「情報セキュリティアドミニストレータ」一般

対象者像
役割と業務
期待する技術水準
午後問題の試験対策

◆対象者像

情報セキュリティに関する基本的な知識をもち、情報システムのセキュリティポリシの策定及びその実施、分析、見直しを行う者

◆役割と業務

情報セキュリティ管理の現場責任者として、情報セキュリティに関する企画・実施・運用・分析のすべての段階で、物理的観点、人的観点及び技術的観点から情報セキュリティを保つための施策を計画・実施し、その結果に関する評価を行う業務に従事し、次の役割を果たす。

情報資源の洗い出し、脅威分析、リスク分析を行い、組織体におけるセキュリティ管理のターゲットを示す 情報セキュリティポリシを策定する。
情報セキュリティポリシに則って、それを実現するための技術の選択と適用、運用に関するガイドラインの策定、一般利用者教育を行う。
管理対象から出力される各種情報に従って、セキュリティ侵犯がないか常に監視し、侵犯発生時には対策を講じる。また、情報セキュリティポリシ策定時のレベルを維持できるよう適切な措置を講じる。
セキュリティ侵犯事象の根本原因を追究し、改善策を策定する。

目次に戻る

◆期待する技術水準

情報セキュリティ確保は、各組織における根本的な責任であるとともに、社会的要請でもある。各組織において情報セキュリティ確保・管理を遂行するために、次の知識・技能が要求される。

情報セキュリティポリシを策定できる。
リスク分析・リスク管理ができる。
情報セキュリティポリシに基づき、具体的な実施手順を作成できる。
ＯＳ、ネットワーク、インターネットに関する技術、製品（ハードウェア、ソフトウェア、サービス）知識を持ち、利用・活用できる。
防御技術に関する知識を持ち、適用できる。
セキュリティ運用・管理に関する知識を持ち、策定できる。
脆弱性に関する知識をもち、対処方法を検討・実施できる。
セキュリティ侵犯を発見し、対処できる。
情報セキュリティ、プライバシ関連法規の知識をもっている。
情報セキュリティの監査、評価に関する知識を持ち、対象を監査・評価できる。
一般ユーザにおける情報セキュリティ対策を策定できる。
情報セキュリティに関する国内・国際標準の知識をもち、適用できる。

目次に戻る

◆午後問題の試験対策

情報セキュリティの試験問題の難易度・形式は、午後Ｉも午後IIもあまり変わらない。 (但し午後IIは問題文が長く正確に題意を掴むのに非常に疲れる。) 設問形式は大きく分けて２つである。
1. 穴埋め問題
  知らないと終わり。午前問題を緻密に勉強していれば自然に対処できる。選択肢が無く自ら記述する必要があるので普段から単語を書きながら覚えると良い。
2. 筆記問題
  知識や経験に惑わされず「問題文中に回答がある」という真実を愚直に守れば必然的に回答が導ける。
仮にも国家試験相当である情報処理技術者試験で、出題者が筆記問題に「これは○、これは×」と限られた時間で正確に判定できるようにするには、問題文中に反駁を許さないような決定的な証拠を織り込んでおくしか手が無いように思われる。
セキュリティアドミニストレータの筆記問題の必勝法は、他の試験区分の論述式でも大体同じなのだが、セキュリティを問う問題の性質上、特に以下のアンダーラインの引き方が効果的であるように思う。
1. 「ちゃんと対策してるじゃん」と思ったところに「○」印＋underline
2. 「こりゃ危ないじゃん」と思ったところに「×」印＋underline
3. 「特徴的だがまだ何とも言えない」なら「？」印＋underline
大体、設問で問われるのは「こりゃ危ないじゃん」という箇所で、「改善すべき点を２つ挙げよ」のような問題に対しては「こりゃ危ないじゃん」と思って「×」印をつけた箇所を拾ってくれば大抵ハマる。
また、設問の前提条件には気を遣うべきだ。例えば「リモートアクセス方式による開発において、想定すべきセキュリティ上のリスクを述べよ」と問われている時に、前提部分をうっかり読み忘れて「リモートアクセス方式による開発だからこそ」問題となるリスク・脅威“以外”も回答に含めてしまうミスがある。例えばＰＣ盗難対策やウィルス対策は、問題文中にいかにもそのあたりの脆弱性を匂わせる記述があっても、「リモートアクセス方式による開発だからこそ」のリスクではないので、回答に含めてはいけない。「盗聴」「なりすまし」などを回答に選ぶべきであろう。
とにかく問題文と設問に、記号論理学的に愚直に従うことが重要である。

目次に戻る

■参考文献

独立行政法人情報処理推進機構 WebSite
「出題範囲・スキル標準・パンフレット」
「予想問題集情報セキュリティ」(2004年版) アイテック
ISBN4-87268-431-1