令和03年 情報セキュリティマネジメント 合格教本 (情報処理技術者試験)
情報セキュリティマネジメントおすすめ通信講座を徹底比較!も確認する
情報セキュリティマネジメント試験(SG)のおすすめ参考書・テキスト(独学勉強法/対策)!も確認する
はじめに
ITへの依存がますます深まっています。
情報化の進展は、もちろん巨大な恩恵を私たちにもたらします。2020年は新型コロナウイルス感染症が流行して移動が制限されましたが、それでもなんとか仕事や学校、生活を継続できたのも恩恵の一つです。一方で情報システムが止まったとき、誤作動したとき、悪用されたときの被害も大きくなります。
現在の情報システムは極めて横断的、連携的に作られています。Facebookのようなキラーサービスでアカウントを作っておけば、他のサービスでもう一度個人情報を入力する必要はなく、キラーサービスのアカウントをそのまま使って、必要な情報をそのサイトへ送れます。とても便利です。でも、キラーサービスが停止したり、悪用されたりした場合はどうでしょうか。
悪意を持ってサーバを攻撃し停止させるのは犯罪です。では、そのサーバが金融の中枢だったらどうでしょうか。交通制御の中枢だったら?原子力発電所の管理をしていたら?米国防総省は、サイバー空間を第五の戦場と定めました。上記のような攻撃はもはや戦争行為であり、報復には陸海空軍を動かす可能性があると示唆したのです。
このように生活が便利になるのと対をなすように、破綻したときのリスクもどんどん高まっています。私たちは都合の良いことを望んでいます。つまり、情報化の良いところだけを享受して、リスクは排除したいのです。そのための先兵となるべきセキュリティ管理者の数が、日本では圧倒的に足りないと言われています。ここに従事する人を育てるのが国の喫緊の課題であり、まさに情報処理技術者試験の「情報セキュリティマネジメント試験」合格者こそ求められている人材であるわけです。合格者は、企業で地域で家庭で、セキュリティを実現する中核的な役割を担うことになるでしょう。国を挙げて期待がよせられているのです。
足りないものはありがたがられます。セキュリティに興味のある方はもちろん、就職や昇格に役立てたい方にもおすすめしたい試験です。ITパスポート試験合格者の次のステップとしても最適です。是非、合格の栄冠を手にされ、社会のあらゆるシーンでご活躍いただければと思います。
岡嶋裕史
Contents
巻頭特集1 時事問題で学ぶ情報セキュリティ
巻頭特集2 おさえておきたい頻出文書
受験の手引き
第1章 情報セキュリティ基礎
1-1 情報のCIA
1-1-1 情報のCIA
試験問題を解いてみよう
1-2 情報資産・脅威・脆弱性
1-2-1 情報資産・脅威・脆弱性の関係
1-2-2 脅威の種類
1-2-3 脆弱性の種類
試験問題を解いてみよう
1-3 サイバー攻撃手法
1-3-1 不正アクセス
1-3-2 盗聴
1-3-3 なりすまし
1-3-4 サービス妨害
1-3-5 ソーシャルエンジニアリング
1-3-6 その他の攻撃方法
試験問題を解いてみよう
1-4 暗号
1-4-1 セキュリティ技術の広がり
1-4-2 暗号の基本
1-4-3 共通鍵暗号
1-4-4 公開鍵暗号
試験問題を解いてみよう
1-5 認証
1-5-1 認証の基本
1-5-2 ワンタイムパスワード
1-5-3 パスワードの欠点
1-5-4 バイオメトリクス
1-5-5 ディジタル署名
1-5-6 PKL
試験問題を解いてみよう
第2章 情報セキュリティ管理
2-1 リスク分析
2-1-1 リスクマネジメントとは
2-1-2 手法の決定
2-1-3 リスク評価
2-1-4 リスク対応
試験問題を解いてみよう
2-2 セキュリティポリシ
2-2-1 情報セキュリティポリシ
2-2-2 セキュリティ委員会
2-2-3 適用範囲
2-2-4 情報セキュリティ基本方針
2-2-5 情報セキュリティ対策基準
試験問題を解いてみよう
2-3 各種管理策
2-3-1 国際標準とISMS
2-3-2 国内のガイドライン
試験問題を解いてみよう
2-4 セキュリティ評価
2-4-1 セキュリティ評価基準
試験問題を解いてみよう
2-5 CSIRT
2-5-1 CSIRT
試験問題を解いてみよう
2-6 システム監査
2-6-1 システム監査
試験問題を解いてみよう
第3章 情報セキュリティ対策
3-1 マルウェア対策
3-1-1 マルウェアとは
3-1-2 マルウェア対策
試験問題を解いてみよう
3-2 不正アクセス対策
3-2-1 ファイアウォール
3-2-2 DMZ
3-2-3 その他のフィルタリング技術
3-2-4 IDS
3-2-5 不正入力の防止
試験問題を解いてみよう
3-3 情報漏えい対策
3-3-1 リモートアクセス
3-3-2 認証サーバ
試験問題を解いてみよう
3-4 アクセス管理
3-4-1 SSL
3-4-2 VPN
3-4-3 ネットワーク管理技術
試験問題を解いてみよう
3-5 人的対策
3-5-1 人的・物理的セキュリティ対策
3-5-2 情報セキュリティ教育
試験問題を解いてみよう
第4章 情報セキュリティ関連法規
4-1 知的財産権と個人情報の保護
4-1-1 知的財産保護
4-1-2 個人情報保護
試験問題を解いてみよう
4-2 セキュリティ関連法規
4-2-1 コンピュータ犯罪関連の法規
4-2-2 サイバーセキュリティ基本法
試験問題を解いてみよう
4-3 その他の法規やガイドライン
4-3-1 電子文書関連の法規
4-3-2 労働関連の法規
4-3-3 各種標準化団体と国際規格
試験問題を解いてみよう
第5章 ネットワークとデータベース
5-1 ネットワーク
5-1-1 ネットワークの基礎
5-1-2 TCP/IP
5-1-3 IPアドレス
5-1-4 ポート番号
5-1-5 通信装置① 物理層
5-1-6 通信装置② データリンク層
5-1-7 通信装置③ ネットワーク層
5-1-8 NAT
5-1-9 アプリケーション層のプロトコル
5-1-10 無線LAN
試験問題を解いてみよう
5-2 データベース
5-2-1 データベースのモデル
5-2-2 DBMS
試験問題を解いてみよう
第6章 経営とセキュアシステム
6-1 システム戦略と構成要素
6-1-1 情報システム戦略の策定
6-1-2 共通フレームの開発プロセス
6-1-3 調達
6-1-4 RASIS
6-1-5 耐障害設計
6-1-6 バックアップ
6-1-7 ストレージ技術
6-1-8 システムの形態と性能
試験問題を解いてみよう
6-2 セキュリティシステム戦略
6-2-1 ITガバナンス
6-2-2 セキュリティシステムの実装・運用
6-2-3 セキュリティインシデントへの対応
試験問題を解いてみよう
6-3 プロジェクトマネジメント
6-3-1 プロジェクトマネジメント手法
6-3-2 PMBOK
試験問題を解いてみよう
6-4 企業の活動と統治
6-4-1 財務・会計
6-4-2 JIS Q 20000
試験問題を解いてみよう
第7章 午後問題対策
7-0 午後問題対策の要点
7-1 アカウント乗っ取りへの対応
7-2 内部不正事案への対応
7-3 セキュリティ管理とSNS
7-4 標的型メールへの対策
7-5 Webアプリケーションの構築
Index
DEKIDAS-Webについて
本書中に記載の会社名、製品名などは一般に各社の登録商標または商標です。なお、本文には、TM、Rマークは明記していません。
受験の手引き
どんな試験?
ITの安全な利活用をするための基本的な知識・技能を問う試験です。
受験資格や年齢制限などはありません。下記のような方にオススメの試験です。
・情報セキュリティ管理の知識やスキルを身に付けたい方
・業務部門や管理部門で情報管理を担当する方
・業務で個人情報を扱う方
・ITパスポート試験からステップアップしたい方
試験範囲は?
情報セキュリティの考え方、情報セキュリティ管理の実践規範、各種対策、関連法規などに加えて、ネットワーク、システム監査、経営管理などの関連分野の知識を問います。
| 重点分野 | 情報セキュリティ全般 | 機密性・完全性・可用性、脅威、脆弱性、サイバー攻撃手法、暗号、認証ほか |
| 情報セキュリティ管理 | 情報資産、リスク分析と評価、情報セキュリティポリシ、情報セキュリティマネジメントシステム(ISMS)、情報セキュリティ組織ほか | |
| 情報セキュリティ対策 | 人的セキュリティ対策、技術的セキュリティ対策、物理的セキュリティ対策、セキュアプロトコル、ネットワークセキュリティ、アクセス管理、情報セキュリティ啓発ほか | |
| 情報セキュリティ関連法規 | 知的財産権、個人情報保護法、不正アクセス禁止法、刑法、労働基準法、中小企業の情報セキュリティ対策ガイドライン法規ほか | |
| 関連分野 | テクノロジ | ネットワーク、データベース、システム構成要素 |
| マネジメント | システム監査、サービスマネジメント、プロジェクトマネジメントほか | |
| ストラテジ | システム戦略、システム企画、企業活動ほか |
※詳細はシラバスを参照
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html
午後の試験では、情報資産管理、リスクアセスメント、IT利用における情報セキュリティ確保、委託先管理、情報セキュリティ教育・訓練などのケーススタディによる出題により、実践力を問います。
試験形式と合格基準は?
情報セキュリティマネジメント試験はCBT(Computer Based Testing)方式で行われます。CBT方式とは、コンピュータを利用する試験方式のことで、試験問題は画面に表示され、解答もマウスとキーボードを用いて行います。ITパスポート試験では以前よりCBT方式で行われていましたが、情報セキュリティマネジメント試験は2020年12月の試験からこの方式に移行しました。
試験は午前と午後の二つに分かれています。午前試験では短文の問題文が50問出題され、それぞれ4択で解答します。午後試験は文章問題で、大問が三つ出題され、過去の例では各大問につき3~5問程度の設問に解答します。午後問題も選択肢から解答しますが、4択とは限りません。なお、試験時間は午前・午後ともに90分です。
採点方法は素点方式といい、午前・午後ともに各問題は同じ配分で点数が割り振られています。試験に合格するためには、午前・午後の得点がいずれも基準点以上とならなければなりません。基準点は通例では60点に設定されています。
| 時間区分 | 午前 | 午後 |
| 試験時間 | 90分 | 90分 |
| 出題形式 | 多肢選択式(四肢択一) | 多肢選択式 |
| 出題数/回答数 | 50問/50問 | 3問/3問 |
| 基準点 | 60点(100点満点) | 60点(100点満点) |
申込みから受験までの流れは?
受験申込みは受付期間中にインターネットから行います。受験の日程と会場をそれぞれ選択し、その日に会場が用意されていれば希望の時間を選択します。申込みは午前・午後それぞれ行う必要がありますが、午前と午後の受験日を別々の日にしたり、午後を先に受験したりも可能です。ただし、受験可能な回数は午前・午後ともに期間中1回のみです。受験料は5,700円(税込)で、クレジットカード・コンビニエンスストア払い・Pay-easy払いでの支払いが可能です。
試験や申込み方法の詳細・最新情報については、IPAのWebサイトから必ず各自でご確認ください。
IPA 独立行政法人 情報処理推進機構:情報処理技術者試験・情報処理安全確保支援士試験
https://www.jitec.ipa.go.jp/index.html
