はじめに

情報処理安全確保支援士試験に合格したので、今日はそのことについて書きたいと思います。

情報処理安全確保支援士試験について

情報処理安全確保支援士試験はIPAが年2回（春・秋）実施する試験です。
ITSSレベル4で位置付けられており、試験ではセキュリティに関して、応用情報技術者試験よりも一歩踏み込んだ内容を問われます。
午前I、午前II、午後と3つの試験があり、それぞれ60%以上得点しないと合格できません。
次の条件を満たせば、以後2年間午前I試験が免除されます。

• ・応用情報技術者試験の合格者
• ・高度情報処理技術者試験または情報処理安全確保支援士試験の合格者
• ・高度情報処理技術者試験または情報処理安全確保支援士試験の午前Ⅰ試験で基準点を獲得した人

午前I、午前IIは四肢択一問題、午後は記述式問題となっています。
午前Iは応用情報の午前問題のように広範囲に出題され、出題数は30問あります。また、試験時間は50分です。
午前IIはセキュリティを中心に25問出題され、試験時間は40分です。
午後は4問中2問選択して回答します。試験時間は150分です。

自己紹介

受験時の僕の情報です。

• ・大卒（非情報系）
• ・社会人/Webアプリ開発 4年目
• ・応用情報技術者試験 令和5年度秋期 合格

学部は一応理系ですが、文系の人も多く、ゴリゴリの理系という感じではないです。
僕も大学受験時は文系科目だけ勉強していましたし、どちらかと言えば文系です。

実務でのセキュリティ関連の経験と言えば、暗号化方式とか認証とかで少し触った程度です。

勉強開始前時点で、応用情報技術者試験の午後試験で回答必須であるセキュリティの問題では、過去問を解いている感じ、平均8割程度の得点率でした。
受験半年前に応用情報技術者試験に受かっていたので、午前I免除で受験できました。

こんな僕がどういった学習をしたのか書いていきます。

受験動機

以下理由から受験を決めました。

• ・セキュリティ全般に興味があり、幅広く勉強できそうだったため
• ・勉強で得た知識を普段の業務で活かせる場面が多そうだと考えたため

学習に関して

学習期間

応用情報合格発表直後から勉強を始めたので、約4ヶ月間です。
※途中1ヶ月から2ヶ月くらいは中弛みしてしまい、ほとんど勉強しない期間もありました。

学習時間

平均すると、平日も休日も1時間未満くらいだったと思います。
正確に測っていないのでわかりませんが、おそらく全部で100時間前後くらいだったと思います。
受験直前1ヶ月くらいは平日2時間、休日4時間くらい勉強していました。

学習方法

教材

午前II対策は情報処理安全確保支援士過去問道場というサイトを利用させていただきました。
一問一答形式で、回答した直後に正解・不正解と解説が表示されます。
このサイトのおかげで捗りました。

午後対策は以下の参考書（以下、重点対策本）を購入し、1周しました。
覚えるべき単語が載っているので、かなり役立ちました。

学習の進め方

まず、午前IIをランダムに25問を3セットほど解いてみました。
この段階で平均して5,6割くらい取れていました。
ただ、ほとんどの問題で以下のような状況でした。

• ・なぜその答えになったのか答えられない
• ・なんとなくでしか答えられない
• ・論理的矛盾、消去法、類推等で答えられる

3点目のパターンはある程度、試験本番でも使えますが、
本番での選択肢が変わったり、言い回しが変わったりすることによって安定しない可能性があります。
この3つに当てはまるものがほとんどでしたので、まずは知識を入れようと思いました。

重点対策本に載っている、問題を解く上での前提知識（過去問とその解説以外の部分）を理解しながら読みました。
読んだ箇所から順番に、覚えるべき単語を暗記カードに書き写して、電車に乗っている時間や暇な時に暗記カードを覚えるようにしました。
試験当日1ヶ月前くらいからは電車に乗っている時は過去問道場をやっていました。

なんとなく覚えてきた段階で、午前IIをもう一度ランダムに解いてみると、
大体の問題で自信を持って答えられて、8割ほどは安定して取れるようになりました。
ここまでで大体1ヶ月強くらいかかりました。

（ここで中弛みをしてしまい、電車に乗っている時間に暗記カードだけやっている期間が1ヶ月から2ヶ月くらいありました。）

これくらいの知識があれば、午後問題も試験時間内に大体理解して最後まで解けるだろうと思いましたので、
午後問を勉強しながら、抜けている知識を補充していきました。
2回前までの試験では午後問題が午後I、午後IIというふうに分かれており、
午後試験の時間配分的な調整は難しかったですが、午後I、午後IIで求められている速度で解くことを意識していました。
認証やセキュアプログラミングに関しては実務に近い部分ですが、案外知らないことも多く、理解したり覚えたりするのは結構大変でした。
ファイアウォール、DNS、メール等のネットワーク系の分野は会話に出てくる程度でインシデント対応等のマネジメント寄りの分野はほとんど実務でやらないので、これらも大変でした。
大変でしたが、色々知れて結構楽しかったです。

こんな感じで重点対策本を1周して試験当日を迎えました。

試験当日

午前Iは免除だったため、午前IIが始まる時間に間に合うように試験会場に着きました。
午前Iが免除なら、勉強する範囲を絞れたり、朝早くから起きなくて良かったりするので、
受けるなら午前I免除を利用した方が精神的に楽です。

午前IIは問題なく解けました。

あまり食べすぎると午後から眠くなってしまうので、カロリーメイトを一箱だけ食べました。
噂によると、試験会場周辺のコンビニや飲食店は
品物が売り切れていたり、混んでいたりするらしいので、用意して行く方が良いです。

午後は例年通りであれば、セキュアプログラミングはおそらく1問、それ以外が満遍なく出題されます。
なのでネットワークやマネジメントを主戦場にしている方々のうち、セキュアプログラミングは捨てて、
他の勉強だけをやって、試験ではセキュアプログラミングを選択しない人も結構居てるという話を聞いていました。

今年もそのような形で出題されると踏んでおりましたが、
蓋を開けてみると、セキュアプログラミング寄りの問題がほとんどでした。

問題選択には5分しか使わないと決めていましたが、
過去の出題傾向と大きく異なっていたため、実際には問題選択に15分ほど使ってしまいました。

問題選択時は、どの問題が簡単に理解できそうかという観点で概要を把握するために問題文と設問を読みました。

最終的に選んだのは問2と問3でそれぞれリモートワーク及びDDoS攻撃に対するセキュリティ対策、クラウド環境をで構築されたWebサイトにおける脆弱性を悪用した攻撃手法とその対策の問題でした。
たまたま選択した2問がそういう問題だっただけかもしれませんが、全体的に、攻撃者寄りの設問が体感増えたように感じました。

わからなくても一回全て解き切って、わからないところはあとで埋めようという戦略で進めました。
30分ほど残して、一旦全て解き終わりました。
この時点で答案の6割から7割しか埋まっていなかったので、これは落ちたかもしれないなと思いながら、
わからないところをもう一度考え直して、答案を埋めました。

全て埋め終わった後に、わからないところを考え直して埋めた答案を吟味していくと
結構納得のいく回答を書けました。

最後に全ての問題で書き間違いや設問の読み間違いがないか等を確認しました。

感想

セキュリティ全般について学習できました。
確かにいましている業務では全く使わない部分もありましたが、実務で使う部分、関連している部分が多かったので、受けて良かったなと思っています。
特に認証方式やWebセキュリティに関して、攻撃手法とその対策について、考え方や最低限の知識は学べたので
今後初見の認証方式について考える時の寄る辺としたり、実装やテストの時に考えるべきこと、着眼点を増やせました。
また、普段深く関わっている範囲外の勉強もできて、仕事の領域が今後増えた場合にも対応しやすくなったのではないかと思っております。

おわりに

IPAの試験は一般的な内容を問われることが多く、そこで得た知識は応用が効きやすいように思っています。
なので情報処理安全確保支援士試験はおすすめです。
セキュリティに興味のある人はぜひ受けてみてください！