こんにちは、たわらです。

このたび情報セキュリティマネジメント試験に受かったっぽいので、その記録を残しておく。

上司「セキュリティに理解ある人材がいなくてね」ボク「試験受けてみます」

という経緯で情報セキュリティマネジメント試験を受けることになった。WEBエンジニアに転職してはじめての一年の（たしか）目標を立てる相談をしたときの会話である。

弊社は情報システム部門がない。エンジニアの上司が目を光らせているだけだった。セキュリティの知識のある人材が欲しい、だからセキュリティ関連の資格試験を受けるのはどうだろうか、と会話は流れた。

そこでいろんな資格を調べてセキュリティ界隈のエントリー資格のような情報セキュリティマネジメント資格を取得することに決めた。ITパスポートと似た位置づけだからそれほど難しくはないだろうと思っていた。ちなみに目標に掲げた取得資格はこの他に、基本情報技術者、Ruby技術者認定試験 Silver/Goldである。基本情報はいろいろあってーー要するにきちんと勉強せずにーー落ちた。午後試験は受かっていたのだけれど、、、

基本情報を落ちてしまったので、今度は落ちるわけにはいかなかった。

1ヶ月くらいだらだらと過去問一年分

こちらのサイトで過去問をだらだらと解いていた。

情報セキュリティマネジメント過去問道場｜情報セキュリティマネジメント試験.com

とにかく過去問を解いて、わからない単語や論理が出てくれば、正解/不正解の選択肢に関わらず（本試験は選択式）該当箇所を参考書で学習した。遅延評価勉強法である。簡単に理解できない箇所は該当箇所の章をまるっと読んだりした。

使った参考書はこちら。

午前 / 午後　80 点くらいだった

合格ラインが60点以上らしいので、受かったっぽい。

ただ試験には受かったけれど体系的理解を深められた自信はない。試験が終わった安堵感で知識の半分くらいが消え去ってしまったみたい。

とはいえ、公開鍵暗号方式、共通鍵暗号方式、ブルートフォース攻撃、プロキシサーバー、VPN、デジタル署名、リスク受容、ソーシャルエンジニアリング、非武装セグメント/内部セグメント、認証局などなどの単語に反応できるようになった。

セキュリティ知識の活躍はかっこよい

午後試験は国語の文章問題のようなケーススタディから適当な選択肢を選ぶスタイルのため、参考書にはセキュリティに失敗した事例が載っている。これが面白かった。

意外と身近なセキュリティインシデントの例にふれることができる。取引先を装ったメールでのソーシャルエンジニアリングによる標的型攻撃や会社PCがマルウェアにかかった事例など。

セキュリティの知識があれば確かにこれらの不備は未然に防げるかもしれない。けれどケーススタディでもっと魅力を感じたのは、セキュリティの知識があればセキュリティインシデントにスマートに対応できることだった。その手腕が見事に感じられてよかった。かっこいい！と思ったのだ。

ぜひ業務に活かしてくださいね、と合格を伝えると上司に言われた。セキュリティの大切さは理解できたので活かせる仕事を考えたい、、、

次はRuby技術者認定試験 Silverを来月に受ける

基本情報も情報セキュリティマネジメントも業務に関連のある学習だったけれど、座学中心なので少しばかり飽きてしまった。

Railsエンジニアとして業務に直結するRubyを勉強できるのはとても楽しい。Goldまで取るとコードリーディング力があがるらしい。いろんなメソッドを駆使してスマートなコードを書けるようになりたい。ひとつのプログラミングを深く理解することは他言語を理解するときの素養につながるはずなので、きっちりと勉強したい！

（了）