情報セキュリティマネジメント試験受けてきました。(分析編)
こんばんは。昨日のお約束通り、「情報セキュリティマネジメント試験受けてきました。(分析編)」をお送りします。試験会場の様子や今回の出題内容を基に次回以降の傾向を分析してみようと思います。
まず、この試験の応募者平均年齢を見てみましょう。IPAのページに公開されてますね。(詳しくはこちら)
なんと39.7歳なんですね。同じレベル2の試験である基本情報の平均年齢が26.5歳ですから、えらく平均年齢が高いのが分かります。よく見ると、システム監査(42.4歳)の次に平均年齢が高いのには驚きました。試験会場には情報セキュリティマネジメント試験(以下SG)の教室は1つしか割り当てられてませんでした。ですので、サンプルの少なさについては御了承下さい。他の会場だともっと多いのかもしれませんが、他所の事情は分かりませんからここでは言及しません。(SG受験された方いかがでしたか?)
教室内には50代だろうと思しき方々が散見されました。さすがに10代に見える方はおられず、若くても20代前半な方が少しで、30代後半〜40代前半な感じの方々が多いように感じられました。と、女子率がさほど高くなかったのも特徴かもしれません。基本情報の教室の方はもっといたように見受けられました。なので、Twitterにも書きましたが、「ここはSCの教室の間違いなんじゃないか?」と思えるほどの見慣れた光景。「デジャブか?」と錯覚するほど普段の高度試験の教室の空気感でした。
午前試験の退出可能時刻にはそこそこの人数が待ち構えていたかのようにゾロゾロと挙手し、解答用紙を試験監督官に手渡して退出する方々が続出してました。退出する方々の表情からは余裕が見られ、決してギブアップ組ではないことが見てとれました。午後試験でも退出可能時刻(13:30)に早々に出て行かれる方々がおられました。こうして見ていると、結構高度試験合格者が多く受験しているんじゃないかという印象を受けました。特に情報セキュリティスペシャリスト試験以下SC)合格者が多いのではないかと邪推してます。
となると、合格率も大きく変わって来そうです。IPA的には30〜40%程度を想定しているようですが、もしかすると50%overもあり得るのではないかと見ています。
今後の傾向予測ですが、ユーザ側に立った問題が出題されるという点でSCとの差別化が図られると思われます。標的型メールのような注意喚起を必要とするような出題となると、フィッシングwebサイトの見分け方なんかがありそうです。例えば、www.yahoo.co.jpではなく、www.yafoo.co.jpと表示されているとか、httpsなはずなのにhttpになっていたりとか…。
他には無線LAN関係もあるんじゃないでしょうか。野良AP掴んでしまって、DHCPでIPアドレス割り当てられて、偽DNSサーバのIPアドレス設定されて悪意あるサイトに一直線とか。で、どういう点に注意すれば被害を防ぐことが出来るかとかそういう方向はありそうです。あとBYOD関連の出題もあるんじゃないかとも思います。