株式会社わくわくスタディワールド

情報セキュリティスペシャリストは簡単になった

わく☆すた,美月です。
以前,「情報セキュリティスペシャリストは簡単?」という記事で,情報セキュリティスペシャリストの話を書きました。その後,1年やってみて,試験問題の傾向や,合格率,合格者の傾向を見ると,やっぱり
 「情報セキュリティスペシャリストは,簡単になった」
と,結論せざるを得ないのかなぁ,と考えてます。
この,「簡単になった」というのは,2つの意味があって,

 1.他のスペシャリスト系(ネットワークスペシャリスト,データベーススペシャリスト
   など)と比べて簡単になった
 2.以前の,「テクニカルエンジニア(情報セキュリティ)」と比べて簡単になった

の両方を指してます。
さすがに,応用情報技術者試験より簡単,ということはありませんし,一応高度区分の1種目だとは思いますが,多分,高度区分で合格するのに一番簡単な資格になったんじゃないかな,と感じています。
秋試験の合格率は18.5%です。これは,昔だと基本情報技術者試験並みです。
新試験制度になって,すべての試験区分で合格率は上がったのですが,この数字はやっぱり,高度区分の中では突出していると思います。
ちなみに,ネットワークスペシャリストの合格率は14.9%です。以前は,ほとんど変わらない合格率だったことを考えると,この差は結構大きいのかな,と感じてます。
簡単になった原因を分析すると,次の2つが大きいと考えてます。

 (1)午後1が4問中2問になった
 (2)問題文が読みやすく,素直になった

問題で求められる知識レベルとか,情報セキュリティの内容自体は,テクニカルエンジニア(情報セキュリティ)の時と,あんまり変わっていないように思います。技術的なことが聞かれる部分は,テクニカルエンジニア(情報セキュリティ)と同じぐらいですし,昔の情報セキュリティアドミニストレータとは違う試験です。
以前も書きましたが,情報セキュリティスペシャリストの問題を,全部解けるようになるには,

  • セキュリティ技術(暗号化,認証,アクセス制御,攻撃手法など)

  • セキュリティマネジメント(特にISMSなどの考え方は重要)

  • ネットワーク技術(ネットワークスペシャリストほどじゃないけど,結構高いレベルが必要)

  • データベース技術(これは応用情報技術者レベルでOK)

  • 開発技術(応用情報技術者程度)

  • セキュアプログラミング(Java,C++,Perl)


など,様々な知識が必要です。
でも,実は,合格するラインの60点を取るだけなら,「半分ぐらいしか知らなくても受かる」ようになってしまったのかな,というのをすごく感じてます。
これは,(1)の,午後1が4問中2問になったことが大きいのかな,と感じてます。
平成20年までは,どの高度区分も,午後1は4問中3問選択でした。
テクニカルエンジニア(情報セキュリティ)の試験は,大体この4問が,ざっくりと

 1.セキュアプログラミングの問題
 2.セキュリティ技術の難しめの問題
 3.セキュリティ技術のやさしめの問題
 4.セキュリティマネジメントの問題

という感じの4問でした。
ここで,大体一番難易度が高いのが,1のセキュアプログラミングですので,これを避けると,残りの3問はすべて選ばなければならないので,結構大変でした。
試験制度が変わって,情報セキュリティスペシャリストになっても,4問の傾向は,大体同じです。違うのは,4問中2問になって,上の「3と4」だけ選んでも問題がなくなったことです。ですので,ネットワークの知識が必要な問題など,技術的な話を避けることでも,午後1を突破することができるようになりました。
ちなみに,ネットワークスペシャリストやデータベーススペシャリストは,元々4問全部がネットワークやデータベースにほぼ特化した問題ですし,3問中2問になったので,選択問題数が減ったことでの,勉強内容の変化は比較的少ないです。
実際,平成21年秋の情報セキュリティスペシャリスト午後1の突破率は61.6%で,5割前後だった以前と比べると,かなり上がっています。
これがいいことなのかどうかは分かりませんが,苦手分野が多くても受かりやすくなっているのは事実です。
あと,(2)の部分で,今回秋試験で特に感じたのは,「問題文が読みやすい」ということです。
「問題がややこしくて,国語力がないと解けない」という問題は,明らかに減っています。平成21年秋の試験問題だと,午後2の問1は,国語力問題的な要素はありますが,それ以外は,かなり素直な問題文です。
ややこしい文章がなくなって,知識の部分の割合が増えてきたという印象を受けています。これは,受ける側からすると,負荷が減った「改善」かな,とは感じてます。
実際,今回の試験だと,今まで「知識はあるけど国語力にちょっと弱点がある」という感じの人が,かなり合格しています。そう言う意味で,情報セキュリティが「国語力の試験」だという要素が,少なくなっている印象は受けてます。
以上のことで,合格最低ラインを突破するだけなら,情報セキュリティスペシャリストは簡単になったのではないかと考えています。
ただ,その分,「取っても評価されない資格」につながる可能性もあるなぁ,という危惧はあります。実際,情報セキュリティスペシャリストだけ持っていても,転職に使える,って感じではないですし。
応用情報技術者試験に合格して,「はじめての高度区分」として受けてみるのにちょうどいい難易度の資格になったという印象です。
試験区分に迷っている方は,一つの意見として参考にしてください。