合格がもちろん最優先、でも合格して終わりじゃない
――上原さんはこれまでも、翔泳社の『情報処理教科書』シリーズで情報セキュリティに関する著書を数多く上梓されてきました。最新刊『情報処理教科書 情報処理安全確保支援士 2017年版』のコンセプトを、お聞かせいただけますか。
上原孝之氏(以下、上原):私が前職の株式会社ラック(以下、ラック社)に在籍していた1996年当時は、ちょうど日本でインターネットの普及が急速に進んでいたころで、自分も技術者としてインターネットに強い興味を抱いていました。そんな折、インターネットセキュリティの社内ベンチャーを立ち上げた人がいたのです。かつてはラック社の社長であり、私の現在の勤務先(S&J株式会社)の社長である三輪信雄さんです。私がこの分野に携わることになったきっかけは、三輪さんが同年に社内で開いたインターネット講座への参加でした。ですから、今年[1]は情報セキュリティの仕事を手がけて、ちょうど20周年に当たります。
翔泳社とのご縁は、2000年に情報セキュリティポリシーの策定をテーマにした書籍『図解 そこが知りたい! IT時代の経営者とシステム管理者のためのネットワーク危機管理入門』を刊行したのが始まりです。その後、2001年に「情報セキュリティアドミニストレータ」がIPAの情報処理技術者試験に加わったことを受け、その学習書を刊行しました。それが現在の『情報処理教科書』シリーズにつながっています。そうした意味で、今回の『情報処理教科書 情報処理安全確保支援士 2017年版』は、私の過去20年間の経験や知識の集大成ともいえるものであり、試験合格を目指す方はもちろん、情報セキュリティの実務に携わる方々にも、広く役立てていただきたいと考えております。
注
[1]: 本稿のインタビューは2016年12月に行った。
――この学習書を執筆されたとき、何を重視されたのですか?
上原:もちろん一番の目的は資格試験の合格ですが、私としては正直なところ「合格さえすれば、それでOK」とは考えていません。合格の結果として、その資格をちゃんと仕事に活かすための基礎的な能力を身につけていることが重要と考えます。そのためにも、言うなれば「セキュリティの基礎や考え方」を、学習の過程でしっかり身につけていただきたいと思います。
本書では第1章で、「情報セキュリティではそもそも何が大事か?」「何が必要か?」という基本的な考え方を紹介しています。基本というと、ついさらりと読み過ごしがちですが、実はここがもっとも根本的で大切なのです。というのも、情報セキュリティは学習内容が多岐にわたるため、本書もかなり分厚くなっていますが、これを丸ごと暗記するのはとても無理です。
そこで必要になるのが、用語などの細かい枝葉ばかりを暗記するのではなく、「そもそも情報セキュリティ対策はどのような考えで実施するべきか」という、情報セキュリティのベースとなる考え方をしっかりと身につけることです。これができてくると、試験で未知の技術や用語が出てきても、出題者の意図を読み解きながら解答を導き出せることが少なくありません。私は情報セキュリティの国家試験制度が始まって以来、ほとんどすべての問題解説を手がけてきた経験から、そうした基礎力の大切さを痛感しています。
お知らせ本稿で紹介している学習書は、全国書店・Web書店で絶賛発売中です!
第1~4章:基礎固めをしつつ、得意/不得意分野を洗い出す
――基本を身につけるには、この教科書のどこをどう読んでいくべきか、具体的に教えていただけますか。
上原:前半を占める第1章から第4章にわたって、情報セキュリティの構成要素、対策実施における考え方、管理策などについて述べています。
- 第1章:情報セキュリティ及びITの基礎
- 情報セキュリティの概念や基本的な考え方、必要となるITの基礎など
- 第2章:情報セキュリティにおける脅威
- 情報セキュリティを「脅かすものは何か?」~脅威の分類や概要、具体的な攻撃手法など
- 第3章:情報セキュリティにおける脆弱性
- 「脅威を受け入れ、実害を発生させる原因となるものは何か?」~脆弱性の概要や具体例、対策など
- 第4章:情報セキュリティマネジメントの実践
- リスクアセスメントとリスク対応、情報セキュリティポリシーに基づく組織、管理面での対策の実践方法など
基本的な考え方を第1章で、「何が危なくて、どこをどのように守るべきか?」を第2~3章で学びます。さらに第4章では、第1~3章で学んだことをリスクマネジメントや情報セキュリティマネジメントの視点から考えていきます。後半となる第5章以降では具体的な対策技術やシステム開発、法制度など、より具体的で詳細な内容を学んでいきますが、これらを確実に理解するためにも前半をしっかりと押さえておくことが必要です。
また、こうした基礎固めのための学習は、午後の記述式の試験対策として欠かせません。自分で考えて書くということは、用語の丸暗記だけではできないからです。
――基本といっても、第1章から第4章までで全体の半分くらいになります。本書は約780ページありますから、通して読むには相当な量ですね。
上原:各章は、内容ごとに節に分かれていて、各節の最後には「重要項目のチェックリスト(Check!)」と「確認問題」があります。これらを活用して、まずは自分の苦手な箇所や知らないことがらを洗い出してそこを集中的に学習するといった、メリハリをつけるとよいでしょう。これは本書全体を通していえることですが、最初から「さあ読むぞ!」とかまえて全編をじっくり読み通すよりも、まずはざっと流し読みをしながら確認問題を解いてみて、分からないところを発見し、確実に潰していくことが効率のよい学習につながります。
――「彼を知り、己を知れば、百戦危うからず」という格言のとおり、自分の弱点を正確に洗い出して、どこを重点的に学習すべきかを把握するのが第一歩というわけですね。
上原:そのとおりです。そうやって自分の得意分野/苦手分野をきちんと把握し、効果的な学習方法を身につけておくことは、試験の合格に役立つだけでなく、必ず将来の仕事の場でも活きてくるはずです。情報セキュリティはひときわ変化や進歩が早い分野です。日ごろから幅広く情報収集を行い、必要なものを効果的に取り込む習慣をつけておけば、新しく出てきた脅威や技術などを見ても、その意味や影響、要点をすぐに理解して自分の中に取り込んでいけるようになります。
第5~9章:セキュリティ対策技術を詳しく見るが、基本の理解が前提
――本書の後半(第5~9章)では、かなり具体的な技術や用語が次々に出てきます。一つひとつに長時間引っかかっていては学習が進みませんから、前半でそうした効率のよい学習法を身につけておくのは大事ですね。
上原:後半では技術的な事柄が多くなりますが、それもやはり前半をきちんと理解していてこそ役立ちます。第5~8章ではセキュリティ対策技術を詳しく見ていきますが、ここでは個々の対策技術の目的や実施による効果、運用における課題などを知り、それによって、どのように脆弱性を減らしていくかを理解することが重要です。
用語も数多く出てきますが、「何のためにこの対策があって、その結果どういうリスクがどのようにコントロールできるのか」といった土台固めができていれば、実際の利用場面に関連付けて効率よく学習できます。そうなれば、問題全体を見渡して深く理解できるようになるし、用語の暗記に苦しむようなこともなくなるはずです。
――問題の全体を見わたした上で、それぞれの要素の関係や流れを把握して、問題解決の方向を決め、どう考えるべきかを割り出していけるようになるのですね。
上原:「基本の考え方を身につける」というのは、「問題を点ではなく、面で理解できるようになる」ことだとも言い換えられます。これは試験問題だけでなく、実務でも同じです。つまり、何か情報セキュリティに関わる問題が起きた場合に、全体を俯瞰して事態を正確に分析し、切り分けできる能力です。これが身につけば、いざ現場でインシデントが発生した場合の実践的な対応力になるでしょう。本書の後半で学んだ知識を実務に活かすには、前半の基本の理解が不可欠だというのも、そういう意味なのです。
学習のモチベーションを維持するには
――受験者の中には、仕事の合間に時間をやりくりしている人も多いと思います。試験に向けて、どのように学習スケジュールを立てるとよいでしょう。
上原:試験は半年に1回行われます。これは私の個人的な感覚ですが、4か月前くらいから始めるのがよいのではないでしょうか。もちろん半年前、1年前と周到に準備するやり方もあるでしょうが、普段仕事をしながらそれだけの長期間、学習意欲を持続させるのは容易なことではありませんので、途中で息切れしてしまうこともあると思います。具体的な進め方としては、以下のようなイメージです。
序盤対策
-
まず第1~4章を読んで基礎を固める
=試験や情報セキュリティの全体像を把握する -
過去問題[2]を解いて大まかな傾向を把握しながら、各章に沿って学習を進めていく
=自分の癖や問題の癖を知る
中盤対策
- 自分の癖や弱点の確認と強化を進め、理解をさらに深める
- 午後試験(記述式)に向けた、「文章を書く」トレーニングを進める
- この時期を通じて、本書の解説を何度も読み込み、活用することが理解に役立つ
直前対策
-
「繰り返し学習」と「トレンドウォッチ」の2点で仕上げを行う
- これまでの学習で分かった自分の弱点や頻出・重要分野の反復・強化
- 本番で出るかもしれない重要なトピックや最新トレンドへの目配り
――試験まで何か月もモチベーションを維持していくのは、学習スケジュールを実現する上でも重要な問題です。上原さんご自身の経験に照らして、何かよいアドバイスをいただけないでしょうか。
上原:すでに仕事についている方なら、日常業務の中で常にアンテナを立てておくのが有効です。インターネットにはセキュリティ関連の情報があふれていますが、その中から有益なものを見分けるには、ふだんからいろいろな分野の情報や、自分の所属している組織の課題などにも関心を持っておくことが大切です。そうした意識があれば、“使える情報“への勘が育つし、新しい知識を学ぼうという意欲もわいてきます。
繰り返しになりますが、そのためにもやはり“基本”が一番の力になります。次から次に新しいものが出てきても、自分の中にきちんとしたベースがあれば、それほど苦労することなく必要なものを取捨選択できます。
学習には、「試験合格のための短期的な学習」と「中長期的な、専門家としての基礎力の習得とアップデート」の2つの視点があります。将来にわたり情報セキュリティのエキスパートとして活動していくには、前者だけでなく、後者の視点に立って取り組んでいくことが必要です。また、情報処理安全確保支援士という国家資格としても、そうした継続的なスキルの向上・維持が強く求められています。
注
[2]: 情報セキュリティスペシャリスト試験の過去問題。情報処理安全確保支援士試験は今年4月から始まる試験なので過去問題はないが、出題範囲などは従来の情報セキュリティスペシャリスト試験と同じ。情報セキュリティスペシャリスト試験の過去問題を解いておくことが、情報処理安全確保支援士試験の対策になる。
記述式は「うまく書く」より「質問を正確に理解して素直に答える」
――午後の「記述式試験」は文章を書く機会の少ない人にとって、なかなかの難問だと思いますが、どう対策すればよいですか。
上原:まず知識の強化という面では、本書の確認問題と解説を繰り返し活用して、自分の弱点を解消していきましょう。そして、「書く」という面ですが、これは数をこなすしかありません。午後問題を繰り返し解いて書くこと自体に慣れ、制限字数内で題意に沿った解答文をまとめられるように訓練しましょう。
――記述式の解答では、「分かっているのに、実際に書いてみるとうまく書けない」とか、「書き上がったら、出題の意図とずれた内容になってしまった」といった声をよく聞きます。
上原:記述問題は、あくまで試験の答案です。学術論文のような深い内容を求められるわけではありません。むしろ、解答の内容自体は実に当たり前のことなので、題意を正確に把握して素直に解答するように心がけましょう。無理に上手な文章を書こうとするよりは、「出題者が求めるキーワードを見逃さない」といったことのほうが大事なのです。
また、資格試験では、いわゆる “ひっかけ問題” はまず出ません。問題の中にヒントが散りばめられていて、それをつなぎ合わせていけば解答が出るような素直な出題が多いので、そのヒントに気づけるかどうかもポイントです。これも問題の数をこなすうちに、自然と見えてくるようになります。
記述問題の全体的な傾向として、「情報セキュリティの現場で何かインシデントが発生した」という設定が多いので、そうしたケーススタディ対応の考え方や要点などを整理しておくことも重要です。本書では第4章「情報セキュリティマネジメントの実践」で、インシデント管理について解説しています。
――「文章を書く」というのは選択式に比べて評価の判断基準が分かりにくく、自分の悪い癖を見つけるのは難しいと思いますが。
上原:出題形式にかかわらず、いくつも問題に取り組むうちに、必ず自分の癖が見えてきます。「なぜできないのか?」「分かっているけれど、深読みし過ぎや、題意の取り違えをしてしまったのか?」といった振り返りを問題を解くたびに行って、自分の良い点を伸ばし、悪い点を直していくことが実力を養います。
また、記述式では、自分の持っている知識を題意に沿った解答に組み立てていく思考プロセスが欠かせません。そのトレーニングに、本書の問題解説を大いに活用していただきたいです。この解説では、解答にいたる道筋をコンパクトにまとめてあるので、自分の欠点を反省し、修正する際に参考になると思います。
――苦手なのを無理に上手に書こうとして苦しむのではなく、出題者の意図を正確に理解して、ヒントがあればそれを確実に発見できるように、繰り返し学ぶことが合格への早道というわけですね。
上原:苦手分野といえば、「セキュアプログラミング」に抵抗感をおぼえる人は多いようです。普段プログラミングに関わらない人だと、たとえば“Javaのセキュアプログラミング”とかいわれても、どう学習していいか見当がつかない、ということもあるのではないでしょうか。
しかし、プログラミング自体は情報セキュリティのごく一部に過ぎませんし、近年はあまり出題されていません。苦手な方は、むしろ確実に得点できる他の分野に学習時間を割くほうが、試験対策としては賢明ではないでしょうか。プログラムの細かな記述方法について覚えるよりも、本書の第8章「システム開発におけるセキュリティ対策」で解説している、「開発プロセスにおけるセキュリティ対策とは何か?」といった基本的な考え方を押さえておくことが重要です。
合格後も業務で本書を活用してほしい
――最後に、本書で合格を目指す方に、一言メッセージをお願いします。
上原:私はこれまで、お客様のインシデント対応や対策支援といった実体験の積み重ねを通じて、数多くの実践的な知識やノウハウを身につけることができました。本書にはそうした20年間の経験なども、できる限り盛り込んだつもりです。そのため、試験対策本ではありますが、多彩な分野を網羅しており、試験合格のための基礎力が身につくだけでなく、日常業務の中でお役に立つ場面もあると思います。過去に執筆した情報セキュリティ教科書の読者の中には、用語などの辞書代わりに活用しているという方もいらっしゃいます。本書が、皆さんの将来にわたる良きパートナーになれたらうれしいですね。