名科辞典―これは何?情報は?にこたえるコンテンツ

トップ 情報処理安全確保支援士とは

情報処理安全確保支援士とは―登録セキスペ。概要と過去問解説。

情報処理安全確保支援士とは、①情報セキュリティスペシャリスト試験、②更新制、③守秘義務のある資格という特徴のある資格制度。通称名は、登録情報セキュリティスペシャリスト(登録セキスペ)です。情報処理安全確保支援士の概要と過去問解説をまとめています。

▲記事トップへ

目次

この記事の目次です。

1. 登録セキスペ試験の過去問解説
2. 情報処理安全確保支援士とは
3. 登録セキスペ試験の詳細
4. 登録セキスペ試験と情報セキュリティスペシャリスト試験
5. 登録セキスペ試験の受験・登録手数料
6. 議案要旨

参考資料
関連用語
更新履歴

1. 登録セキスペ試験の過去問解説

ここでは登録セキスペ試験の過去問の解説をまとめています。 資格の内容などについては「2. 情報処理安全確保支援士とは」以降にまとめています。

午前Ⅰ

情報処理安全確保支援士試験 午前Ⅰの過去問解説です。 午前Ⅰは、ITストラテジ試験 システムアーキテクト試験 ネットワークスペシャリスト試験 情報セキュリティスペシャリスト試験 ITサービスマネージャ試験共通の問題になります。

詳細

午前Ⅱ

情報処理試験の情報処理安全確保支援士試験(SC)の午前Ⅱの過去問の解説をまとめています。

詳細

午後Ⅰ

午後Ⅰの過去問の解説をまとめています。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1

令和元年度 秋期の登録セキスペの午後Ⅰの問1について見ていきます。

問題文

電子メールのセキュリティ対策に関する次の記述を読んで、設問1~4に答えよ。

N社は、従業員数500名の情報サービス事業者である。 N社の情報システムの構成を図1に示す。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の図1

N社の情報システムは、情報システム部(以下、情シ部という)のQ部長とU主任を含む5名で運用している。

各PC及び各サーバは脆弱性修正プログラムが自動的に適用され、導入済のマルウェア対策ソフトのマルウェア定義ファイルが自動的にアップデートされる設定になっている。 外部メールサーバでは、スパムメールフィルタの機能を利用している。

N社では、インターネットドメイン名n-sha.co.jp(以下、N社ドメイン名という)を取得しており、メールアドレスのドメイン名にも使用している。 外部DNSサーバは、電子メール(以下、メールという)に関して図2のように設定してある。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の図2

送信者メールアドレスには、SMTPの  a  コマンドで指定されるエンベロープの送信者メールアドレス(以下、Envelope-FROMという)と、 メールデータ内のメールヘッダで指定される送信者メールアドレス(以下、Header-FROMという)がある。 送信したメールが不達になるなど配送エラーとなった場合、Envelope-FROMで指定したメールアドレス宛てに通知メールが届く。 N社では、従業員がPCからメールを送信する場合、Envelope-FROM及びHeader-FROMとも自身のメールアドレスが設定される。

昨今、メールを悪用して企業秘密や金銭をだまし取る攻撃が発生しており、N社が属する業界団体の会員企業でも、なりすましメールによる攻撃によって被害が発生した。 こうした被害を少しでも抑えるため、同団体から送信者メールアドレスが詐称されているかをドメイン単位で確認する技術(以下、送信ドメイン認証技術という)を 普及させるよう働きかけがあったことから、N社でも情シ部が中心になって送信ドメイン認証技術の利用を検討することになった。

〔送信ドメイン認証技術の検討〕
Q部長とU主任は、送信ドメイン認証技術の利用について検討を始めた。 次は、その際のQ部長とU主任の会話である。

Q部長:当社でも送信ドメイン認証技術を利用すべきだと経営陣に報告したい。 まずは、どのような送信ドメイン認証技術を利用するかを検討しよう。

U主任:送信ドメイン認証技術では、SPF、DIKN、DMARCが標準化されています。 当社の外部メールサーバでは、いずれも利用が可能です。

Q部長は、図3のなりすましメールによる攻撃の例を示し、送信ドメイン認証技術が各攻撃の対策となるかどうかをまとめるようにU主任に指示した。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の図3

U主任は、SPFへの対応と各攻撃に対する効果の関係を表1にまとめ、SPFが対策となるかどうかを同表を用いてQ部長に説明した。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の表1

次は、その後のQ部長とU主任の会話である。

Q部長:SPFに対応するには、具体的にどのような設定が必要になるか。

U主任:DNSサーバでの設定は、当社の外部DNSサーバに図4に示すTXTレコードを登録します。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の図4

メールサーバでの対応は、当社の外部メールサーバの設定を変更します。 SPFによる検証(以下、SPF認証という)が失敗したメールは、件名に[NonSPF]などの文字列を付加して、受信者に示すこともできます。

Q部長:なるほど。SPFの利用に注意点はあるかな。

U主任:メール送信側のDNSサーバ、メール受信側のメールサーバの両方がSPFに対応している状態であっても、 その間でSPFに対応している別のメールサーバが、Envelope-FROMを変えずにメールをそのまま転送する場合は、 ①メール受信側のメールサーバにおいて、SPF認証が失敗してしまう という制約があります。

Q部長:なるほど。それでは、DIKMはどうかな。

U主任:DIKMに対応したメールを送信するためには、まず、準備として公開鍵と秘密鍵のペアを生成し、 そのうち公開鍵を当社の外部DNSサーバに登録し、当社の外部メールサーバの設定を変更します。 DKIM利用のシーケンスは、図5及び図6に示すとおりとなります。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の図5と図6

Q部長:DKIMの方が少し複雑なのだな。

U主任:はい。しかし、DKIMは、メール本文及びメールヘッダを基にディジタル署名を付与するので、 転送メールサーバがディジタル署名、及びディジタル署名の基になったメールのデータを変更しなければ、 たとえメールが転送された場合でも検証が可能です。SPFとDKIMは併用できます。

Q部長:分かった。両者を導入するのがよいな。それでは、DMARCはどうかな。

U主任:DMARCは、メール受信側での、SPFとDKIMを利用した検証、検証したメールの取扱い、 及び集計レポートについてのポリシを送信者側に表明する方法です。 DMARCのポリシの表明は、DNSサーバにTXTレコードを追加することによって行います。 TXTレコードに指定するDMARCの主なタグを表2に示します。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の表2

これらの検討結果を経営陣に報告したところ、N社は送信ドメイン認証技術としてSPF、DKIM、DMARCを全て利用することになり、情シ部が導入作業に着手した。

〔ニュースレターの配信〕
送信ドメイン認証技術の導入作業着手から1週間後、N社営業部で取引先宛てにニュースレターを配信する計画が持ち上がった。 ニュースレターの配信には、X社のクラウド型メール配信サービス(以下、X配信サービスという)を利用する。 ニュースレターは、X社のメールサーバから配信され、送信エラーの通知メールは、X社のメールサーバに届くようにする。 Header-FROMには、N社ドメイン名のメールアドレス(例:letter@n-sha.co.jp)を設定する。 Envelope-FROMには、N社のサブドメイン名:a-sub.n-sha.co.jpのメールアドレス(例:letter@a-sub.n-sha.co.jp)を設定する。 X社のメールサーバのホスト名は、mail.x-sha.co.jpであり、グローバルIPアドレスは、x2.y2.z2.1である。 X社のDNSサーバのグローバルIPアドレスは、x2.y2.z2.2である。 X配信サービスでは、SPF、DKIM、DMARCのいずれも利用可能である。

N社は、ニュースレターの配信についても、3種類の送信ドメイン認証技術を利用することにした。 具体的には、N社の外部DNSサーバに図7のレコードを追加する。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の図7

ここで、受信側で検証に失敗したメールは隔離するポリシとするため、DMARCのpタグとaspfタグは表3のとおりとする。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の問題文の表3

その後、N社と主要な取引先での送信ドメイン認証技術の導入が完了した。

設問

設問1 本文中の a に入れる適切な字句を答えよ。

設問2 〔送信ドメイン認証技術の検討〕について、(1)~(4)に答えよ。

(1) 表1中の b  i  に入れる適切な内容を、“○”又は“×”のいずれかで答えよ。

(2) 図4中の j に入れる適切な字句を答えよ。

(3) 本文中の下線①について、SPF認証が失敗する理由を、SPF認証の仕組みを踏まえて、50字以内で具体的に述べよ。

(4) 図6中の下線②の検証によってメールの送信元の正当性以外に確認できる事項を、20時以内に述べよ。

設問3 図7中の k  l 、 表3中の m  n  に入れる適切な字句を答えよ。

設問4 攻撃者がどのようにN社の取引先になりすましてN社にメールを送信すると、 N社がSPF、DKIM及びDMARCでは防ぐことができなくなるのか。 その方法を50字以内で具体的に述べよ。

出典:令和元年度 秋期 情報処理安全確保支援士 午後Ⅰ 問題

問1の解答例

昨今、なりすましメールによって企業秘密や金銭をだまし取られるなどの被害が発生しており、その対策として、送信ドメイン認証技術を普及させようという働きがあります。 本問では、送信ドメイン認証技術の基礎知識を含め、実際の業務において与えられた環境に送信ドメイン認証技術を適切に適用する能力を問います。

令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問1の解答例
問1の補足

設問1に関して、SPFはSMTPのMAIL FROMコマンドで指定された送信者メールアドレスのドメインを認証することを理解している必要があります。

設問2に関して、SPFの認証の仕組みを理解している必要があります。

SPF

SPFは、Sender Policy Frameworkの略で、電子メールにおける送信ドメイン認証のひとつで、送信元メールサーバのIPアドレス等が正当なものかどうかを判別する手段です。

詳細

DKIM

DKIMは、DomainKeys Identified Mailの略で、スパムメールへの対策のための技術です。 メールに電子署名を付加することで、 メールの送信者および内容が改ざんされていないかどうかを検証できるようにします。

詳細

DMARC

DMARCは、Domain-based Message Authentication, Reporting, and Conformanceの略で、電子メールの送信ドメインの認証、ポリシー、レポートの規約です。 SPFとDKIMを利用したメールのドメイン認証を補強するもので、受信者から送信者に対して認証に失敗した旨を通知するレポートを送ることができます。

詳細

2. 情報処理安全確保支援士とは

情報処理安全確保支援士とは、2016年の第190回 国会の法改正で新設されることが決まった資格制度です。

※省略した呼び方は、登録セキスペです。記事内では「情報処理安全確保支援士」ですと長いので、簡単にするため、以下では、登録セキスペを使用しています。

特徴

①情報セキュリティスペシャリストを引継いだ試験、②更新制、③守秘義務があるという特徴の資格制度です。

難易度

試験は、従来のSC試験を引継ぐもので、難易度は、情報処理技術者試験の最高レベルのレベル4に対応し、高度試験と呼ばれる試験です。

メリット

一般的なエンジニア単価の数倍といわれるセキュリティ診断など、高単価な案件の分配促進が期待され、大手SIer並、それ以上の収益、エンジニアの給与UPが期待されます。

デメリット

資格維持に講習や登録手数料がかかるので、セキュリティ関連の事業を行わない場合は、維持費をロスするだけとなりそうです。

3. 登録セキスペ試験の詳細

登録セキスペ試験の詳細をまとめています。

情報処理安全確保支援士になるためには

情報処理安全確保支援士になるためには、新設される登録セキスペ試験に合格し、登録簿への登録により有資格者とのことです。

登録セキスペ試験は、情報セキュリティスペシャリスト試験ベースの試験になります。 試験に合格後、登録、次項にあるように取得後は更新が必要となります。

更新制

更新制に関しては、1年に1回のオンライン講習、3年間に1回の集合講習(※)を受けることが義務化され、義務に違反した者は登録を取り消されるようです。

※試験合格日から登録日までの期間が3年を超過している場合は1年に両方受ける必要があります。

守秘義務

弁護士などと同様、業務上の秘密を漏らした場合の罰則も設け、企業が安心して人材を活用できるようにするということです。

従来の試験の合格者

従来の情報セキュリティスペシャリスト試験が、登録セキスペでも引きつがれる形で行われます。

過去3年以内に情報セキュリティスペシャリスト試験に合格したものは試験免除で登録簿へ登録できるとのことです。

4. 登録セキスペ試験と情報セキュリティスペシャリスト試験

登録セキスペ試験と情報セキュリティスペシャリスト試験について補足しています。

登録セキスペ試験

上のイメージのように中間報告の取りまとめの資料では、 「資格試験については、試験実施時点の情報セキュリティの知識・技能を測定しているSC試験をベースに新設し、 情報処理安全確保支援士として必要となる情報セキュリティの知識・技能を有するか否かを評価することとする。」 と記述されています。

つまり、登録セキスペ試験は情報セキュリティスペシャリスト試験ベースの試験になります。

情報セキュリティスペシャリスト

情報セキュリティスペシャリストは、IPAが主催する国家試験の一つ。 情報セキュリティスペシャリスト(SC)試験のことです。

難易度は、情報処理技術者試験の最高レベルのレベル4に対応し、高度試験と呼ばれる試験です。

SC試験の概要

情報セキュリティスペシャリスト試験の概要
試験日 春:4月第3日曜日
秋:10月第3日曜日
申込 春:1月中旬~約1ヵ月
秋:7月下旬~約1ヵ月
受験料5700円(税込)

SC試験の内容

午前Ⅰ:50分、4選択形式30問
午前Ⅱ:40分、4選択形式25問
午後Ⅰ:90分、記述式2問(3問中2問選択)
午前Ⅱ:120分、記述式1問(2問中1問選択)

5. 登録セキスペ試験の受験・登録手数料

平成28年10月14日(金)に、「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律の施行期日を定める政令」および「情報処理の促進に関する法律施行令の一部を改正する政令」が閣議決定されました。 支援士試験の受験手数料や登録手数料について公表されました。

受験手数料

受験手数料は、SC試験と同じ5,700円

登録事項の変更等の手数料

登録事項の変更等の手数料は900円。

登録手数料

情報処理安全確保支援士の登録手数料は10,700円。

講習費用等

非課税で、年に1回のオンライン講習は20000円、3年に1回の集合講習は80000円。3年で14万円の費用になります。

参考)国家資格「情報処理安全確保支援士」 講習のご案内 掲載日2016年11月30日 http://www.ipa.go.jp/siensi/koshu.html#ipar_header

6. 議案要旨

「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」の議案要旨の「2 情報処理安全確保支援士制度の創設」の内容です。

議案要旨の内容(イ)

情報処理安全確保支援士(以下「支援士」という。)は事業者等によるサイバーセキュリティの確保のための取組に関し、 サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、 その結果に基づき指導及び助言を行うことその他事業者等のサイバーセキュリティの確保を支援することを業とする。

議案要旨の内容(ロ)

情報処理安全確保支援士試験(以下「支援士試験」という。)に合格した者その他これと同等以上の能力を有すると認められる者で、 経済産業省令で定めるものは、支援士となる資格を有する。

議案要旨の内容(ハ)

支援士となる資格を有する者が支援士となるには、登録簿に、氏名、生年月日その他経済産業省令で定める事項の登録を受けなければならない。

議案要旨の内容(ニ)

支援士は、経済産業省令で定めるところにより、機構の行うサイバーセキュリティに関する講習を受けなければならない。

議案要旨の内容(ホ)

経済産業大臣は、機構に、支援士試験の実施に関する事務及び登録の実施に関する事務を行わせることができる。

参考資料

ニュースリリース

  • 「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律の施行期日を定める政令」および「情報処理の促進に関する法律施行令の一部を改正する政令」が閣議決定されました。 2016年10月14日
    http://www.meti.go.jp/press/2016/10/20161014001/20161014001.pdf

中間取りまとめ

  • 情報経済小委員会試験ワーキンググループの検討結果を取りまとめました 2016年4月27日
    http://www.meti.go.jp/press/2016/04/20160427006/20160427006.pdf
  • 試験ワーキンググループ中間取りまとめ(概要) 2016年4月27日
    http://www.meti.go.jp/press/2016/04/20160427006/20160427006-1.pdf
  • 試験ワーキンググループ中間取りまとめ 2016年4月27日
    http://www.meti.go.jp/press/2016/04/20160427006/20160427006-2.pdf

サイバーセキュリティ政策・法律

  • 本会議で「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が可決 2016年4月15日
    http://www.sangiin.go.jp/japanese/joho1/kousei/gian/190/meisai/m19003190011.htm
  • 今後のサイバーセキュリティ政策について 平成28年3月
    http://www.meti.go.jp/committee/sankoushin/shin_sangyoukouzou/pdf/007_04_02.pdf

情報処理安全確保支援士制度(案)

  • 情報処理安全確保支援士制度(案) 平成28年2月
    http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/shiken_wg/pdf/002_01_00.pdf
  • 情報処理安全確保支援士制度(案) 平成28年1月
    http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/shiken_wg/pdf/001_04_00.pdf

関連用語

関連用語について紹介しています。

情報処理

情報処理とは何なんでしょうか?英語でInformation Processing、国語辞典からの解釈、IT関連の法律や規格の定義、仕事での意味など、いろいろな使われ方をまとめてみました。

詳細

更新履歴

  • 2022/11/15 SPF、DKIM、DMARCについて追記しました。
  • 2021/9/24 午前Ⅰの過去問の解説について追記しました。
  • 2020/7/9 午後Ⅰの過去問の解説について追記しました。
  • 2016/12/28 講習費用について追記しました。
  • 2016/12/19 情報セキュリティスペシャリスト試験の過去問解説を始めました。
  • 2016/11/16 情報処理安全確保支援士の資格維持のための講習について追記しました。
  • 2016/10/18 2016年10月14日に「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律の施行期日を定める政令」および「情報処理の促進に関する法律施行令の一部を改正する政令」が閣議決定されました。情報を反映・追加を行いました。
  • 2016/4/29 2016年4月27日に「試験ワーキンググループ中間取りまとめ~情報処理安全確保支援士制度~」が公表されました。情報を反映・追加を行いました。
  • 2016/4/20 2016年4月15日に「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が可決しました。情報を反映・追加を行いました。
  • 2016/3/28 記事をアップしました。

戻る

カテゴリ

検索

名科辞典とは

名科辞典は、辞典コンテンツを提供している辞典サイトです。 これは何?情報は?にこたえるコンテンツをテーマにしています。