webエンジニアの筆者が、ITストラテジスト試験を受験し、合格することができました(令和4年春)。
受験したきっかけや、おすすめの参考書・書籍、勉強法について説明します。
過去に受験した応用情報やセキスペと比較して、勉強時間は少なかったです。
なお、参考書やリンクは2022年6月時点で最新年度のものを紹介しています。
まずは、問題集等で午後2の問題と解答例を1セット見てみると、求められていることのイメージがつくと思います。
ITストラテジスト試験 概要
情報処理推進機構(IPA)の試験の一種です。ITストラテジスト試験は、情報処理技術者試験の中でもレベル4の高度試験に分類されています。
筆者スペック
ほとんどプロフィールに記載の通りです。
自動車メーカーのシステムエンジニアとして、車載電子部品の設計・開発を数年担当しました。主に組み込みのソフトウェアシステムの仕様検討を担当し、自分でプログラムを書くことは皆無でした。在職中に応用情報技術者資格を入手しています。
そして現在webエンジニア2年目です。主な使用言語は、PHP, Python, JavaScriptで、企画・設計・開発・保守・運営、基本的には全行程を担当しています。半年前にセキスペを取得しました。
セキスペを取得しようと思った背景
・なんとなく名前がかっこいい。日本語で戦略家。
・経営視点の要素が多く、最上流
主に2点あります。
1点目は、セキュリティを考慮してwebサービスを開発する必要に迫られていたためです。これまでは、場当たり的にセキュリティ対策を行ってきていたため、一度体型的に学んでおいた方が良いと考えていました。
2点目は、中長期的に自分のキャリアにプラスになると考えたからです。昨今のサイバーセキュリティに対する関心・需要の高まりを考えると、少なくとも需要が下火になるようなスキル・資格ではないと判断しました。現状は、資格維持費の割には、求人数が少なかったり、いい仕事がなかったりというような記事やデータもあるようですが、あくまで中長期的には無駄にはならないと期待しています。
試験対策に使用した参考書、書籍
実際に試験対策使用した参考書、書籍を紹介します。
情報処理教科書 ITストラテジスト 2022~2023年版
定番の参考書の一つです。
試験の対策・学習法
全体を通した考え方
下記のポイントを意識して学習を進めれば良いと考えます。
セキュリティリスクを作り込まないこと
こちらは主にエンジニア視点(下流寄り)になると思います。
サーバーやwebアプリを設計・開発する上で、気をつけるべき技術的・実務的な項目を学習しておく必要があります。
技術的な項目としては、ネットワーク構成やロギング、SSH接続方式の特徴、メールのセキュリティ、などが挙げられます。技術レベルとしては応用情報と同程度だと感じましたが、改めてセキュリティ観点で知識を整理しておくことが大切です。
また、実務的な項目としては、入退室管理の手続きやアカウントの認証情報の管理などが挙げられます。こちらは次の項目の組織的な対策・運用にも関連します。
セキュリティインシデント発生時の組織的な対策・運用
こちらは組織内の制度づくり(上流寄り)の観点になります。
セキュリティインシデントは必ず発生します。発生した時に組織の中のどの部署の誰がどう動くかを、あらかじめルール化しておく必要があります。
設問のパターンとして多いのは、ネットワークログで異常な通信を検出 → 対応チーム(大体CSIRT、無ければ情シス部署)がリスク評価 → 対応チームが、アクションを必要とする部署に指示 → 落ち着いたら振り返り、のようなケースです。
一定の規模の組織で、業務経験がある方にとっては、こういったセキュリティインシデントに対する対応については比較的容易にイメージできると思います。
一方、学生の方など、大規模な組織での業務経験がない方にとっては、想像しづらいかもしれませんが、過去問を数問解けば、ちゃんとした対応がなされているパターン、ルールがあやふやで対応に苦慮しているパターンなど、さまざまな状況に触れることができるので、すぐに慣れると思います。
各試験の対策(午前・午後)
午前Ⅰ
免除のため割愛します。
受験される方は応用情報技術者過去問道場で対策しましょう!
午前Ⅱ
午前Ⅰのセキュリティ関連が出題されるイメージです。難易度も同じぐらいに感じました。
こちらも情報処理安全確保支援士過去問道場で対策しました。
午後Ⅰ
午後は記述式の問題になります。午後Ⅰは3問中2問を選択して回答する方式です。
正直なところ、記述の採点基準が読めないため、記号問題・選択問題を確実に得点したいという思いでした。
そうはいうものの、勉強方法が大幅に変わるわけではなく、参考書をざっと一通り読み、過去問を解いて、分野や項目ごとに見直す、という戦略で学習を進めました。
ちなみに、選択する問題については、Javaがわからないという理由で、セキュアプログラミングは選択しないと決めていました。結局、当日は出題されず、どの2問を選択するかで割と迷ってしまいました。
午後Ⅱ
午後Ⅱも記述式で、2問中1問を選択して回答する方式です。
午後Ⅰよりも、問題文が長く、選択は1問ですが2時間あるため、高い集中力が要求されます。また、記述問題の文字数も長いため、文章の構成を考えるのが難しくなります。
ただ、午後Ⅰを解く力があれば、ほとんど問題なく午後Ⅱも対応できると思いますので頑張りましょう。
自分の作成した文章を添削するのは高度な技術ですし、正確な採点ができないと思いますので、筆者の場合は、同じタイミングで受験する同僚と、何度か相互添削を行いました。こうすることで、自分と相手の最低二つの評価を得ることができるので、大幅に学習効率が上がります。
その他試したこと
情報セキュリティ10大脅威の読み込み
IPAが発表している情報セキュリティ10大脅威を読んでみました。
「最近こういうインシデントが流行っているから出題されるのでは!?」みたいな形で出題予測してみましたが外れました。
試験対策というよりは、最低限のトレンドを把握しておくためのものですね。
最後に
情報処理安全確保支援士試験は、IT系初の士業である情報処理安全確保支援士(登録セキスペ)を名乗ることができる、IPA試験の中でも一風変わった試験です。
登録セキスペ資格の取得・維持にはお金がかかりますが、先に試験に合格しておくだけしておけばいいのかなと考えています。
業務外の余暇を使って学習に取り組むのは、心が折れることもあるかもしれませんが、この記事を読んでくださった方皆さんが合格されることを祈っております。
