情報セキュリティマネジメント試験・午後試験対策

午後試験は、セキュリティに関する事例問題です。

SGの午後試験は、基本情報技術者に比べると、難易度はそれほど高くありません(文系の人にとっては)。

ただ、問題文が長いのと、選択肢の組み合わせが捻られている(結局全肢について正誤判断をする羽目になる)ため、問題を解くのに時間がかかるところがネックです。

問題が長くても、試験時間が長ければ、じっくり時間をかければ正解にたどり着けるのでしょうが、試験時間は1時間半しかないので、全問解ききれずに試験時間が終わってしまう人も結構多いようです。

今回は午後試験の対策について、どういうところに気を付けたらよいかを書いてみたいと思います。

スポンサーリンク

(前提)午前の知識問題対策をしっかりやる

午後試験は国語力の試験とは言われますが、そもそも情報セキュリティの技術等に関する知識がなければ解けない問題、逆に言うと知識がありさえすれば瞬殺できる問題も、1/3くらいあります。

知識が問われる問題については、午前の知識問題対策を通して、主な攻撃手法(特徴)とその対策法をセットで覚えるように勉強することで、午後試験でもある程度得点が稼げます。

午前試験と午後試験それぞれで60点以上取れれば合格ですが、午後試験対策を考慮すると、午前試験はできれば80点以上(40問以上正解)を目指して勉強するのが望ましいです。
それは、過去問題集を繰り返し勉強すれば、十分到達可能です。

勿論、過去問には載っていない、初めて聞くような言葉も出題されます。
H29春試験ではTor、H30秋試験ではMITB、H31春試験では、レッドチーム演習やサイバーキルチェーン、ダークwebなどが出題されました。

そのような問題は多分既存のテキストにも殆ど載っていないはずです。
ただ、新問が出題されるとしても、せいぜい2~3問程度なので、解けなくてもあまり気にしなくていいと思います。

でも、少なくとも、午前の知識問題でも出題されたことがある知識問題(=過去問題集に載っている問題)については、確実に解けるようにしておくことが大事です。

特に、「午前試験で合格点に届かない(あるいはギリギリ6割程度)+午後試験でも合格点に届かない」人は、セキュリティに関する基礎知識が不足しているがゆえに、午後試験の問題文の意味が正確につかみきれない、あるいは問題文の読解に余計な時間がかかってしまっているのではないでしょうか。

ですので、まずは午前試験で、余裕をもって合格点をとれるくらい午前の過去問をキッチリやっておく。

そのくらい知識を上積みすると、午後試験でも3~5問は正解を上乗せできるだろうし、問題文の読解もスムーズに出来るようになると思います。

過去問を通して問題文の長さと構成に慣れる

SGの午後問題は、問題文をじっくり読めば正解出来る問題が結構多いので、基本情報の午後試験に比べれば解きやすいです。

ちなみに、基本情報の午後試験のテクノロジ系問題は、知識のない人が読むと、本当に何言っているのかワケがわからなくて泣きたくなります。
(管理人も文系用の科目を選択してどうにか凌ぎましたw)

その点、SGの午後試験では、少なくとも「ちょっと何言ってるかわからないんですけど」みたいな問題は少ないはずです。

だからノー勉でも、午前試験の知識がそこそこあれば、現場思考でどうにかできてしまう人も結構多いんですよね。

ただ、問題文がかなり長いので(1問につき、問題文が6~8ページくらい、その後ろに設問が4~6ページ続く)、あんまり悠長に読んでいると、問題を解く時間が足りなくなってしまいます。
1時間半で大問3つ解くところがまた絶妙な時間配分になっている。

でも時間がないからといって、焦って早読みしすぎると、問題文の条件を見落として間違えてしまう。

なので、過去問を通して、問題文のどういう所がポイントになっているのか、どういうことが問われやすいか、どこで引っ掛けてくるのか、その傾向を掴む練習をしておくといいです。

出題されるジャンルを、ピンポイントでヤマを張るのは難しいですが、事例問題のストーリー構成と問題の作り方は、ある程度パターンが決まっています。

過去問を通して、その枠組みを頭に入れておくことで、読解にかかる時間も短縮できるはずです。

特に、午前試験では7~8割得点できているにもかかわらず、午後試験で惜しくも不合格になってしまった人は、午後試験の出題形式(問題文の構成や引っ掛け問題のパターン)に慣れることで、合格点が取れるようになると思います。

事例問題の問題構成の把握

午後試験の事例問題は、大雑把に言えば、
・現状説明(舞台となる会社の規模や事業内容、組織構成、情報セキュリティに関する担当部署・担当者など、会社と登場人物に関する説明)
・情報セキュリティに関する問題が発生した or 今後発生する恐れがあることが発覚した
・問題への対応
・対応に問題がないかどうか、今後の改善策の検討
・無事改善してめでたしめでたし(※ただの締めくくりなので、点数にはあまり関係ない)

という構成になってます。

そしてこの今後の改善策の検討の際には、その企業の規模や実情に即した、現実的な方法を選択するのがミソです。

「現実的な方法」というのは、問題文に書かれている制約条件を見落とさないこと。これが結構大事。

理想を言えば◎◎を採用するのがベストではあるけど、予算や期限の都合上、◎◎を導入するのは難しいため、今回は◇◇を採用する、といった具合です。
問題文中に「~は導入が難しいので見送る」など書かれている箇所があったら、そこは引っ掛けポイントで狙われやすいので要注意です。

午後試験対策はつい後回しになってしまいやすいですが、午前対策がある程度進んだ段階で、午後試験の過去問を一通りチェックしておくといいです。

そうすれば、午前試験の勉強でも「これは午後試験でも狙われそうだな」と、午後試験を兼ねた対策ができるようになるからです。

実質的には完全回答問題として考える

過去問を時系列でみていくと、試験ができた最初の年度の問題は易しめではあったものの、回数を重ねるごとに、組み合わせ問題の選択肢がだんだん捻られてきてるな~と感じました。

例えば、「(ⅰ)~(ⅳ)の文章のうち、該当するものだけを全て挙げた組み合わせを選べ」という問題があったとすると、
ア(ⅰ)
イ(ⅰ)(ⅱ)
ウ(ⅰ)(ⅱ)(ⅲ)
エ(ⅰ)(ⅱ)(ⅳ)
オ(ⅰ)(ⅲ)
カ(ⅰ)(ⅲ)(ⅳ)
キ(ⅰ)(ⅳ)
ク(ⅱ)(ⅲ)
ケ(ⅱ)(ⅳ)
コ(ⅲ)(ⅳ)

結局のところは、(ⅰ)~(ⅳ)すべての文章について正誤判断ができないと正しい選択肢にたどり着けないようになっているため、完全回答問題に近い精度での正誤判断が求められます。

しかもイヤらしいことに、「(ⅰ)が正しいのはわかるんだけど、(ⅲ)と(ⅳ)はどっちが正しいんだろう??」的な、最後の最後で選択に迷うように組み合わさっているという…。

つまりは、(c),(d)のどちらが正しいか、その微妙なところを正しく判断できる知識が必要…ともいえます。

なので、最近のSG試験を受けた人は、問題が解けなくて点数が取れなかったというよりも、手ごたえは悪くなかったけど、フタをあけたら思ったよりも点数が伸びなかった(残った2択で迷って外してしまった)人が結構いるんじゃないかと思います。

正誤の判断できないときは、問題文を最初から読み直す(条件の見落としがないかどうかを探す)

組み合わせ問題の解き方は、とりあえずは、確実に正誤の判断ができる選択肢を消去していくことで、正解にたどり着けるようにするしかないです。

選択肢を検討する際、どちらが正解なのか正誤の判断に迷うときは、問題文や図・表、注意書きにヒントが隠れていることも多いので、判断に迷った時は、問題文に戻って、ヒントがないかどうかを見直してみるといいと思います。

例えば、H31年春期試験では、「インシデント対応手順に沿った対応をしている選択肢(組み合わせ)」を選ぶ問題が出ました。


私はこの問題を見た時、「ノートPCのカバーを閉じる・閉じないで何が違うんだろう?」と一瞬引っかかりました。

そこでもう一度、問題文のインシデント対応手順の注意書きを見ると…
「通常のOS終了処理やスリープモードへの切り替えはせずに、機器側から電源ケーブルを抜くこと。NPCの場合は、電源ケーブルを抜いたうえでバッテリを外すことも含む」
とありました。


ここからわかることは、スリープモードや通常のOS終了はダメで、電源ケーブルを抜く&バッテリを外せってことだよな。
でもこれだけではまだ判断がつかない。


そこで、問題文を1ページ目から読み返したところ、1ページ目に「カバーを閉じると自動的にスリープモードに切り替わるように設定されている」と書かれているではないですか!

これで「カバーを閉じるとスリープモードに切り替わる→インシデント対応手順ではスリープモードへの切り替えをせずに電源を切ることになっている→カバーを閉じる対応は手順に沿っていない」と根拠をもって判断できたので、無事正解することができました。

なので、判断に迷った時(特にどちらでも正解なんじゃないか?これの一体どこが問題なのか?などと感じた時)は、問題文をもう一度読み直して、条件を見落としてないかを確認することをお勧めしたいです。

時事ネタの反映

午後の試験では、「時事ネタ」が反映された問題が出ます。
H30年春期試験では個人情報保護法の改正、H31年度春期試験では、twitter、LINEとLINE WORKSをモデルにした問題が出題されました。
また、ビットコイン、Tor、MITB、ダークウェブといった、最近のトレンドを反映した用語もところどころに散りばめられています。

※ダークweb:現代インターネットにおける「ダークウェブ」とは、特別なブラウザでしかアクセスできない、特定のWebサイト、Webサービス群を指しています。
最近よく見る「ダークウェブ」という言葉の意味を、皆さんは知っていますか? 「犯罪者用のネットワーク」「マルウェアが飛び交う回線?」「ダークネットと同じでは?」――これ、実は全部ハズレです。正しい知識を、一度おさらいしてみましょう。

※ビットコイン:仮想通貨
仮想通貨の一種であるビットコイン。では、オンラインゲームや特定のWebサイト内でのみ使われる一般的な仮想通貨とビットコインは何が違うのか、例を挙げながら解説します。

※Tor(トーア):The Onion Router(タマネギルーター)」の略。インターネット上での通信経路の特定を困難にすることで匿名通信を行う手法。また、そのためのソフトウエア。
デジタル大辞泉 - Torの用語解説 - 《the onion router》インターネット上での通信経路の特定を困難にすることで匿名通信を行う手法。また、そのためのソフトウエア。米国海軍研究所が開発したソフトウエアを元にオープンソース化したものがあり、無償で利用できる。名称は、オ...

おそらくLinkedIn、Tumblr、そしてDropboxのパスワードが、その辺りを漂っているという話を聞いたことがあるだろう。あるいは、ドラッグや他の違法商品を販売していたサイトSilk Roadを運営していた罪で、逮捕された男の物語を読んだことがあるかもしれない。たぶん「ダークウェブ」という言葉が見出しに踊る..

※MITB:攻撃者が、被害者のパソコンに感染させたマルウェアによって、被害者のパソコンで操作されるWebブラウザー上の通信内容を盗聴したり、改ざんしたりする攻撃

情報に対する攻撃手法などは、絶えず新しい手法が生み出されています。

新しいガジェットやアプリが流行れば、今までとは違ったセキュリティリスクも発生するでしょう。

問題文は、twitterやLINEを使ったことがない人でも問題が解けるように、そのアプリがどういうものなのか説明してくれていますが、普段から使い慣れている人と、全く触ったことがない人とでは、問題の読解速度や理解度も変わってくるはずです。

そういう意味では、最新のガジェット類やアプリなどを使ってみる(慣れておく)ことも、試験対策には回り巡って有効なのかもしれません。

あるいは、IPAのサイトで情報セキュリティに関するトピックスをチェックしておくことも有効でしょう。

情報処理推進機構(IPA)の「情報セキュリティ」ページです。

★総論に戻る
情報セキュリティマネジメント試験の勉強法についてまとめました。 受験当日日記 合格証書



コメント

  1. シーラ より:

    IPAの応用情報レベルまでの試験と、商工会議所の試験(簿記を除く)やビジネス・キャリア検定試験は、かなーり国語の試験という気がします。多くの答えやヒントが問題文や、「他問題」に書いてありますw
    ただ、予備知識がないと何がヒントや答えなのか判別できませんけどね。
    IPAの高度試験も、国語問題ですが、キーワードを知っていないと書けないものが多くて、ある程度の勉強は必要だと思います。
    とにかく、趣味でこの分野を広く学んでいた人には前日詰込み程度で楽勝、そうでない人には苦難の試験だと思います。

    • ヴェネ より:

      シーラさん
      お久しぶりです!

      高度試験苦戦してます
      楽勝で受かる人にコツ教えてもらいたいです。

      明日、一陸技受けてきます!
      仕上がりは…微妙です。

      受かれば
      免許法の
      別表4附則16を使って、
      裏技で
      工業(一種)の免許取ります!

      しかし…
      大阪は日本一教員免許出にくいです(別表1以外で)…


      http://kyosai2011.kakukaku-sikajika.com/takyoka.htm

      ほんと
      関東に移住したいです!

      みわさん
      掲示板使って申し訳ないです

      • miwa@管理人 より:

        >ヴェネさん
        それは是非、一陸技に合格できるよう頑張ってください!
        あと教員免許(工業)の申請もね(笑)
        教員免許の申請、東京で認められてるなら大阪だって認められてもいいと思うんですけどね…。

    • miwa@管理人 より:

      >シーラさん
      そうそう。問題文が長い試験ほど、問題文にヒントがあるので、そこをちゃんと拾っていけたら、ある程度得点できるように作られてるんですよね。
      というか問題解決に必要な情報を的確に拾えるかどうかを見ている試験…と考えれば、午後試験の問題は良くできていると思いますよ。
      とはいえ、情報処理の試験は、午前試験で余裕をもって合格点が取れるくらい勉強すれば、予備知識はほぼ身につくと思います。
      自分は、応用や高度は、午後試験よりもむしろ午前の知識問題(テクノロジ分野)が今一つ理解できなくてダメなんですが。

  2. りゅう より:

    ダークウェブって何やねん?(・∀・)

    もはや未知の世界w

    本日、大安ということもあり
    公害防止管理者の申込しました。

    3年前大阪 2年前名古屋 去年東京
    でしたので
    どこ行こうか迷いましたが

    京都に宿とることにしました(・∀・)
    え?

    10月5日は京都グルメと観光楽しんで
    6日の午前中に大阪入りします
    汚水処理特論(午後から試験)だけなので
    充分間に合います。

    試験終わったら、大阪から金沢に
    帰る予定です。

    公害防止管理者は完全に
    旅行目的になってるw
    (今年、最優先でリベンジしなきゃ試験でも
    ありますけどね)

    せっかく、遠出するなら
    楽しみもなきゃ←

    ヨメさんと子供は置いていきます(・∀・)

    • miwa@管理人 より:

      >りゅうさん
      ダークウェブ、本試験で初めて見たんですけど「なにこれ?」って思いましたよ。
      なんか中2病みたいな用語だなぁ…ってwww

      公害防止管理者のリベンジは、今年は大阪でやるんですね。
      京都はすっかり外国人観光客が多くなってしまったけど、せっかくですから観光を楽しんだらいいですよね。
      紅葉の時期はもうちょっと後になっちゃうけど、でも秋の京都はそれはそれで風情がありますし(miwaも高校の修学旅行を思い出します)

  3. 匿名 より:

     情報セキュリティマネジメント試験の午後問題は私にとってはとてつもなく難しいです。今でも完全に合格点を取れるのは第1回目の午後問題くらいですね。第6回目は26.5点しか取れませんでした。思い返せば学生時代も現代国語ではパッとした点数は取れませんでした。っていうか割と出来たのは歴史だけですかね…?

     あとは書店に行っても午後問題に対応したテキスト・問題集が無く苦しい勉強になりそうです。

     やはり美和(後輩)さんの言うとおり、午前問題を80点以上取れるようなくらい勉強するしか無いかも…けどそれもけっこう難しいですね。英略語とカタカナだらけで覚えにくいです。私とは相性悪い試験ですね。

    • KITAMURA より:

       名前が入っていませんでした。ご了承下さいKITAMURAです。

    • miwa@管理人 より:

      KITAMURAさん
      午後の文章題で国語力を使った解き方が苦手なら、午前試験対策をキッチリやる(知識でカバーする)のがいいと思いますよ。
      過去問はどの回でも満点が取れるくらいにやりこむと、午前試験でも80点前後は取れるようになると思いますし、そのくらい知識が入っていると、午後試験の問題文の読解力も向上すると思います。

  4. KITAMURA より:

     10月20日に、実に5回目のチャレンジになる情報セキュリティマネジメント試験を受験しましたが、今回は午前問題も難しく、自己採点でも60点しか取れませんでした。第6回の試験並みの難易度でしたかね…?逆に午後問題は、前回の46点よりは若干良さそうですが、1問目・2問目はまずまずの出来でしたが、3問目で集中力が途切れて残り時間も少なかった影響か10問中3問しか出来ず、結局33問中18問の正解で不合格は濃厚です。
     最後の6問は全部不正解という結果でした。私にはずいぶんと難しい試験に感じます。でもビジネス実務法務検定2級や危険物取扱者乙4類よりも全般的に合格率は高いですね。そこが不思議です。
     午前問題は10点くらい駄目になりましたが、午後問題で一応は進歩したようなのでまた来年4月にチャレンジしたいと思います。来年1月~2月頃に危険物取扱者乙1・2・3・5・6類のうち3つ~5つ受験してからのチャレンジの予定です。
     情報セキュリティマネジメント試験は最初の頃はおっさんの受験者が目立ちましたが、最近は若い人が増えた印象です。

    • miwa@管理人 より:

      >KITAMURAさん
      情報セキュリティマネジメント試験お疲れさまです。
      うーん、今回も残念そう…ってことですかね_| ̄|○
      ビジ法や危険物は、勉強しないと点数が取れない問題が多いけど、SGは午前試験さえ対策がちゃんとできていたら、午後試験は文章を読んでそれらしい答えを選ぶことで合格点が取れてしまう人が一定数いるんだと思います。それが合格率の差なんじゃないかなと思います。
      ただ、情報処理の午後試験は、ある程度難易度が高かった場合は、配点で調整してくれるので、もしかすると思っているよりもよい点数がもらえるかもしれませんよ。