最新セキュリティマネジメント（第45回）情報セキュリティマネジメント試験でリテラシー向上

公開日：2025.01.31

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　独立行政法人情報処理推進機構(以下IPA)では、情報セキュリティマネジメントを担う人材を育成するための試験として「情報セキュリティマネジメント試験」を実施している。国家試験「情報処理技術者試験」の新たな試験区分として設置され、ITの基礎知識が問われる「ITパスポート試験（通称：iパス）」の上位に位置づけられる。企業の情報セキュリティを向上させるために有効な試験だ。

社内のセキュリティ人材を育成するトリガーに

　情報セキュリティは、今やどの企業にとっても重要な経営課題であることは間違いない。しかし、そのための人材確保に悩む企業も多いのではないだろうか。解決策の一つが、IPAが実施する「情報セキュリティマネジメント試験」の活用だ。

　この試験は、組織の情報セキュリティを確保して脅威から継続的に組織を守るための基本的なスキルを認定する。情報セキュリティマネジメントの計画・運用・評価・改善について基本的な知識と実践能力を持つことを証明し、組織の情報セキュリティ確保に貢献する。対象者はITの安全な利活用を推進する者だ。

　重要なのは、この試験を活用して情報セキュリティをマネジメントできる人材の育成だ。こうした人材が社内にいれば、情報セキュリティマネジメント体制を適切に確立でき、インシデントが発生した時にスムーズに対応できる。情報セキュリティに関する従業員教育にも有効で、社内のセキュリティ意識向上を促せる。

　試験はCBT（Computer Based Testing）方式で実施されており、全国の指定会場で随時受験が可能だ。出題傾向や、活用例を見てみよう。

合格者が社内外に効果をもたらす…

　情報セキュリティマネジメント試験は、必要な知識を持っているかを問われる「科目A」と、現場での実践力を問う「科目B」から構成される。科目Aは、重点分野と関連分野から出題され、科目Bはさまざまなユースケースを想定したケーススタディーが出題される。選択式の60問が出題され、試験時間は120分だ。

　科目Aの重点分野の内容は、攻撃手法や暗号などの「情報セキュリティ全般」、情報資産やリスクなどの「情報セキュリティ管理」、マルウエア対策や情報漏えい対策などの「情報セキュリティ対策」、個人情報保護法などの「情報セキュリティ関連法規」だ。関連分野には、テクノロジーやマネジメント、ストラテジーが含まれる。

　過去に出題された問題には、「従業員に社外秘情報を持ち出させないようにする対策は？」「内部統制の基本的な要素である統制活動に該当するのは？」「全社的な推進体制でRPAを導入する際の留意点は？」などがある。基本知識を問われる問題から、専門用語の意味を聞かれる問題まで幅広い。

　科目Bでは、次のような設問が出題される。例えば医療品販売を行うA社（従業員100人）の営業部でのデータベースのバックアップポリシーが示され、その通りに復旧できなかった際に、どのような再発防止策がとられたかを選択肢から選ぶ。このように極めて具体的で実践的な問題が出題される。

　ITの基礎知識を問う「ITパスポート」の上位レベルの試験として位置づけられているため、内容はハイレベルだ。試験対策を通じて、相当な知識が身につくことは間違いない。従業員へ受験を推奨する企業の中には、受験費用を全額会社負担とし、合格者には奨励金を出す企業もある。

　受験者からは「受験前は情報セキュリティに関する知識が断片的だったが、受験時の学習を通して、体系的に学び直せた」「疑問を相談できる社員がいるとセキュリティリスクの減少につながる」「合格している社員がいるので、情報セキュリティに関する業者としてお客さまに安心いただけている」という声も上がっている。

　受験の推奨により、従業員の意識を向上させて自社の情報セキュリティリスクを低減し、トラブル発生時の被害を最小限に食い止めるといった具体的な効果だけでなく、取引先から安心できる企業だと思われる効果もある。ネット時代を生き抜く上でも、情報セキュリティマネジメント試験への取り組みを積極的に検討してはどうだろうか。