情報セキュリティマネジメントの過去問からみる出題傾向

以下は、情報セキュリティマネジメント試験で出題される分野です。

分類	大分類	中分類
テクノロジ系	コンピュータシステム	システム構成要素
	技術要素	データベース
		ネットワーク
		セキュリティ★
マネジメント系	プロジェクトマネジメント	プロジェクトマネジメント
	サービスマネジメント	サービスマネジメント
		システム監査
ストラテジ系	システム戦略	システム戦略
		システム企画
	企業と法務	企業活動
		法務★

特に、★印があるテクノロジ系のセキュリティ分野と、ストラテジ系の法務分野が重点分野です。また、ITパスポートとほぼ同様の出題分野となっており、重点分野以外は重複する内容を含む問題も出題されます。
セキュリティ分野と法務分野についてはより専門的な知識を要求されますので、ここは重点的に勉強するべきでしょう。

PA（独立行政法人情報処理推進機構）が公開しているサンプル問題があり、サンプル問題の1〜48問までは科目A、49〜60問までが科目Bとなっています。
情報セキュリティマネジメント試験では、科目Aは知識が定着しているかを確認するための4択問題、科目Bは企業の実務を例にして技能が身についているか確認するための多肢選択問題が出題されます。解答時間は120分で、科目A、科目Bをまとめて実施します。
合格基準点は、科目Aと科目Bを合わせて1,000点満点中、600点です。

情報セキュリティマネジメント試験の合格には幅広い知識が要求され、専門用語や略語も多く、すべて理解するには相当な時間がかかります。情報セキュリティマネジメントの合格までに必要な勉強時間は約200時間とも言われています。まずは試験でよく出題されるテクノロジ系のセキュリティ分野とストラテジ系の法務分野を集中して勉強していきましょう。

勉強方法としては、過去問を解いてみて、解答できなかった問題をオンライン講座や参考書でチェックする、といった過去問ベースでの勉強がおすすめです。なお2023年3月まで、科目Ａは「午前問題」として実施されていたので、「午前問題」の過去問を解くことになります。出題範囲、出題のされ方に変更点はないのでそのまま流用が可能です。

科目Aはすでに多くの過去問が揃っています。同様の知識が問われる問題も多く存在しているため、ある程度知識を頭に詰め込んだ後は積極的に過去問を解いていくことをおすすめします。過去問をやりこむことで、“どのような知識が多く必要なのか”を実際に体感することもできるでしょう。

また、過去問を解くことで、あまり知識が定着していない分野を把握することもできます。過去問を解きつつ、なかなか解けない、知識が定着しない…という分野があった際には、オンライン講座や参考書などを活用して、再確認することもおすすめの対策です。

情報セキュリティマネジメント試験の科目Bは2023年4月からCBT方式に移行しました。そのため、これまでの午後問題と同じ出題のされ方ではなくなりました。また、CBT形式では第三者へ試験問題を開示することができないため、過去問が増えることはありません。
科目Bは科目Aの問題数と比べ12問と少ないものの、文章量がかなり多く、すべての問題を読むだけでもかなりの時間が必要です。具体的には、科目Aは1ページに3〜4問出題されるのに対し、科目Bは2ページで1問の出題になります。さらに、マネジメント分野での深い知識を求められる出題が多いのも特徴の1つです。出題範囲は2023年3月までの午後問題と変更はありません。
したがって、科目Bの対策としては、マネジメント分野の知識を深く理解することが特に重要になります。オンライン講座や参考書では分野ごとで説明されているため、マネジメント分野だけを集中的に学習することが可能です。これらのツールを使って、知識を可能な限り深めてしっかり対策しておきましょう。

マネジメント分野の知識を深めておくべき理由としては2点挙げられます。
1点目は科目Bの出題範囲が
「情報セキュリティマネジメントの計画、情報セキュリティ要求事項」
「情報セキュリティマネジメントの運用・継続的改善」に関する内容であることです。

2点目は情報セキュリティマネジメントのメインターゲットが「IT を利活用する者」 とされていることです。
これらの点を考慮すると、システム面での対応に対する技能ではなく、システムの運用方法についてを深く問われる傾向が強いことが分かります。筆者自身、過去問を解いているときや実際に受験した時もマネジメント分野の傾向が強いと感じました。マネジメント分野への理解を深めることが試験合格への一歩となるでしょう。