技術メモ

役に立てる技術的な何か、時々自分用の覚書。幅広く色々なことに興味があります。

情報処理安全確保支援士に合格しました

セキュリティに関する体系的な知識が不足していると感じ、勉強の目標として情報処理安全確保支援士の勉強をしていました。
今回(令和五年春期)合格することができたので、大まかにやったことと感想を記しておこうかと思います。

対策したこと・押さえておくべきこと

対策したこと

対策したし実際必要だと感じたところ
  • ネットワーク・DNS関係
    • TCP/IPとかネットワーク構成とかメールのセキュリティ(DKIM, SPF)とか
  • 認証系の知識
  • 各種攻撃の種類とその対策法
  • その他
    • 上記以外の内容は短答問題や午後問題を解く中で補強していけば良い。CWEやポートの一覧なんかは覚えなきゃと不安に感じた都度覚えれば良いと思う。APを受験した人ならば開発手法や法規関係は思い出すだけで良いけれど、SC一発受験ならそのあたりも都度覚える必要はある。
対策したけど押さえる必要がなかったところ
  • 詳しい暗号の仕組み
    • 個人的な趣味もあってIKEやらDH法の鍵交換の数理的な仕組みやら深掘りしたが、絶対にそこまで知る必要はない。RSA暗号の仕組みすら知る必要はない。
  • nmap, burp suiteなどのCLIツールの使い方
    • 詳しいツールの使い方など知っている必要はない。が、本来必要なのってこういう知識なんじゃないかと思う。

ポイント

午後対策は早めに

テキストはサッと一読。(上記の最低限必要だったところを理解するレベルまで読み込めば良い。最初から覚える必要はない。)短答式の対策を完璧に仕上げる前に午後対策は早めにした方がいい。
あらゆる資格試験に共通して言えることだが、頭から真面目に知識を積み上げていくより、どういう知識が必要になるかだけ抑えながら森を見てから木を補強するような勉強をした方がいい。
短答では聞かれないようなことが午後で必要になったり、逆に短答でしか聞かれないようなこともあるので、そういうバランス感覚も早めに感じておくのがベスト。

午後Ⅱ試験の分量に圧倒される必要はない

午後試験(特に午後Ⅱ)はとにかく問題文の量が多いと言われている。
たしかに読む量が多く状況把握するまでが大変だが、頭から素直に設問がされているので問題文を行ったり来たりする必要はなく、見た目ほど大変ではない。
記述量もたかだか30字とかで大したことはない。
問題文の分量に圧倒されて対策を後回しにするよりも、とにかく手をつけてみることが大事だ。
ただ次回から午後Ⅰと午後Ⅱの区分が撤廃されるみたいなので1と2の違いはなくなるみたい。

時間配分はそこまで気にしなくて良い

午後Ⅰについて時間配分が大変だとか常に時間を意識しろと言うブログ記事を目にするけれど、個人的にはそこまで焦るほどでは無いという印象だった。
ただ、選択していない問題も解いてみた上で解答する問題を選ぼうとすると時間が足りない。
なぜこんなことを言うかと言うと私がそうしたから。
試験中は最初に選んだ問題が実は難易度の高い問題だったんじゃないかと感じ目移りしてしまう。そうなると他の問題を解いてみて得点が取れそうな方を解答しようという思考になる。
安心したい人は超スピードで全問解いて後から選択して解答するようにすればいいけれど、そうなるとかなり時間勝負になってくる。

使った教材

テキスト

情報処理教科書 情報処理安全確保支援士 2023年版

情報処理教科書 情報処理安全確保支援士 2023年版

Amazon
内容的にオーバースペック気味ではあるが、勉強のために受験していたので個人的には満足。
解説も丁寧で読みやすいと感じた。
ただ資格合格だけを目標にするのであればもう少し薄い本でも問題ないかと思う。
とはいえ他の参考書を使っていないので他のものと優劣はつけられないです。

問題集

2023 情報処理安全確保支援士「専門知識+午後問題」の重点対策

2023 情報処理安全確保支援士「専門知識+午後問題」の重点対策

Amazon
分野ごとに過去問が載っている午後向け問題集が欲しかったので、これを選んだ。
解説も読みやすいと感じた。
こちらも他の参考書を使っていないので優劣はつけられないです。

サイト

情報処理安全確保支援士過去問道場|情報処理安全確保支援士.com
IPA受験者界隈では紹介するまでもなく有名。
短答対策はここを使った。というかこれしか使っていない。
過去問演習が安定して8割5分超えれば試験当日6割を下回ることはないだろう。

(おまけ)使わなかった教材

こちらの参考書は買ったものの使わなかった。内容が悪いというわけではないけれど、先述の午後対策の問題集があればカバーできるもので、どちらかというと内容は不足気味といった感じ。
”問題文の読み方”について事細かに解説してくれているが、正直そういう解説は不要と感じた。問題文の特性は過去問を3回解けばわかるようなものだし、あえて解説するほどのものでもない。
前述の通り時間勝負の解き方をするならまだしも、普通に選択した問題だけを解くのであれば時間を意識する必要はないので高速で解答を導くような小手先の時間稼ぎは不要と思う。

「ネットワーク」+「認証」がわかれば絶対合格! 情報処理安全確保支援士午後問題徹底解説 (情報処理技術者試験)

「ネットワーク」+「認証」がわかれば絶対合格! 情報処理安全確保支援士午後問題徹底解説 (情報処理技術者試験)

Amazon

感想

基礎的な実務経験が求められる

今年は午後Ⅱでgitの基本的な知識が必要な問題が出たり、スレッドセーフにおけるstatic変数の危険性などについて聞かれたり、OAuthの詳細な仕組みについて聞かれたりした。
いずれもテキストや過去問だけではカバーしきれない範囲で、ある程度のプログラミング経験がないと対応できないというIPAからのメッセージを感じた。
(もちろん、問題選びは選択式であるためそれらを回避することはできるが、回避する必要があるような人がこの資格を取って情報処理安全確保支援士を名乗る意味はあるのかとは思う。)

難易度について

合格基準は6割に設定されている。
正直6割では合格基準が低すぎるというのが個人的な意見。
「情報処理安全確保支援士」の士業としての登用試験として利用されているけれど、この試験を合格したというだけでセキュリティ専門家としてコンサルティングやチームリーダーを任せようとは思えない。
あと、士業に登録する登録料と更新にかかる費用がバカ高い。年平均5万円くらい取られるそう。そのくせ士業とは名ばかりで弁護士や会計士と違い独占業務はないため、この肩書きって意味あるのかなとは思う。
たまに2週間だけ勉強したような人が合格報告しているが、たしかに合格だけならある程度インフラ開発経験があれば2週間でも可能かなと思う。私は2~3ヶ月ほど勉強したが、それでもオーバーキル気味だったかとは思う。(前から暗号系やセキュリティ系の知識があったのもある)
とはいえ非IT系の業種の方がこの試験に挑むのはなかなかにハードルが高いのではないかとは感じる。
非IT系でこの試験に合格する方はすごいと思います。