今回はまたも情報技術者試験の話を。

情報セキュリティマネジメント試験

今年度より情報セキュリティマネジメント試験が新設、実施されています。
位置づけ的には、情報システム利用部門でのセキュリティ主導を行うものが対象とされており、共通キャリア・スキルフレームワークでのレベルは2となっています。
ITパスポート（レベル1）より上、基本情報技術者（レベル2）と同じですね。

 既設のセキュリティ系試験、情報セキュリティスペシャリストとの違いは何でしょう？
IPAの情報によれば、対象者、スキルレベルが異なるようです。
情報セキュリティスペシャリストはレベル4で、こちらは主に技術者を対象としています。
一応、情報システムの利用を中心に管理面を問う情報セキュリティマネジメント、情報システムの開発等における技術面を問う情報セキュリティスペシャリスト、というような住み分けになるのでしょう。

しかしながら、情報セキュリティスペシャリストでも、管理面の出題は少なくありません。
そもそも、利用者向けのセキュリティ試験である情報セキュリティアドミニストレータ試験*1が、2009年にテクニカルエンジニア(情報セキュリティ)試験と統合され、情報セキュリティスペシャリスト試験になったという経緯があります。
このことから、情報セキュリティマネジメント試験の出題範囲は、情報セキュリティスペシャリスト試験に包含されていると思われます*2。
建前はともかくとして、実質上は情報セキュリティスペシャリストの下位資格となるのではないでしょうか。
情報セキュリティマネジメントの方が、マネジメントとついてる分、こちらが上位資格だと思う人もいそうですが。
紛らわしいので、別の名前が良かったな…。

なぜ、今そんな話を？

などと、くどくど述べてきましたが、すでに情報セキュリティマネジメント試験に触れた記事はそこら中にあり、そこでも似たようなことが書いてあります。
にも関わらず、今更なんでこの話を始めたかというと、私が、ようやく情報セキュリティマネジメント試験の問題を読んだからです。

というか、せっかくなので、解いてみました。ひとまずやってみないことには、評価もできませんので（まあ、個人的な評価に過ぎませんが）。
一応、私は情報セキュリティスペシャリストの攻略記事なども書いてますので、それなりの得点を取れないと顔向けできないのですが、結果やいかに。

午前問題の所感

1問だけ間違えました。間違えたのは問31。OECD8原則の詳細なんざ覚えてないですよ…。Pマークの取得に関わってたら解けたんだろうか？
とはいえ、50問中49問正解で、98点です。一応、情報セキュリティスペシャリスト合格者としての面目は保てたのではないでしょうか。まあ、すでに回答も掲載されてますし、この点数取れたよと言っても何の証拠も出せないのですがね。

で、得点数はともかく、所感など。
やってみた感じでは、基本情報技術者より簡単だと思います。
概ね基本情報技術者のセキュリティ分野の問題と同等の難易度なので、範囲が狭い分得点しやすいでしょう。内容的に基本情報技術者試験に包含されちゃうような印象です。
数学やプログラム関係の出題が無いので、人によっては、ITパスポートよりもこっちの午前の方が簡単だって言う人も出そうですね。

午後問題の所感

やりました！全問正解、パーフェクトです！！
これで情報セキュリティスペシャリスト合格者としての面目は以下略。まあ、すでに回答も掲載されてますし何の証拠も以下略。

得点の話はさておき、所感について。
うーん、セキュリティの基本を抑えてしまえば、後は国語の問題って感じでしょうか。
問題本文からの前提条件や文脈の把握がちゃんと出来てれば、大丈夫です。
（あと、久方ぶりに選択肢のある午後問題をやりましたが、選択肢っていいもんですね。なんせ、記述式で時たま発生する、五里霧中感が無い。）

しかし、ターゲットとなる受験者の関係上しかたないのかもしれませんが、技術関連の話題がほとんど無いので、情報技術者試験という感じはありません。
技術的な話にならないよう、問題作成者が苦労してるようにすら思えるのですが、穿ち過ぎでしょうか…？
難易度だけで考えると、基本情報技術者のセキュリティ問題の方が上のように思います。
基本情報技術者よりも、かなり合格点を取りやすいのではないでしょうか。

全体の所感

基本情報技術者と同じスキルレベル2に設定されていますが、個人的には、ITパスポートとかなり近い難易度ではないかと思います。
また、試験時間が午前90分、午後90分ですので、午前・午後とも2時間半もある基本情報技術者より、ボリューム面での負担は軽いでしょう。

試験内容としては、（システム利用者側の）セキュリティ主導者が最低限抑えておくべき、セキュリティ知識を問うものとなっており、まさにIPAの想定通り、といったところです。
まあ、レベル2に設定されてることには違和感を抱くのですが。

とはいえ、今回は初回ですのでこれから色々調整されるのでしょう。まだ、結論を出すには早計なのだと思います。

とりあえず、現段階での私の評価としては、セキュリティについて、理論面での学習経験が少ない方や初学者向き、といったところでしょうか。
上記に該当しない方にとっては、自己啓発面*3で得られるところは少ないでしょう。
座学はあまりやってないけど部門セキュリティの実務は経験している、という方などは、知識の整理や再確認に使えるのではないでしょうか。
私個人としては、これからセキュリティにかかわる若い方にお勧めしたい感があります。ただ、IT技術畑に進まれる方で、情報技術者試験を受けるなら、やはり基本情報技術者の方が優先度が高いでしょう。
ついでに俗っぽい話をすると、名前が凄そうな割に難易度はそれほどでもありませんので、結構人気が出る試験になるんじゃないでしょうか。

なお、私個人としては、何か利用価値が出てこない限り*4、受験するつもりはないのですが、基本情報技術者受験を躊躇ってる会社の若い子に勧めるのはありかな、と思ってます。合格することでモチベーションは上げられますので、取れそうな試験で白星をあげるのも良いかと。

閑話休題

ちなみに、情報技術者試験の話になると、役に立つとか立たないとかいった話題が出てきがちなのですが、当ブログのスタンスとしては「人によりけり」です。役に立つ人もいれば、役に立たない人もいるでしょう。普遍的に言い切れるものでも無いと思います。*5
スタンスについてさらにいうならば、役に立つ立たないというよりも「利用価値があるかないか」という方がニュアンス的にぴったり来ます。
取得にもそれなりにコストがかかりますので、個々人で利用価値*6があるなら取得する、という程度ですね。