情報処理安全確保支援士の出題見直しでどう変わる?(2019年シラバス 2.0 解説)
2019-11-30 公開
令和元年 11 月 25 日、予定通り情報処理安全確保支援士のシラバス 2.0 が公表されました。
大きな変更点は 3 つです。
まず、今回の改訂で一番驚いたのは、抜本的に体系が見直されていた点です。大分類(シラバスでは大項目としているため、以下、大項目とする)からゼロベースで見直されて再編成されています。その結果、前回のシラバス(1.0)で目立っていた冗長な記述は解消され、よりシンプルで、わかりやすくなりました。
加えて、「要求される知識」の内容に、具体的な用語が含まれるようになりました。前回( 11 月 5 日)公表された「情報処理安全確保支援士試験(レベル 4 )」シラバス 追補版(午前Ⅱ)Ver.3.0 」の中に出てくる用語と同期を取る形で、新しい用語も追加されています。これで、新規問題への準備も可能になると思います。
そして最後の一つが、11 月 5 日に発表された「( 2 )セキュリティの強化」を踏まえて、他の試験区分の人材像でも、各々必要になる“セキュリティ関連知識”が明確になった点です。他の試験区分を受験する時に参考になるでしょう。
この 3 点を中心にした改訂によって、今回のシラバス 2.0 はすごくいい内容になっているというのが、率直な感想です。
もくじ
試験対策での活用
ということで、今回のシラバス( 2.0 )は試験対策で活用できます。というより、活用しないと損です。
まずは、今回の改訂に合わせて、自分自身の知識(頭の中)も新体系で再編成することをお勧めします。シンプルでわかりやすく体系化されているため、知識が整理され覚えやすいはずです。学習効率の向上が期待できます。
そして、このシラバス 2.0 の「要求される知識」の中に出てくる用語をチェックし、知らないものは、ネットでググるなどして知識を補充しておくこともお勧めします。
再編成(大項目)の内容
それではここで、大項目がどのように再編成されたのかを見ていきましょう。
大項目は大きく変わり、次の 4 つに整理されました。
- 情報セキュリティマネジメントの推進又は支援に関すること
- 情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること
- 情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること
- 情報セキュリティインシデント管理の推進又は支援に関すること
1. 情報セキュリティマネジメントの推進又は支援に関すること
大項目の一つ目は、“情報セキュリティ委員会” の主要業務である ” ISMS の構築” に関する内容です。
ISMS の構築に関する知識は、(情報処理技術者試験においては)平成 13 年に最初に実施された情報セキュリティアドミニストレータ試験(平成 20 年度まで実施)でメインテーマだったものです。
その後、情報セキュリティスペシャリスト試験(平成 21 年~平成 28 年)、情報処理安全確保支援士(平成 29 年~)にも引き継がれています。
2. 情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること
大項目の二つ目は、“他の人材像” の主要業務である“情報システム開発” と関連する情報セキュリティに関する内容です。
11 月 5 日に発表された(情報処理技術者試験の全区分での)セキュリティ強化を受けて、ここに集約したのでしょう。
情報システム開発のライフサイクルごとに必要な知識を、次のようにまとめています。
- IT ストラテジスト(企画)
- システムアーキテクト(設計)
- 基本情報技術者(開発:セキュアプログラミング)
- IT サービスマネージャ(運用)
3. 情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること
具体的な “セキュリティ技術” に関しては、この三つ目の大項目にまとめられています。
大項目の一つ目の ” ISMS の構築” が “JIS X 27001(ISO/IEC27001)” で、この大項目の三つ目が “詳細管理策” の ” JIS X 27002( ISO/IEC27002 )” だとイメージすれば、わかりやすいと思います。
4. 情報セキュリティインシデント管理の推進又は支援に関すること
そして、最後の四つ目の大項目が、ここ数年重視されている CSIRT に関する部分になります。
組織的観点で分類すると、一つ目の大項目が “情報セキュリティ委員会” で、二つ目が “情報システム部門” 、そして四つ目が “CSIRT”です。
そのようにイメージしておけばいいでしょう。
「要求される知識」の中の新たな用語
続いて、今回のシラバスで新たに追加された用語をピックアップしてみましょう。
今回は、小項目、概要、要求される知識、要求される技能の全ての属性で、表現そのものも大きく変更されているため、そのあたりは抽出せず、シラバス 1.0 に存在しなかった単語のみを対象にし、さらにもう既に過去問題で頻出の用語を除いています。
それでも、下表のように大量にあります。
| 大項目 | 用語 |
|---|---|
| 1 | BCMS、脅威分析( STRIDE 分析、アタックツリー分析(ATA)など)、サイバー保険、サイバー・フィジカル・セキュリティ対策フレームワーク( CPSF )、攻撃の分析モデル(サイバーキルチェーン、ATT&CK など)、脅威インテリジェンス( OSINT など)、サイバー情報共有イニシアティブ( J-CSIP )、 サイバーレスキュー隊( J-CRAT )、情報セキュリティ早期警戒パートナーシップ |
| 2 | セキュリティバイデザイン、プライバシーバイデザイン、システム及びソフトウェア製品の品質要求及び評価( SQuaRE )、要塞化(ハードニング)、IT セキュリティ関連の規格( CC/CEM 、FIPS140 など)、IT セキュリティ関連の認証制度( JISEC、JCMVP など)、ソフトウェア及びシステムの、セキュリティの観点でのテスト(ソースコード静的検査、プログラム動的検査、ファジングなど)、脆弱性検査ツール( Webアプリケーションソフトウェア検査用、ネットワーク検査用など) |
| 3 | ハードウェアセキュリティモジュール( HSM )、ファイルレスマルウェア、サンドボックス、・ セキュリティ監視(制御システム、IoT 機器の監視を含む)、SOC 、ログの分析方法(相関分析など)、脅威インテリジェンスの共有のための標準( STIX / TAXII など)、SIEM 、セキュリティ設定共通化手順( SCAP )、脆弱性ハンドリング、バグバウンティプログラム、need-to-know 、need-to-use 、アカウント及びアクセス権のレビューが必要になるタイミング(利用者の異動、業務担当者の変更、雇用又は契約の終了など)、セキュリティクリアランス、意識向上プログラム |
| 4 | CSIRT の構築(体制の構築、規程の整備、メンバの訓練など)、CSIRT 活動の設備(執務スペース、通信設備、データの管理・廃棄のための設備、インシデントトラッキングシステムなど)、PSIRT 、トリアージ、Chain of Custody(証拠保全の一貫性) |
これに加えて、前回( 11 月 5 日)公表された「情報処理安全確保支援士試験(レベル 4 )」シラバス 追補版(午前Ⅱ)Ver.3.0 」の中に出てくる用語もチェックしておけば万全ですね。追補版の方は、さらに細かく用語が定義されていますから。
さいごに
以上、繰返しになりますが、今回改訂されたシラバス(2.0)はとてもいい内容です。何が良いかって、試験対策をする上で学習効率が上がることが期待できるからです。
そこで、(この記事をいつ読むかによっても変わってきますが)できれば早い段階で(この記事が公開されたのが 12 月初週なので、12 月中もしくは 1 月中に)、これらの新たな用語をチェックしておきましょう。
label 関連タグ『定額制』
高度試験対策研修 KOUDO 初公開!
定額制だから、どの区分でも何名でも受け放題!!
- 略歴
- 株式会社エムズネット代表。
大阪を主要拠点に活動するIT コンサルタント。 本業のかたわら、大手 SI 企業の SE に対して、資格取得講座や階層教育を担当している。高度区分において脅威の合格率を誇る。 - 保有資格
-
- 情報処理技術者試験全区分制覇(累計 32 区分,内高度系 25 区分)
- ITコーディネータ
- 中小企業診断士
- 技術士(経営工学)
- 販売士 1 級
- JAPAN MENSA 会員
オフィシャルブログ 「自分らしい働き方」Powered by Ameba
