情報セキュリティスペシャリスト合格へのアンチパターン
2月になりましたね。
平成23年春の情報処理技術者試験の申込みは,今月22日(火)20時まで(インターネット申込み)です。まだ申込まれていない方は,忘れないうちに早めに申込みましょう。
わく☆すたの公開セミナー,「情報セキュリティスペシャリスト対策1日集中コース」も,今週末2月5日(土)に開催です。
こちらは,応用情報技術者試験レベルの基礎知識のある方が,1日で情報セキュリティスペシャリストの学習を行うための講座です。初心者向きではありませんが,ベースの知識があって,効率的に学習を行いたい方は,ぜひご参加ください。
最近,情報セキュリティスペシャリスト試験対策の研修を行うことが多いです。
そこで見ていて,「これはまずいな」と感じてしまうのが,次の3つのアンチパターンです。
なるべく伝えるようにはしていますが,「勉強とはこういうものだ」と思い込んでいる人には,なかなか通じなくって歯がゆい感じがすることもよくあります。
私の経験上,こういうことをしている人は,たいがい落ちる,という典型的なアンチパターンを紹介します。
1.用語だけを一生懸命暗記している
単語帳に書いたり,ポケット用語集的な本を使って,用語「だけ」を暗記している人を時々見かけます。
情報セキュリティスペシャリスト試験は,確かに知識として新しい用語がいっぱい出てきますが,用語だけ知っていても,午前はともかく午後の記述問題は解けません。
攻撃「SQLインジェクション」,対策「バインド機構」とか覚えていても,あんまり意味がありません。
特に,そうやって覚えてて,その言葉が出てくると,「あ,その用語知ってます」とか,「それを覚えればいいんですね」と言う人は,まず間違いなく理解はできていないですし,合格はできません。
単に用語を知っている,というだけでなく,意味を理解できて,状況によって使い分けできる,ぐらいの学習は必須です。
2.自分の答えに固執する
情報セキュリティスペシャリスト試験というのは,実はあまり,「自分で考える」という試験ではありません。
ISMSの考え方を中心に,ISO27000シリーズとか,個人情報保護とか,内部統制とか,ベースの考え方があって,その考え方に沿って,答えを導き出す,という感じです。
問題を解いて,自分の考え方に固執して,「この答えでも理屈が通ってるから合ってるはず」と主張する人は,たいがいなにか,大きな前提を見落としていたりします。
例えば,地方の小さい不動産会社に,フォレンジックシステムとか,財政的に無理です。
問題文の前提と,情報セキュリティマネジメントの考え方から,妥当で現実的な解を導き出す必要があります。
ですので,問題演習の段階では,「自分の解答も別解としてOK」と正当化を考えるよりも,解答例に出ている正解がなぜ導かれたのかを考えてみた方が効果的です。
問題文に,自分が見落としているなにか別の前提があるのかもしれないですし,自分が知らない規格や標準になっている考え方がベースになっているのかもしれません。
理論的に考えることを追求するなら,情報セキュリティスペシャリストよりデータベーススペシャリストの方を強くおすすめします。こちらは,理論が一本筋が通っていて,深く考えると答えが一意に見えてきて,解いていて数学みたいな気持ちよさがあります。
情報セキュリティスペシャリストは,一筋縄ではいかない現実に,いかに妥当な落としどころを見つけるか,的な感じがあります。
ですので,文系的な考え方ができる人の方が,なじみやすいとは思います。
3.情報セキュリティだけを勉強する
これは情報セキュリティの試験なのだから,と,情報セキュリティ「だけ」勉強しようとする人がいます。
セキュリティの勉強に,OSIの7階層は関係ない。。。わけがありません。
特に,ネットワークやシステム開発,データベースは,これらの技術が出てきたときに無視すると,合格はとても難しくなります。それに,情報セキュリティという技術自体が,元々他の分野の技術の応用技術なので,それだけ理解しようとするとかえって非効率です。
できれば応用情報技術者レベル,最低限でも基本情報技術者レベルの他分野の知識は必要です。
情報セキュリティスペシャリスト試験は,この試験がはじめての高度区分,という人が多いからか,単に情報セキュリティについて知識を身につければ合格出来る,と勘違いしている人が多いように感じます。
実際に必要な勉強をして,合格に向けて進んでいきましょう。