令和5年秋期 情報処理安全確保支援士試験に合格することができました。険しい道のりでしたが無事資格取得できてよかったです。1回目の受験で合格できた勉強方法をお伝えできればと思います。
試験当日の対策について記載しました。こちらもあわせてご確認ください。
背景
まず私の背景をご紹介したいと思います。
職業:社内SE
年齢:アラフォー
家族:妻子あり
という一般的なサラリーマンです。職業にSEという肩書がありますのでITには詳しい方かと思います。妻子もちですから仕事終わって家に帰ったら勉強だけやるわけにもいきません。妻や子供と一緒に過ごす時間も必要です。(もちろん勉強の時間をもらうため協力してもらいました)
ですので学生さんのように勉強できる時間がたくさんあるわけではありません。そのような中でどのように効率よく勉強したかご説明いたします。
試験までのスケジュール
試験勉強を本格的に始めたのは7月初旬だったと思います。ちょうど試験の申し込みをするくらいでした。応用情報技術者試験の時と同じで3か月前くらいからのスタートとなりました。
本当はもっと早く勉強を始めるつもりでした。半年前くらいに参考書を購入しましたが、きちんとスケジュールを立ててのぞんでいたわけではないのでダラダラと時間が過ぎていきました。3か月前になりスケジュールをきちんと立てました。
試験3か月前
午前・午後に関係する参考書を購入する
・午前Ⅱ 過去問を繰り返し解く
・午後 参考書にある過去問を解く。解説を見て解き方を覚える。
試験2か月前
・午前Ⅱ 過去問を繰り返し解く。令和3年秋の問題で模擬試験を行う。
・午後 参考書をさらに購入する。参考書にある過去問を解く。解説を見て解き方を覚える。
試験1か月前
・午前Ⅱ 過去問で間違えたところを重点的に解く。令和4年春の問題で模擬試験を行う。
・午後 参考書をさらに購入する。参考書にある過去問を解く。解説を見て解き方を覚える。
・全体 IPAのサイトや日経XTechを読んで最新の情報を得る。
参考書
なんと今回参考書を4冊購入しました。4冊もいらなかった…実際によく利用したのは下2冊でした。
情報処理安全確保支援士 合格教本
一番最初に購入した参考書はこれです。しかも半年前くらいに買いました…全体を把握したがる性格ゆえに早めに購入しパラパラとめくってなんとなく見ていたのですが、最終的に一番見なかった参考書です。
参考書的扱いなので、何かわからないことがあったら参照したりする程度で終わってしまい、ガチで全部を読むことはしませんでした。巻末にある過去問題は試験3か月前にしっかりやりました。問題文にヒントとなる解説付きなのが良かったです。
「ネットワーク」+「認証」がわかれば絶対合格! 情報処理安全確保支援士午後問題徹底解説
ネットワークセキュリティが好きだったので思わず買ってしまいました。ネットワークセキュリティ関係の午後問題が丁寧に解説されていてとてもよかったです。でも午後対策はこれだけでは不十分なのでさらに参考書が必要です。
情報処理安全確保支援士「専門知識+午後問題」の重点対策
試験2か月前くらいに購入しました。参考書の中で一番読み込んだ本です。午後問題を体系的に分類されていて理解しやすくなっていました。三好先生を知ったのはこの本でした。
体系的に分類されているというのが非常に重要です。なぜ重要かは「知識を理解へと変えていく」をご覧ください。
うかる! 情報処理安全確保支援士 午後問題集
試験1か月前に購入しました。けっこう読み込みました。この本の詳細は下の見出し「知識を理解へと変えていく」に書きました。
勉強時間について
平日は仕事ですので1時間くらい、休日は3,4時間くらい勉強しました。1か月で60時間、3か月で180時間くらいかと思います。
通勤中にYoutubeで勉強チャンネルの聞き流しをしました。平日は家にまっすぐ帰らずカフェなどに立ち寄ってそこで1時間勉強するというスタイルでした。
祝日は家で勉強したり、カフェに行ったりして勉強しました。一日中勉強はせず午後の早い時間から夕方くらいまでにしました。あとは家族の時間を優先しました。
応用情報技術者試験の勉強スタイルと同じでした。
アクシデント発生
今回は途中で流行病にかかったり、勉強のモチベーションが極端に落ちてしまったりしたため、勉強時間が取れない時がありました。ですので最終手段として有休を使って勉強しました。
午前・午後問題 勉強量の割合について
午前・午後問題の勉強量の割合は以下のイメージです。
試験3か月前
午前5:5午後
試験2か月前
午前3:7午後
試験1か月前
午前2:8午後
応用情報技術者試験の失敗で学んだ点を取り入れて午後の勉強を早めに始めました。午前の勉強量は応用情報の時と比べて少ない(午前Ⅰ免除)ので自然と午後の勉強の割合を増やせたと思います。試験2週間前は「午前1:9午後」くらい午前の勉強はしていませんでした。
勉強のコツ
知識の絶対量を増やす
三好先生曰く「知識の絶対量を増やせば合格できる試験」です。とはいえ、セキュリティ分野は幅広く奥深いです。次々と新しい技術が現れます。漠然と覚えていくと大変なので大きく分野別に分けて覚えると自分の得意不得意科目が見えてきます。
大きく分けると感な感じでしょうか?
・セキュアプログラミング関係
・認証(シングルサインオン)関係
・サーバー、ネットワークセキュリティ関係
・ゼロトラスト関係
・インシデント対応関係
分野別に分けても、それぞれ分野ごとに出題されるわけではなく、複数の分野からそれぞれ出題されたりしますのでやはりある程度は全体を網羅する必要があります。不得意だから捨てるというわけにはいきません。でも得意分野では全力出して覚えました。
私はサーバー・ネットワークのセキュリティが好きでしたので記憶しやすかったです。またインシデント対応の過去問は謎解きをしているようで楽しめました。他3つは得意ではありませんでした。
知識を増やすためのツール
知識を増やすために参考書は役立ちました。ここではそれ以外のツールをご紹介します。
過去問道場
このサイトを使用しない方はいないのではないかというくらい有名で有能なツールです。午前Ⅱ対策では絶対に使用します。直近2回分は次の試験では出ませんので、そこを外して12回分(300問)を繰り返し繰り返し解きました。
繰り返し解いていると答えを覚えてしまいます。覚えてしまうともう問題の選択肢を全部読むことなく「選択肢にトランザクションという言葉が入っているのはウだから、これウだな」と選択してしまいます。こうなると問題の選択肢の解答を暗記しているだけで問題そのものの本質を覚えていないことになります。IPAが問題の選択肢をランダムに変えたり、問題の表現を変えた時に答えることができなくなります。
実際に今回の午前Ⅱはそのような問題が出されました。
令和5年秋午前Ⅱ
問6 Mirai
問7 トランザクション署名
問14 OAuth2.0
などは以前似たような問題が出されていましたが、今回は問題と選択肢の表現が変わっていました。でも問題の本質は変わっていませんでした。
覚えすぎるとハマってしまう罠にも気をつけましょう。
IPAサイト
IPAのサイトはセキュリティに関する情報がたくさんあります。たくさんありすぎて何を見ていいかわからなくなります。私が特に見ていたページはこちらです。
情報セキュリティ10大脅威
今どんなセキュリティ脅威が流行しているか知ることができます。IPAもこの傾向から試験を出してくると思うので現在の脅威の傾向とそれに合わせた対策を勉強しました。
安全なWebサイトの作り方
あらゆる種類のインジェクションが記載されています。そのインジェクションに対してどのように防衛できるかまで記憶しなければならないため結構大変でした。
日経XTech(クロステック)
このサイトも三好先生がおすすめしていたので見ることにしました。有料ですが契約してよかったです。このサイトでしか学べなかった記事がたくさんありました。参考書だけでは不十分だったことがわかりました。
TLS1.3、メールドメイン認証(SPF, DKIM, DMARC)、DNSSEC、HTTP3の詳細などがこのサイトでわかりやすく書かれていて、参考書では足りない点を補足してくれました。このサイトは契約してよかったというより契約すべきサイトだと感じています。試験のためだけでなく、今後のセキュリティの動向を確認するためにも引き続き読み続けたい思いました。仕事に直結する内容が盛りだくさんだからです!
実際に仕事で役立ったことを記事にしています。
ただXTechは上級者向けに書かれていますので、試験勉強の中旬から下旬にかけて情報セキュリティに関することを一通り覚えたら読むことをおすすめいたします。
日経XTechを契約すると以下の7つの電子雑誌を読むことができます。過去記事も10年分以上読むことができます。特によく読んだが「日経NETWORK」です。あと「日経コンピュータ」もそこそこ読みました。
・日経NETWORK
・日経コンピュータ
・日経エレクトロニクス
・日経アーキテクチュア
・日経コンストラクション
・日経Automotive
・日経ものづくり
さらにサイトに掲載される有料記事も読むことができます。すごいボリュームです。
その代わり料金が年26,000円くらいします。1ヶ月2,200円くらい…学生の方は試験勉強する時だけ契約でもいいかもしれません。
知識を理解へと変えていく
午後問題の過去問も繰り返し解いていきます。その目的は覚えた知識を理解へと変えていくことです。午後問題をすごいざっくり説明しますと、以下の流れがあります。
・インシデントが発生(もしくは発生を想定)
・原因の特定
・インシデント対応
この3つの状況に覚えた知識を結びつけていく訓練をします。例えば、令和5年春午後Ⅰ問1設問1(1)では
・インシデント発生(もしくは発生を想定)
→ ソースコードに問題がある
・原因の特定
→ ディレクトリトラバーサル
・インシデント対応
→ 外部からのパラメータでウェブサーバ内のファイル名を直接指定する実装を避ける。(IPA 安全なウェブサイトの作り方より)
上記のように結びつけることができると、答えは13行目だということがわかります。ちなみにこれはイージー問題でした。3つの状況のうち最後1つが分かれば良いからです。
発展した問題なってくると、まず原因の特定をして対応も考える必要があります。令和5年秋午後問4設問1の解き方をイメージすると
・インシデント発生(もしくは発生を想定)
→IDとパスワードが持ち出され、社外からSサービスにログイン・情報を持ち出される
原因の特定をするにあたり、文章問題のセキュリティ的に危なそうな部分を探します。表1のSサービス仕様にはこうありました。
ログインを許可するアクセス元IPアドレスのリストを設定することができる。
→今は設定していない
上記が「原因の特定」となります。インシデント対応は
・インシデント対応
→ Sサービスへログイン可能なIPアドレスをW社プロキシだけに設定する
と導き出すことができます。
今回令和5年秋午後問4は上記3つの状況全てを自分の知見とともに記載しなければなりませんでした!
さらに必要な点として知識を結びつけていく方向性を間違えないようにします。つまりIPAが何を解答して欲しいのかという意図がわかるには過去問題を何回も解かないといけません。そうすることによってある程度答え方のパターンが見えてきます。
その助けとなった参考書がこちらです。
この本は試験対策の本です。しかも午後問題の過去問をある程度勉強している人向けに書かれているため、過去問を勉強していないと完全に置いていかれます。過去問の答え方をパターン別にして解説してくれている本で大変参考になりました。
例えばパターン3「悪手見つけた→反対書けば改善策」系では、本文中のまずい話が読み取れたらそれの反対を書こうという戦法です。
・ID共用している
・更新していない
・対策は取られていない
・手順が不明確
・ログは取得していない
などなど問題文の中に見つけましたらかならず答えさせられますので、この改善策を書けるよう準備します。
こちらの本も大変役に立ちました。テーマ別に上記の流れを押さえてくれているからです。この本の過去問も何回も解きました。
あとは運
これは応用情報技術者試験の合格方法でも記載しましたが、本当に運が大事にです。午後問題は選択できるとはいえ全て自分の苦手とする分野だったら合格するのは難しかったと思います。たまたま選択した問題が不得意分野でなかったのもラッキーでした。
ある人が「運とは準備とタイミングである」と言っていました。準備はこちらである程度コントロールできますがタイミングのコントロールは難しいです。良いタイミングの時に受験できただけなので、「俺スゲー」にならないよう謙虚でいたいと思います。
まとめ
まず必要なのは圧倒的な知識量です。参考書・午前過去問・IPAサイト・日経XTechで知識武装します。そしてその知識を理解へ変えていくために午後の過去問の解き方のパターンを認識します。インシデント発生・原因特定・インシデント対応という流れに自分の知識を当てはめていくイメージです。
あとは自分の得分野が午後問題で出ることを祈ります。皆様の合格に少しでもお役に立てれば嬉しいです。
コメント