気ままなタンス*プログラミングなどのノートブック

プログラミングやRPGツクール、DTM等について、学んだことや備忘録をアウトプットとして残し、情報を必要としている誰かにとって「かゆいところに手が届く」ブログとなることを願いながら記事を書いています。

【体験レポート】[2度目で合格]情報処理安全確保支援士試験に合格したので勉強方法と自分なりの対策を記載します[合格体験記]

スポンサーリンク

情報処理安全確保支援士試験に2回目の受験で合格することができました。 (1回目は2013年秋に情報セキュリティスペシャリスト試験を受験し不合格)

情報処理安全確保支援士とは

情報処理安全確保支援士とは2016年10月に誕生した国家資格であり、下記の場合に登録資格があります

  • 情報処理安全確保支援士試験に合格した人
  • 以前の試験制度(テクニカルエンジニア・セキュリティ、情報セキュリティスペシャリスト)に合格した人(経過措置:2018年8月19日まで)
  • 登録セキスペ試験合格者と同等以上の能力を有する人

制度に関する詳しい説明はIPAのWebページをご覧ください。

www.ipa.go.jp

トラウマになっていた試験

情報処理技術者試験との出会いは学生時代で、 基本情報技術者、応用情報技術者はなんとか取得することができました。

しかしその後に受けた試験(主にDBスペシャリストとSCスペシャリスト)は不合格が続き・・・ 自分の中では情報処理技術者試験がトラウマになっていました。 (長期間勉強したのに、結果が伴わないことへの絶望と無気力感。)

何度かの失敗と挫折を経てようやく今回、いわゆる高度情報処理技術者試験 (共通キャリア・スキルフレームワークのレベル4に該当するもの)に 初めて合格できたということで、感極まって少し涙が出ました。

試験から2ヶ月間のモヤモヤした日々

試験直後は、特に「午後2の記述問題」で、手応えが感じられませんでした。 解答欄には一通り記入できたものの、出題者の求めている解答を導き出せたかどうかは見当もつきませんでした。

というのも、今まで受験したDBスペシャリストやSCスペシャリストは午後1の時点で合格ラインに及ばず終いで、午後2が採点された経験がなく*1、点数がもらえる解答がどんなものなのか、わかりませんでした。

試験のことは忘れようという思考が頭の中を巡り、逆に忘れることができないというよくわからない負のスパイラルに陥っていました。

そして、合格発表日当日を迎えて、蓋をあけてみると・・・無事に合格
頑張って勉強してよかったと心から思いました。

得点としては、午後1よりも午後2の方が高かったです。
f:id:rinne_grid2_1:20171222020047j:plain (ギリギリな感じはあります)

私としては、午後2よりも午後1の方が点数が高いと予想していたため、 予想外の結果に少し驚きました。

選択した問題については、以下のとおりとなります。
・午後1: 問1, 問2
・午後2: 問1

今思えば、午後1の方が点数が高いと予想(錯覚)したのは、 おそらく問2のテーマが脅威としてよく知られているSQLインジェクションに関する問題であり、 スムーズに解答が記述できたからだと思います。

PreparedStatementへの対応など、定番(?)で解答を導きやすかった印象があります(このブログ記事からもわかるように私は論述や説明が苦手です。。)

点数を落としてしまった箇所は、おそらく問1の記述問題だと考えています。

学習資料について

話は変わるのですが、次の試験につなげるためにも、どのような学習を行ったのかを備忘として残しておこうと思います。 今後受験する人の参考になれば幸いです。

利用した参考書やテキスト

[1-1] 絶対わかる情報処理安全確保支援士 2017年秋版

絶対わかる情報処理安全確保支援士 2017年秋版

絶対わかる情報処理安全確保支援士 2017年秋版

[1-2] 絶対わかる情報処理安全確保支援士 2017年春版

絶対わかる情報処理安全確保支援士 2017年春版

絶対わかる情報処理安全確保支援士 2017年春版

[1-3] 絶対わかるセスペ28春 2016年秋版]

絶対わかるセスペ28春 2016年秋版

絶対わかるセスペ28春 2016年秋版

  • 作者: 左門至峰,平田賀一,藤田政博,山内大史,山崎圭吾,濱野谷芳枝,八木美智子
  • 出版社/メーカー: 日経BP社
  • 発売日: 2016/08/25
  • メディア: 単行本
  • この商品を含むブログを見る

→絶対にわかるシリーズは解説がとても丁寧でした。試験1回分を丁寧に解説してくれていて、プラスαの知識も取得できたように思います。 1回終わるごとに、前回の分も欲しくなり・・・その前という形で購入していき、非常に役立ちました。 試験の対策としてかなりおすすめです。

[2] 情報処理教科書 情報処理安全確保支援士 2017年版

情報処理教科書 情報処理安全確保支援士 2017年版

情報処理教科書 情報処理安全確保支援士 2017年版

→分厚い本で、700ページ以上あります。 通勤の際に利用しました。(詳細は後述します)

[3] 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2013〉

情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2013〉 (情報処理技術者試験対策書)

情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2013〉 (情報処理技術者試験対策書)

→2013年秋のSCスペシャリスト対策のために購入した本です。長い間本棚に眠っていたものを取り出してきました。 重点対策というタイトルどおりだと思いました。 技術テーマごとに章が分かれており、 インプット(知識整理)とアウトプット(過去問題解答)という形で 学習に臨むことができました。ただ、解説は図が全くなく、文字ばかりで眠気との戦いになることもありました。 (最新の本についてはわかりません)

[4] マスタリングTCP/IP 情報セキュリティ編

マスタリングTCP/IP 情報セキュリティ編

マスタリングTCP/IP 情報セキュリティ編

→2013年秋のSCスペシャリスト対策のために購入した本です。購入当時は有効に活用できませんでしたが・・・今回の学習では活躍しました。

[5] 情報セキュリティ白書2017

情報セキュリティ白書2017

情報セキュリティ白書2017

  • 作者: 独立行政法人情報処理推進機構
  • 出版社/メーカー: 独立行政法人情報処理推進機構
  • 発売日: 2017/07/01
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログを見る

昨今のセキュリティについて、各種情報がまとまっています。 実際に起きたインシデントについて概要が理解できたように思います。

学習に利用したIPA公開資料

[6] SSL/TLS暗号設定ガイドライン www.ipa.go.jp →HTTPSに関する概要や基準、鍵パラメータやHSTS等の、実際の設定例が掲載されています。

[7] 安全なウェブサイトの作り方 www.ipa.go.jp →SQLインジェクション、CSRF、XSS、BOF等、 脆弱性の概要と根本的な対策について記載されています。

利用したWebサイト

[8] 電子政府推奨暗号リスト(CRYPTEC暗号リスト)

CRYPTREC | CRYPTREC暗号リスト(電子政府推奨暗号リスト)
→午後2の選択問題で出てきそうな気がした(過去に確か出題されていた?)ので一応見ておきました。

[9] JVN iPedia(脆弱性対策情報データベース)

JVN iPedia
→実際に見つかった脆弱性情報が公開されているサイトで、 気が向いた時に眺めていました。

学習時間について

平日の話

  • 通勤時間

電車内で[2]情報処理教科書 情報処理安全確保支援士の本を読み、ノートにメモをとっていました。
ページ数が膨大(700ページ程度)なので、挫折しないためにも興味のある分野から読み進めました。 (セキュアプログラミング、セキュアプロトコルやネットワークに関する技術、証明書等) (抽象的で難しそうな言葉が大量に出て来る分野(監査や組織における情報セキュリティ)は後回しに。。)

  • 昼休み

[6] SSL/TLS暗号設定ガイドラインのPDF文書をとりあえず開くクセをつけました。 (開いただけで、読まずに終わることもあったのですが・・・)

  • 帰宅後

試験1ヶ月前はほぼ毎日、午後問題を解きました。 ちょうどその時期は、プロジェクトが炎上繁忙期でわりと、22時退社、23時帰宅なんてことが多かったので、 特に午後2問題(120分)を解くのに苦労しました。 やはり、繰り返し、過去問を解くのがベストだと思います。

休日の話

昼過ぎから、19時頃までカフェで「[1-1]〜[1-3] 絶対わかるシリーズ」の問題を解き、 解説を読みながら知識をインプットしました。(カフェ作業が想像以上に集中できることに衝撃を受けました。今後も活用したいです)

また、問題で出てきた技術的要素等を調べるために[2]情報処理教科書 情報処理安全確保支援士や[4]マスタリングTCP/IP 情報セキュリティ編を、 辞書代わりにしていました。

意識改革の話

練習問題を解答し、解説を読み進める際に、 「間違っていない」けど「正解かといわれると微妙」な解答になっていることが幾度となくありました。 なぜそんなことになっていたかというと、出題者の文脈や問題の意図を意識できていなかった*2からです。

そこで何が問われているのかを、設問ごとに熟考するように意識改革を行いました。

さらに、以前の練習問題だと、「だいたいあってる」で正解にしていた答案についても、 厳しく不正解とするようにしました。

また、設問の文脈から外れない解答ができるようになりたくて、 ある程度の回数分、問題を解き終えたら、下記の内容を表形式にして一覧化して確認できるようにしました。

  • 設問内容
  • 解答例
  • 自分なりの分析、関係する知識等

一覧資料の一部 f:id:rinne_grid2_1:20171222010116p:plain

最後に

情報処理安全確保支援士の登録有無ですが、私は登録を考えています。
維持にかかる費用は3年で15万とのことでした。月額でおおよそ4200円。。 結構な費用がかかるため、苦しいところですが・・・

コストをかけることで惰性による維持ではなく、 スキル向上の明確な目的を持って取り組むことができそうです。

今の職場での役割として、情報セキュリティに関する業務には関わっていないため 能動的に学習に取り組むためには、むしろコストがかかった方が、学習意欲も高まり、 自分自身を追い込む(?)ことができるのではないかと思っています。

おすすめ

絶対わかる情報処理安全確保支援士 2018年春版

絶対わかる情報処理安全確保支援士 2018年春版

情報処理教科書 情報処理安全確保支援士 2018年版

情報処理教科書 情報処理安全確保支援士 2018年版

情報セキュリティ白書2017

情報セキュリティ白書2017

  • 作者: 独立行政法人情報処理推進機構
  • 出版社/メーカー: 独立行政法人情報処理推進機構
  • 発売日: 2017/07/01
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログを見る

ポケットスタディ 高度試験共通 午前I・II対応[第3版] (情報処理技術者試験)

ポケットスタディ 高度試験共通 午前I・II対応[第3版] (情報処理技術者試験)

*1:高度情報処理技術者試験の問題種別には午前1、午前2、午後1、午後2の4つがあります。 午前1、午前2は4択問題。午後1、午後2は解答を記述する形式です。午前1から採点され、合格ラインに及ばない場合はそれ以降の答案は採点されません。

*2:そのことに気づくことができたのは、 「職場でのとあるイベント」の所為おかげだったのですが、それについては別の機会に記述します。