ニュースペックテキスト 情報セキュリティマネジメント 2021年度 (情報処理技術者試験)
情報セキュリティマネジメントおすすめ通信講座を徹底比較!も確認する
情報セキュリティマネジメント試験(SG)のおすすめ参考書・テキスト(独学勉強法/対策)!も確認する
はじめに
情報セキュリティマネジメント試験は,企業や組織での情報システムの利用部門において,情報セキュリティの確保,改善を統率できる能力をもつことを認定する試験です。業務で個人情報を利用する人や,管理部門で機密情報や個人情報の管理を担当する人,部門内での情報セキュリティ評価を担当する人などを対象として実施されます。
情報セキュリティマネジメント試験で扱う内容には「情報セキュリティ分野」と「関連分野」があります。「情報セキュリティ分野」は,情報セキュリティマネジメント試験のメインとなる分野で,情報セキュリティ管理を実践するための知識を扱います。「関連分野」は,情報セキュリティに関わる者として知っておくべきIT知識を扱う分野で,IT技術に関するテーマ(テクノロジ),ITサービスマネジメントなどの管理に関するテーマ(マネジメント),企業経営などの戦略に関するテーマ(ストラテジ)を扱います。
このような試験の内容をふまえ,本書では情報セキュリティ分野と関連分野を第1部と第2部に分け,第1部は「しっかり」,第2部は「すっきり」との方針で編集しました。
第1部「情報セキュリティ分野」は,初学者にも分かりやすいように基礎的な用語から順に図表をふんだんに使って「しっかり」説明しています。また,事例形式の学習を通して,学習した知識を具体的に活用するためのノウハウを習得できる章(第1部第4章)を設けていることも本書の大きな特徴です。この章をくり返し読むことで,午後試験問題を読み解く力をしっかり身につけることができます。
第2部「関連分野」は,学習者の負担とならないように合格に必須となる重点項目だけに絞り込んで編集してあります。覚える点を明確にするために,表形式で知識を分かりやすく「すっきり」とまとめました。
第1部は各章末に,第2部は最後にまとめて確認問題を掲載しています。確認問題は,過去の情報セキュリティマネジメント試験の午前試験で出題された問題を中心に再出題される可能性の高い問題を選定しました。巻末には令和元年秋試験の午後問題とその解答例を掲載してありますので,章末の確認問題と合わせて学習した知識の確認に利用してください。
このように,本書はみなさんが合格のための学習を効率よくできるように随所に工夫を凝らしてあります。本書が,皆さんの情報セキュリティマネジメント試験合格に役立てれば幸いです。
2020年12月
TAC情報処理講座
特別企画
はじめての情報セキュリティマネジメント試験
スタートアップ講座
総合ガイダンス
これから皆さんが目指すのは「情報セキュリティのエキスパート」でありながらも「マネージャとして部門のセキュリティを統率」できる人材です。
組織(会社)として情報セキュリティの維持に的確に取り組むことは喫緊の課題です。組織のトップがかけ声をかけても現場で実行に移さなければ効果はあがりません。業務の最前線の現場でセキュリティのエキスパートとしてグループや部門を統率できる人材が求められているのです。あなたの腕をふるうチャンスが目の前にあります!
目次
はじめに
はじめての情報セキュリティマネジメント試験スタートアップ講座
本書の特徴と利用法
「情報セキュリティマネジメント試験」とは―受験の手引き
第1部 情報セキュリティ分野
第1章 情報セキュリティ技術
1 情報セキュリティの基本概念
1 情報セキュリティのCIA
2 脅威と脆弱性
2 サイバー攻撃と情報セキュリティ対策
1 マルウェアによる攻撃と対策
2 不正アクセスによる攻撃とその対策
ここに注目! 攻撃の名称と脅威の内容,対策法を徹底的に頭に入れましょう。
3 その他の主な攻撃と対策
4 オンライン詐欺とその対策
5 ログの管理
6 クラウドの管理
7 スマートデバイスのセキュリティ対策
8 内部不正の防止と不正のトライアングル
3 情報セキュリティを確保する技術
1 暗号化
2 ハッシュ関数とメッセージ認証符号
3ディジタル署名
4 PKI(Public Key Infrastructure)
5 利用者認証
6 インターネットセキュリティ
7 その他のセキュリティ技術,製品
確認問題① 攻撃と対策
確認問題② セキュリティ技術
第1章では,情報セキュリティの基本概念やさまざまなサイバー攻撃の手口と対策について学びます。情報セキュリティのCIAについて学び,情報セキュリティとは何かを理解したら,マルウェア,不正アクセスによる攻撃など様々な攻撃の手口を学びます。その後,対策法を学習します。
学習アドバイス
こんなにたくさん攻撃の方法があるのかとため息が出てしまうかもしれません。攻撃者の手口を知らなければ身を守ることはできませんから,一つひとつ着実に覚えてください。
第2章 情報セキュリティ管理
1 情報セキュリティ管理とISMS
1 情報セキュリティ管理とは
2 ISMS(情報セキュリティマネジメントシステム)
3 ISMSの規格
2 ISMSの確立
1 ISMSの確立で行う主要な活動
2 適用範囲と基本方針の設定
3 リスクアセスメントの計画
4 リスク源の特定
5 リスクアセスメントの実施
6 リスク対応の選択肢の選定
7 管理策の決定
3 ISMSの実行
1 ISMSの実行で行う活動
2 計画の実行
3 情報セキュリティの教育・訓練
4 ISMSの運用の管理.
5 セキュリティインシデントへの対応
4 ISMSの監視とレビュー
1 ISMSの監視とレビューで行う活動
2 パフォーマンスと有効性の評価
3 ISMSの内部監査
4 ISMSのマネジメントレビュー.
5 ISMSの維持と継続的改善
1 ISMSの維持と継続的改善で行う活動
2 改善策の実施
3 ISMSの継続的改善
6 セキュリティインシデントの管理
1 セキュリティインシデント管理で行う活動
2 対応の準備.
3 事象の検出
4 対応
5 改善
確認問題 セキュリティ管理
セキュリティ対策は,技術的な対策だけでは不十分です。組織として情報セキュリティへの取り組み体制を構築しなければなりません。この章では,PDCAサイクルを取り入れた情報セキュリティマネジメントシステムの確立,実行,監視とレビュー,継続的改善を学びます。
ここに注目! リスクアセスメントの実施方法とリスク対応の選択肢については,午後試験での出題の可能性がとても高い内容。これらについては時間をかけてしっかり学習しましょう。
学習アドバイス
細かい内容は覚えなくても問題ありません。全体像の把握に努めてください。
第3章 関連法規
1 セキュリティ関連法規
1 セキュリティ関連法規の種類
2 サイバーセキュリティ基本法
3 不正アクセス禁止法
4 個人情報保護法
個人情報保護法が特に重要です。しっかり学習してください。
2 知的財産権関連法規
1 知的財産権
2 著作権法
著作権法については頻繁に出題されます。権利の帰属をしっかり覚えましょう。
3 不正競争防止法
3 労働関連・取引関連法規
1 業務契約の形態
2 労働基準法
3 労働者派遣法
4 ソフトウェアライセンス
4 その他
1 コンプライアンスと情報倫理
2 国際/地域標準と標準化団体
確認問題 法務
ここでは,情報セキュリティやITに関連した法規について学習します。サイバーセキュリティ基本法,不正アクセス禁止法,個人情報保護法など様々な法規があります。法律で定められた禁止行為や義務について学びます。また,知的財産を守ることも大切です。知的財産についての法律知識も習得します。
学習アドバイス
各法律について内容を全部知る必要「はありません。試験に出題されるポイントを表形式でまとめましたので,ポイントだけ覚えておけば十分です。
ここに注目! 午前試験でも頻繁に出題される内容です。確実に正解できるようにしておくと,午前試験でのアドバンテージとなります。
第4章 情報セキュリティ対策の実践
午後対策:「事例」解説
1 標的型攻撃による情報の漏えい
2 不正アクセスによるWebサイトの改ざん
3 エクスプロイト
4 クラウド利用におけるデータ消失・流出
5 スマートデバイスからの情報の漏えい
6 内部不正による情報の漏えい
7 インターネットバンキングなどによる金銭被害
午後対策:解き方のコツ
◎午後試験問題の解き方
午後対策:確認問題
問題1 標的型攻撃メールの脅威と対策
問題2 マルウェア感染への対応
問題3 クラウドサービスを利用した情報システムの導入と運用
問題4 個人情報保護に関する法律への対応
問題5 企業統合における情報セキュリティガバナンス
この章は午後試験問題対策の章です。これまでに学習した知識を総合的に活用して事例を考えてみましょう。標的型攻撃,Webサイトの改ざん,クラウドからのデータ消失・漏洩など,身近な事例を取り上げます。また,午後試験ならではの長文問題の解き方のコツについても紹介してあります。
ここに注目! 午後試験は読解力がものをいいます。事例や解説を正確に読み取る力を養いましょう。
学習アドバイス
まずは,事例を読んでどこに問題があるのか,対策は何が有効かを自分で考えてみましょう。その後,解説を読んで,気づかなかった問題点がなかったか,自分で考えた対策はよいのかを確認してください。
この章は,第2部まで学習を進めた後に取り組むのも吉!
第2部 関連分野
第1章 テクノロジ系
1 システム構成要素
1 システムの形態
2 システムの性能
3 システム信頼性
ここに注目! システム信頼性についてしっかり学習してください。
2 データベース・
1 データベースの基礎
2 関係データベースの基礎.
3 SQL
4 DBMS
5 データベース応用
3 ネットワーク
1 ネットワークの基礎
2 LANの基礎
3 LAN間接続装置
4 インターネットの基礎
5 IPアドレス
6 ポート番号とTCP/UDP
7 アプリケーションプロトコル
クライアントサーバやクラウドについて知らないとセキュリティの話も進みません。この分野は,情報システムの形態や性能,信頼性について学びます。
データベースには大量のデータが格納されています。そして,攻撃者はそれらのデータを狙っています。データベースとは何か,どのようにしてデータが格納されているのかを学び,データを攻撃者から守れるようにしましょう。
ここに注目! 内容が難しいと感じる場合は,重要用語(側注)だけ覚えましょう
コンピュータがネットワークに接続されていなければ,攻撃にさらされる機会は極端に少なくなります。ネットワークとセキュリティは切っても切り離せない関係にあるのです。ここでは,イーサネットやTCP/IPの技術について学びます。
ここに注目! MACアドレス,IPアドレス,ポート番号を理解することが大切です。
学習アドバイス
この分野は,午前試験で各テーマごとに1題ずつしか出題されません。どうしてもわからないテーマは無理に理解しようとしなくても大丈夫です。ネットワーク分野はセキュリティと関連が深いですから,がんよって用語を覚えるようにしてください。
第2章 マネジメント系
1 プロジェクトマネジメント
1 プロジェクトマネジメントの基礎
2 プロジェクト統合マネジメント
3 プロジェクトスコープマネジメント
4 プロジェクトタイムマネジメント
ここに注目! プロジェクトマネジメントでは,納期と予算を守ることが大切なのです。
5 プロジェクトコストマネジメント
6 プロジェクト品質マネジメント
7 プロジェクト資源マネジメント
8 プロジェクトコミュニケーションマネジメント
9 ステークホルダマネジメント
10 プロジェクトリスクマネジメント
11 プロジェクト調達マネジメント
昔は,コンピュータに詳しい人が業務の片手間でシステムを管理していました。近年のシステムは片手間で管理できるほど単純ではありません。そこで,運用管理をサービスとして定義してマネジメントを行います。
システムが期待通りの動きをしているのかをチェックすることがシステム監査です。システム監査の目的や,システム監査の流れについて学習します。
プロジェクトマネジメントの中心テーマは,スケジュールマネジメント,コストマネジメントです。
学習アドバイス
午前試験では,プロジェクトマネジメント2題,サービスマネジメント2題,監査4題が出題されます。監査を重点的に学習するとよいです。
2 サービスマネジメント
1 サービスマネジメントの基礎
2 システム移行と運用
3 サービスデスク
4 インシデント管理
5 問題管理
ここに注目! インシデント管理,問題管理,構成管理,リリース管理を関連づけて学習しましょう。
6 構成管理
7 変更管理
8 リリース及び展開管理
9 サービスレベル管理(SLM)
10 キャパシティ管理
11 可用性管理
12 ITサービス継続性管理
3 システム監査
1 システム監査の概要
ここに注目! システム監査人の独立性,システム監査人の義務,監査の指摘事項についての出題が多いです。
2 システム監査実施の概要
第3章 ストラテジ系
1 システム戦略・企画
1 情報システム戦略
2 業務プロセス
3 システム企画
4 ソリューションビジネス
ここに注目! ソリューションビジネスの種類についての出題が多いです。
2 企業活動
ここに注目! この分野は午前試験でだけ出題される分野です。選択肢の単語を見たときに意味がわかる程度の学習で十分です。
1 経営組織
2 経営管理とリスクマネジメント
3 検査と品質管理
4 業務分析・業務計画
5 会計関連知識
第2部 確認問題
ITシステムが企業経営にどのように役立てられるのかを考え,戦略的にITシステムを導入するための知識を学習します。学習のポイントは,情報システム戦略やソリューションビジネスです。
経営組織の形態,意思決定の手法について学びます。システム戦略を構築するに当たっては,企業経営のイロハを知っている必要があります。
学習アドバイス
覚える単語が多い分野です。覚えられる範囲で覚えてください。午前試験では4題出題されます。
巻末附録
情報セキュリティマネジメント試験 本試験問題(午後)〔令和元年度秋期〕
解答・解説
INDEX
本書の特徴と利用法
本書は,
・試験合格に必須のテーマを
・オールカラー刷り+学習支援機能をもつデザイン(レイアウト)にのせ
わかりやすくていねいに解説した基本テキストです。
①二重にメリハリを効かせた解説方法
午前問題対策:次のように分野によってメリハリをつけて解説しています。
「第1部情報セキュリティ分野」:情報セキュリティに関する知識を,表面的な理解に終わらないよう基礎からしっかりと解説しています。
「第2部関連分野」:試験範囲であるテクノロジ・マネジメント・ストラテジ各分野の重要事項をスピーディにマスターできる量にまとめ,解説しています。
午後問題対策:「事例問題」が出題される午後試験対策として,「事例解説」頁を設け,読み解く力,実践的に考える力を習得できるようにしました。
②学習ナビになる側注
側注は,本文より重要なポイントを,出題形式・表現に則って,切り出しました。重要ポイント,用語,試験での表現のアイテムごと,色分けをしています。また重要度も提示しています。
③確認問題
第1部の各章末及び第2部の末尾に再出題が予想される各種情報処理技術者試験の過去問題による確認問題を設けています。アウトプット力を着実に高めることができます。
午前問題対策 側注つきのレイアウトのページです。
午後問題対策 一段組レイアウトのページです。
午前問題対策
午前対策 午前対策頁
学習のポイント その項目で何を学び,どんなことが重要なのか,などの学習指針を提示しています。
キーワード 覚えておくべきキーワードは,赤ゴチックで表記しています。
キーフレーズ 問題を解くときの鍵となるフレーズを,太ゴチックで表記しています。
以上の,キーワード,キーフレーズを追って読んでいくと,重要ポイントを一気に学習することができます。
図解 パッと図を見るだけでも理解が進むように彩色し,解説しています。試験中に頭に浮かぶのは,言葉よりイメージ図です。記憶に残りやすい本書の図解を繰り返し学習してください。
表 知っていればよい知識は,表に集約しています。メリハリのある学習が可能です。
側注アイテム
重要ポイント 合格点獲得のために必須なポイント
試験にはこう出る 本試験で問われた表現を提示
重要用語 合格点のためにマスターすべき用語
重要度の表示
!―覚えておくと便利
!!―しっかり覚える
!!!―とても重要
側注の活用法
●通常の学習法:本文を理解して,側注を覚えましょう。
本文→側注→確認問題
●復習/直前期:側注を読み,理解できていない項目については本文に戻りましょう。
側注→本文→確認問題
●試験3日前〜当日:側注をすべて読み返し,余裕があれば,確認問題を復習しましょう。
側注→確認問題
午後試験対策一第1部第4章 情報セキュリティ対策の実践
午後対策「事例」解説 午後対策頁
事例解説においても,赤ゴチック,太ゴチック,図表,を駆使して,わかりやすく解説しています。
事例形式学習 7つの「事例」と「対策」「チェックリスト」などのアイテムにより,本書で学習した知識を現場で活用するためのノウハウを習得すること(=午後試験対策を採ること)ができます。
確認問題と本試験午後問題
第1部の各章末及び第2部の末尾に,各種情報処理技術者試験の過去問題(下図「試験区分略称」参照)による確認問題を設定しています。情報セキュリティマネジメント試験の午前試験において再出題される可能性が高い問題です,習得した知識を確かめると共に,合格力を磨き上げてください。
また,巻末には直近の本試験午後問題全問とその解答例を掲載してあります。
試験区分略称:確認問題及び側注で,以下の略称を用いています。
AD:初級システムアドミニストレータ試験
IP:ITパスポート試験
FE:基本情報技術者
AP:応用情報技術者
SC:情報セキュリティスペシャリスト試験
SG:情報セキュリティマネジメント試験
確認問題①
出典表記の見方
(SGH30春問8)→情報セキュリティマネジメント試験平成30年春期試験問8
「情報セキュリティマネジメント試験」とは―受験の手引き
情報セキュリティマネジメント試験の位置づけ
情報処理技術者試験は経済産業省が実施している国家試験で,コンピュータシステムの活用技術やコンピュータシステムの構築技術についての技術レベルを認定する試験です。情報セキュリティマネジメント試験(略称:SG試験)は,その情報処理技術者試験の一区分の試験です。試験のレベルは,ITパスポート試験の次のレベルの位置づけとなっています。
試験の概要・対象者
情報セキュリティマネジメント試験は,ユーザ側にとって必要となる情報セキュリティのスキル・管理対策等の知識を問う試験です。
そのような情報セキュリティ管理のスキル・知識を身につけたい方から「ITパスポート」試験(下記試験体系参照)からのスキルアップを図りたい方,実務においては,業務部門・管理部門で情報管理を担当する方,業務で個人情報を取り扱う方などが対象となります。
試験体系
◆出題形式・出題数・解答数
試験区分 | 午前 | 午前 | ||
90分 | 90分 | |||
出題形式 | 出題数 解答数 |
出題形式 | 出題数 解答数 |
|
情報セキュリティマネジメント試験 | 多肢選択式 (四肢択一) |
50問 50問 |
多肢選択式 | 3問 3問 |
情報処理技術者試験センター「試験要綱ver.4.6」(2020年9月14日現在)による
https://www.jitec.ipa.go.jp/1_13download/youkou_ver4_6.pdf
合格基準
各試験(午前・午後試験)の得点がともに基準点以上の場合に合格とする。
午前基準点:60点以上(100点満点中)
午後基準点:60点以上(100点満点中)
情報セキュリティマネジメント試験のCBT方式での実施について
情報セキュリティマネジメント試験は,2019年度まで実施されていた春期/秋期試験が,新型コロナウィルス感染症の影響で中止となり,2020(令和2)年度は,CBT(Computer Based Testing)方式にて実施されることになりました。
試験方式のほか,申込日程,申込方法,実施日程,合格発表日程等が,従来とは大きく変更されており,順次,詳細な情報を発表中,または発表予定となっています。
そのため,受験をお考えの方は,下記の情報処理推進機構(IPA)のホームページ等で,最新情報・詳細情報を確認されることをお勧めします。
情報処理推進機構ホームページhttps://www.jitec.ipa.go.jp/