「情報処理技術者試験。H28年度春期からの“情報セキュリティマネジメント試験”と，SC試験合格者“登録制度”の動向」

「情報処理技術者試験。H28年度春期からの“情報セキュリティマネジメント試験”と，SC試験合格者“登録制度”の動向」

1. 1. ©2015 MURAYAMA, NAOKI 下記テーマで10分以内で, お時間を頂きたく。 ! 「情報処理技術者試験。H28年度春期か らの“情報セキュリティマネジメント試験” と，SC試験合格者“登録制度”の動向」 2015/10/25 村山 直紀 (MURAYAMA, NAOKI) 発表者 Twitter @MurayamaNaoki 於 電気通信大学（UEC）新C棟303教室 1 Dentoo.LT #12 http://dentoo.lt/ ハッシュタグ #dentoolt
2. 2. 新設の「情報セキュリティマネジメント試験」とは？ 出題のレベル，対象者像，試験の体裁など。 「情報セキュリティスペシャリスト試験」合格者の 登録（＆更新）制度。その動向は？ これは，おそらくはH28年度からスタート。 【時間があれば】これらについて産業構造審議会 では，どのような話がなされたのか，傍聴しました。 産業構造審議会 商務流通情報分科会 情報経済小委員会 （含・IT人材ワーキンググループ） 2 ©2015 MURAYAMA, NAOKI こんなお話をします
3. 3. 本日のスライド資料 Twitter上のハッシュタグ #dentoolt を付けて, 下記 SlideShare の URL を告知しています。 SlideShare 【【村山覚書：URLを記す】】 また，YouTube Live で配信もして下さる，との こと。電気通信大学MMA様の根性に感謝。 ©2015 MURAYAMA, NAOKI
4. 4. 質疑応答の時間としますが，万が一，それでも 余れば下記のネタから即興で一つ。 案① 裁判員になってみた 案② 西荻窪「ササユリカフェ」に行ってみた 案③ また 試験の対策本 を書いてみた 4 ©2015 MURAYAMA, NAOKI それでも時間が余れば… 影の狙いは，この販促かもしれない。
5. 5. 大学院修了後も近所に住むおっさん 院試合格発表前に引越して来たから，もしも 落ちたら泣きながら住むことになっていた カフェインが苦手，かっぱえびせん派 本業はIT人材育成 資格試験の対策本をコリコリと書く日々 昨日の土曜に脱稿してとても嬉しい 金曜までは長崎のCSS2015に居たかった 5 ©2015 MURAYAMA, NAOKI 発表者の概要
6. 6. 気になるお話 一見“しょぼい”インシデン ト，特に人的・管理上の些細 なミスや緩みによる企業内 のノウハウ・トレードシークレッ トの漏洩が続いている現状 を政府（NISC,METI,…）は 大いに懸念。国際競争力の 相対的な低下を招いている 原因の一端とみて情報セキ ATOK Macが 全品15%オフ 中国、サイバー部隊統合へ　企業機密情報への脅威拡大 - SankeiBiz http://www.sankeibiz.jp/macro/news/151024/mcb1510240500012-n1.htm ©2015 MURAYAMA, NAOKI
7. 7. ATOKよりも 我が国の サイバーセキュリティ上 重要な話があるの。 ©2015 MURAYAMA, NAOKI7 …とくれば，
8. 8. 「資格でも とっておこうか」 ©2015 MURAYAMA, NAOKI8
9. 9. 国家試験 平成28年度春期開始予定 情報セキュリティマネジメント試験 9 ©2015 MURAYAMA, NAOKI と，いう訳で お話することにしました http://www.jitec.ipa.go.jp/sg/
10. 10. 試験の概要① 制度面 試験区分名「情報セキュリティマネジメント試験」 略号「SG」 Information Security Management Examination 「SM」は別の試験の略号（ITサービスマネージャ試験） 年2回（春期/秋期）の実施 通例，4月と10月の第3日曜。出願は試験の約3か月前 四肢択一50問の「午前」，多肢選択3問の「午後」 全てマークシート，「午後」は“（設問数6前後/1問）×3問” 試験時間は「午前」9:30〜11:00，「午後」12:30〜14:00 10 ©2015 MURAYAMA, NAOKI
11. 11. 試験の概要② 難易度 配点：「午前」2点/問，「午後」34点/問 ただし「午後」は100点を上限とする 「午前」「午後」共に60点以上で合格。部分合格制度なし 難易度：「レベル2」 「共通キャリア・スキルフレームワークのレベル 2 に相当」 これは「基本情報技術者（FE）試験」と同等 決して国家間のサイバー戦争の戦士レベルではなく… 「どこの職場にも20人に1人は居そうな“ITに詳しい人” （IPA原田様・談）」により，草の根レベルでの対策を図る 11 ©2015 MURAYAMA, NAOKI
12. 12. All Rights Reserved Copyright ©IPA2015 ところで、情報セキュリティ管理者って誰？ ・・・まわりにもいらっしゃいますよね？ 6 パソコン詳しそう だから頼む ちょっとうちの部⾨ のパソコン数えてセキュリティアップ デートしてくださーい セキュリティ委員会に 出てくれる？ 部⾨のセキュリティ 管理者になったけど何をしたら いいかわからない・・。 ああ、うちの 部⾨の○○ さん！ ！ 『情報セキュリティ人材育成〜「情報セキュリティマネジメント人材」の重要性と人材育成上のヒント〜[9/16差換]』 http://www.ipa.go.jp/files/000047797.pdf ©Information-technology Promotion Agency, Japan. 2015
13. 13. つまりは，ぶっちゃけ 13 この会場内の人なら 「明日，受けに行け！」 と言われても，学力上は 楽勝で受かるレベル ! 大敵は“起床試験” ©2015 MURAYAMA, NAOKI
14. 14. 組織における 内部不正防止ガイドライン 独立行政法人 情報処理推進機構 「学力上は楽勝」でも， 満点は困難 14 ©2015 MURAYAMA, NAOKI JIS Q 27002 2014 ISO/IEC 27002 2013 JSA 26 3 20
15. 15. そして，多くの人にとって 15 あと二つの大敵は ! 「“意味あんの？”の反応」! 「“過去問”がない！」 ©2015 MURAYAMA, NAOKI
16. 16. 意味は あります！ 16 ©2015 MURAYAMA, NAOKI 3 RT 4 Fav 12 RT 11 Fav
17. 17. ©2015 MURAYAMA, NAOKI17 ちょっと待って こっちのが賛同されてるし 2,890 RT 1,109 Fav
18. 18. 18 ©2015 MURAYAMA, NAOKI わかる〜 草はえる〜 ! けど 「意味は あります！」
19. 19. 残る大敵は 19 ①“起床試験”! 　→ そこは御自身で何とか ! ②「“過去問”がない！」! 　→ 村山直紀は考えてみた ©2015 MURAYAMA, NAOKI
20. 20. 「サンプル問題」は あります 1/2 ©2015 独立行政法人情報処理推進機構 問１ 情報セキュリティにおいて，業務で利用しているシステムに影響を与える事象 a〜 d のうち，脅威によって直接的に引き起こされたものだけを全て挙げたものはどれか。 a CD-ROM の劣化によって，保存しておいた顧客リストが利用できなくなる。 b 自然災害による停電や断水によって，システムが利用できなくなる。 c 定期的なメンテナンスによって，メンテナンス期間中はシステムが利用できな くなる。 d メールサーバの設定ミスによって，メールサーバと連携して動作する自動問合 せ業務システムが利用できなくなる。 ア a，b イ a，b，d ウ b，c エ c，d 問２ ディジタルフォレンジックスの活動に含まれるものはどれか。 ア インシデントの原因究明に必要となるデータの収集と保全 イ 自社システムを攻撃して不正侵入を試みるテストの実施 ウ 定期的なウイルスチェック エ パスワード認証方式からバイオメトリクス認証方式への切替え 問３ 電子的な文書ファイルの機密性を維持するために使用するセキュリティ対策技術 として，適切なものはどれか。 ア アクセス制御 イ タイムスタンプ ウ ディジタル署名 エ ホットスタンバイ 情報セキュリティマネジメント試験 サンプル問題（午前試験） 1/8 ©2015 独立行政法人情報処理推進機構 問１ 内部不正防止のためのログのレビューに関する次の記述を読んで，設問 1 〜 6 に 答えよ。 A 社は，高級化粧品を個人に販売しており，従業員は 100 人である。A 社は総務部， 情報システム部，購買部，営業部から成り，営業部には 60 人の従業員が属している。 営業部は企画課，営業 1 課 〜 4 課から構成される。営業部の IT 環境は次のとおりで ある。 ・営業部員は全員 A 社所有のノート PC を使用している。 ・社内ネットワークに接続された，スキャナ用の共用 PC が 1 台設置されている。 ・営業部員は，社外から社内のシステムを使用する際には，ノート PC をインターネ ット経由で A 社の VPN サーバに接続して使用している。 なお，A 社では，インターネットの使用を広く認めており，Web メールやファイ ル共有サービスなどを含め，サービスの使用を制限していない。 A 社では，顧客情報などの機密情報の漏えいを防ぐ目的で，退職後も一定期間有 効な損害賠償条項を含む機密保持契約を全従業員と締結している。 A 社では，営業部員が表計算ソフトを使用してノート PC で顧客情報を管理してい たが，顧客管理パッケージ（以下，B システムという）を社内に導入し，そこで集 約して管理することを決定した。B システムに関する方針は次のとおり定めた。 ・B システムの主管部門は営業部である。 ・B システムを使用するのは営業部だけである。 ・見込み客の登録から販売後のフォローアップまでを一貫して B システムによって 管理する。 ・B システムの導入及び運用は A 社の情報システム部が行う。 ・B システムは 2 か月後から使用開始する。 ・表計算ソフトを使用して管理していた顧客情報は B システムに移行後，ノート PC から削除する。 情報セキュリティマネジメント試験 サンプル問題（午後試験） ©Information-technology Promotion Agency, Japan. 2015 http://www.jitec.ipa.go.jp/sg/sample.html
21. 21. この試験は「レベル2」だから 「基本情報（FE）」の内， 過去10回ぶん位の， （広義の）情報セキュリティ 関連の出題だけを抜き 出して，やればOK！ 平均6割得点→ボーダー どれも6割得点→合格圏 ©Information-technology Promotion Agency, Japan. 2015 『情報処理技術者試験 試験要綱 Ver2.0』 p.20より
22. 22. 「情報セキュリティスペシャリスト試験」合格者の 登録（＆更新）制度。その動向は？ 意地でもH28年度からスタートさせるでしょう。 ! 産構審は，実施する方向で話を進めてきていた 合格者の登録・更新制度は，何年も前から，その話 が挙がっては立ち消えとなっていた。 流石に，もう行うべきだ，という話の流れであった。 9/29の「情報経済小委員会」の場では，SG試験 の実施も含め，委員からの特段の反対は無かった。 22 ©2015 MURAYAMA, NAOKI 次は，このお話
23. 23. 23 “登録制度”概要 IoT 『IoT社会に向けたデータ利活用施策及びサイバーセキュリティ戦略を受けた今後の対応』 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/pdf/006_02_00.pdf
24. 24. 主な対象者 情報セキュリティスペシャリスト試験合格者 !更新制度 目的：最新の専門的な知識・技能の習得や資質の維持・向上 規模：2020年に3万人超 3年ごとに更新 登録者の活用に関する施策の実施 主な要件：情報セキュリティスペシャリスト試験の一部再受験 最新の知識や技能に関する講習の受講 24 p.17「登録制度の概要」① 「速効サプリⓇ」が お役に立ちます！
25. 25. 登録簿公開 業務経歴による検索機能 ! !登録者コミュニティ 最新のインシデント情報の提供 コミュニティ参加者同士の切磋琢磨 25 p.17「登録制度の概要」②
26. 26. 「情報セキュリティスペシャリスト試験」 の勉強会，やりたいな！ 近日（12月頃？）発売予定の書籍は， 「情報セキュリティスペシャリスト試験」 の“マネジメント系”にも，役立つらしい。 26 ©2015 MURAYAMA, NAOKI で，村山が本当は 言いたかったことは？ ご清聴ありがとうございました 質疑応答タイム