」試験について紹介したいと思います。

情報処理技術者試験というと、IT業界の人が目指す専門性の高い技術系資格というイメージです。

しかし、この資格は、ほぼすべての会社員の人をターゲットにしています。

日常生活の中で、パソコンやスマホを使う人であれば、誰でも必要となるテーマが試験範囲となっています。

ITに苦手意識のある人でも、必要最低限の教養を身につける意味で挑戦してみてはいかがでしょうか。

資格の概要

「情報セキュリティをいかに確保するか。」

今や、組織にとって大きな経営課題ですが、標的型攻撃、内部不正などの多種多様な脅威は、「ITによる対策（技術面の対策）」だけではなく、適切な情報管理、業務フローの見直し、組織内規程遵守のための従業員の意識向上といった、「人による対策（管理面の対策）」についても、しっかりとした取り組みが重要になってきます。

そのための情報セキュリティマネジメントを担う人材の育成をいかに推進していくかが、社会全体での課題であると言えます。

「情報セキュリティマネジメント試験」は、このような社会ニーズの高まりを背景に、政府の「日本再興戦略（改定２０１５）」や経済産業省の産業構造審議会で示された方向性を踏まえて、国家試験「情報処理技術者試験」の新たな試験区分として創設されたものになります。

２０１６年の春期（４月）から試験が開始され、それ以降は、春期（４月）と秋期（１０月）の年２回が実施されています。

この試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して、組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験になっています。

情報処理技術者試験でいうところの、レベル２相当のスキルを認定する試験ということなので、基本情報技術者試験と同じ程度の難易度に設定されています。

試験は、午前と午後に分けて実施されます。

午前の試験は９０分で、マーク式（５０問）の１００点満点で実施されます。

午後の試験は９０分で、マーク式（大問３問）の１００点満点で実施されます。

午前も午後も６０点以上が合格ラインとなっており、両方ともクリアした場合に限り、試験合格ということになります。（午前と午後の合計点で評価されるのではないことに注意してください。午前だけが高得点でも合格できません。）

資格の難易度（客観的）

では、この資格の難易度を見ていきたいと思います。

一般的に、資格というものは、その人の経験や背景によって、難易度が異なってきます。

法律関連の仕事をしている人は法律系の資格はとっつきやすいですし、IT関連の仕事をしている人はIT系の資格は容易に感じられることでしょう。

しかし、その人にとって、新規分野の資格だと、入門資格でも、かなりの難易度に感じられることでしょう。

そこで、私は、資格取得の難易度を、次の５段階に分けて評価することにしました。

【S】超難関資格（資格を取得するまでに、３〜５年程度の期間を要するもの）

弁護士、公認会計士、その他サムライ資格など

【A】難関資格（資格を取得するまでに、１年程度の期間を要するもの）

英検１級、簿記１級、XX１級など

【B】中堅資格（資格を取得するまでに、６ヶ月程度の期間を要するもの）

英検２級、簿記２級、XX２級など

【C】入門資格（資格を取得するまでに、３ヶ月程度の期間を要するもの）

英検３級、簿記３級、XX３級など

【D】簡易資格（資格を取得するまでに、数週間程度の期間を要するもの）

XX４級、その他在宅受験資格など

この基準に従うと、情報セキュリティマネジメント試験の難易度は【C】入門資格に属しているのではないかと感じました。

IT分野には抵抗のある人でも、技術的なテーマはそれほど多くありませんので、比較的、勉強しやすい試験だと思います。

３ヶ月程度、問題集をこなしていけば、合格ラインには到達するものと思われます。

私の体験談（主観的）

私は、まだ学生だった頃（９０年代）に、第１種情報処理技術者、第２種情報処理技術者という資格を持っていました。

これらの資格は、今はもうありません。

紆余曲折を経て、第１種情報処理技術者は、応用情報技術者に、第２種情報処理技術者は、基本情報技術者に生まれ変わっています。

ただ、情報処理業界は変化がとても早いです。

昔の資格の知識はすぐに陳腐化してしまう、役に立たなくなります。

私が受験した９０年代の試験では、インターネットも一部のマニアしか使っていなかった時代でした。

スマホもなく、PHSを持っているかいないかといった状況でした。

最新の技術として、クライアント・サーバーモデルが試験問題として、よく出題されていたのを覚えています。

時代に合ったスキルを評価するものとして、頻繁に形を変えている情報処理技術者試験は、本当によくできているなぁと感心しています。

私は、ITを扱うコンサルタントだったので、最新技術の習得は必要不可欠でした。（エンジニアの立場だけでなく、ユーザの立場としても。）

このため、２０１７年４月（春期）に、新しい試験である、この試験の受験を決意したのです。

もともと、予備知識はあったため、試験の準備に使ったのは、下記の１冊だけになります。（２０２１年版に更新しました。）

徹底攻略情報セキュリティマネジメント過去問題集（令和2年度秋期） [ 五十嵐聡 ] 価格：1628円（税込、送料無料) (2021/3/7時点)

とりあえず、過去問が少なかったため、何が出題されるのかが興味津々でした。

この本は、サンプル問題や過去問題が丁寧な解説つきで掲載されていたため、私にとっては１冊で十分でした。

試験前の１ヶ月間くらい、空いている時間に目を通して、すべて読みきりました。

結果、午前試験は１００点満点中７２点、午後試験は１００点満点中８０点でクリアすることができました。

私の時は、合格率が７０％くらいでしたが、新しい資格ということで、合格率は、５０％から８０％まで、まだ変動が激しいようです。

私は、９０年代に類似の資格を取得していたにもかかわらず、それほど高得点はとれませんでした。

この試験にかかわらず、情報処理技術者試験全般に言えることですが、若い人（学生）と実務経験がある人（社会人）とでは、対策が全く異なるものだと思っています。

学生の人は、実務経験がないため、純粋に合格するための勉強を行うことになります。

午前試験のような最新用語を暗記したりするのは得意でしょう。

しかし、午後試験のような事例となるとイメージがわかず、どのように勉強したらいいのか分からないといった声をよく聞きます。

逆に、社会人の人は、実務経験が豊富なため、午後試験は、文章を隅から隅まで読まなくても、なんとなく事例のイメージはつきます。

このため、問題だけ読めば、回答を文中から探し出すだけの作業になります。

反面、午前試験のような最新用語を覚えることは、非常に厳しい作業になります。

情報セキュリティマネジメント試験に関して言えば、午前試験で覚えなければならない最新用語はそれほど多くありません。

あくまでユーザー側の立場での試験なので、それほど細かな技術は要求されていないのでしょう。

暗記が苦手な社会人の人でも、過去問題を数年分、目を通していれば、合格点には達するのではないかと思います。

これに対して、午後試験は、社会人の人であれば、対策することはあまりなさそうです。

国語力が苦手な人は、学生時代の現代文の復習をするのもいいかと思います。

この復習は、情報セキュリティマネジメント試験だけでなく、他の区分の情報処理技術者試験でも活用することができます。

学生の人は、過去問をじっくりと解いてみてください。

よく見ると、技術を問われているのではなく、国語の試験であることが分かります。

私は、この試験を機に、再び、情報処理技術者試験を受験し直してみようかと思っています。

最新用語や最新の技術に取り残されないためです。

ここからは、私の主観です。

９０年代と現在を比較してみると、技術面では、進化を遂げている分、現在のほうが圧倒的に理解すべきテーマが多いように感じます。

９０年代のネットワークスペシャリストは、私も普通に問題を解いていましたが、現在のネットワークスペシャリストは、用語を知らない分だけ、かなり難しく感じます。

このように、現在の試験の方が、覚えることは、はるかに多いと思います。

アルファベット３文字の嵐です。

しかし、試験自体は、昔のマニアックなイメージから、開放的なイメージに変化しており、同じ高度区分でも、現在のほうが、合格しやすいように感じます。

特に、現在の応用情報技術者と昔の第１種情報処理技術者を比べてみると、圧倒的に、応用情報技術者のほうが、合格しやすいように見えました。

第１種情報処理技術者試験は、アルゴリズムの連発で、問題数も多く、かなり難易度の高い試験だったような気がします。

合格率も年１回で１割程度だったような気がしています。

今度、機会があったら、このあたりを身をもって体感してみたいと思っています。