さて、早速本題に移りたいと思います。情報セキュリティマネジメント試験(以下SG)は午前が9:30〜11:00(90分)で4択全50問、午後は12:30〜14:00(90分)で多肢選択式・3問全て必須という構成でした。サンプル問題が少なかったので、手の付けようがなく、参考書流し読みほぼぶっつけ本番で挑むことになりました。午前に関する全体的な感想としては、「正解が分からない問題でも今までの蓄積で明らかに間違っている選択肢を3つ確実に消去出来たので、結構なんとかなった。」という印象です。例えば問5の「JIS Q 27001のリスク受容プロセス」についても一言一句きっちりインプットされているわけではないのですが、リスク所有者が腹を括ればいいと考えれば自ずと正解が導き出せます。(正解はア:「受容するリスクについては、リスク所有者が承認すること」)

 他には問15の内部不正防止策に関する問題でも、不正行為をさせないためには相互監視がポイントだという点を意識すれば、これも自ずと正解が(ウ)「システム管理者の作業を本人以外の者に監視させる」という答に辿り着くはずです。用語に関しては知らないと厳しいです。公開鍵/秘密鍵と共通鍵についてはきちんと押さえておくことが重要です。情報セキュリティ分野である以上、ネットワーク関係の問題も切り離せません。このへんもちゃんと押さえておくことが重要かと思います。

 そして午後ですが、問1は標的型メール、問2は業務委託のアクセス制御、問3は情報セキュリティ自己点検でした。小問は全部で32問ありました。特に問1は丁寧に問題文と図を押さえることが出来れば確実に点が取れるボーナス問題だったと思います。標的型メールとスパムメールの違いを問われたり、標的型メールの手口や特徴や初動対応等を問われました。問1は15分程で溶けましたので、余裕を持って残りの問題に臨めました。

 問2に関しては、従業員に与える権限の問題を中心に委託する場合の注意事項にはどういうことがあるかや、相互監視につながるような権限付与の方法論等がありました。問2が最もマネジメントらしい問題だなと個人的には思いました。

 問3ですが、情報セキュリティ自己点検で、問題文をしっかり読んでいれば十分解答可能な問題だったと思います。設問によってはそのものズバリを言及してませんが、周辺の記述から類数可能なので、想像力が問われる面もあるような印象を受けました。ここでは上長の役割について問われる設問が複数ありました。組織としての運用を即イメージ出来るかどうかという点があろうかと思います。その点では学生さんの受験生には少々ハンデだったかもしれません。

 午前・午後を通しての個人的感想ですが、全体的に素直な問題が多かったような気がしました。変に勘ぐるとドツボにハマります。最初の直感に基づいて解答するのが正解を導く秘訣でしょうか。

 ということで明日に続きます。