webエンジニアの筆者が、情報処理安全確保支援士試験を受験し合格することができました。
受験したきっかけや、おすすめの参考書・書籍、勉強法について説明します。
なお、参考書やリンクは記事公開時点で最新年度のものを紹介しています。
情報処理安全確保支援士試験 概要
情報処理推進機構(IPA)の試験の一種です。情報処理安全確保支援士試験の合格者は、登録手続きを行うことで、IT系初の士業と呼ばれる国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。
筆者スペック
ほとんどプロフィールに記載の通りです。
自動車メーカーのシステムエンジニアとして、車載電子部品の設計・開発を数年担当しました。主に組み込みのソフトウェアシステムの仕様検討を担当し、自分でプログラムを書くことは皆無でした。在職中に応用情報技術者資格を入手しています。
そして現在webエンジニア2年目です。主な使用言語は、PHP, Python, JavaScriptで、企画・設計・開発・保守・運営、基本的には全行程を担当しています。
セキスペを取得しようと思った背景
主に2点あります。
1点目は、セキュリティを考慮してwebサービスを開発する必要に迫られていたためです。これまでは、場当たり的にセキュリティ対策を行ってきていたため、一度体型的に学んでおいた方が良いと考えていました。
2点目は、中長期的に自分のキャリアにプラスになると考えたからです。昨今のサイバーセキュリティに対する関心・需要の高まりを考えると、少なくとも需要が下火になるようなスキル・資格ではないと判断しました。現状は、資格維持費の割には、求人数が少なかったり、いい仕事がなかったりというような記事やデータもあるようですが、あくまで中長期的には無駄にはならないと期待しています。
試験対策に使用した参考書、書籍
実際に試験対策使用した参考書、書籍を紹介します。
徹底攻略 情報処理安全確保支援士教科書 令和4年度
定番の参考書の一つです。
セクションごとに練習問題(過去問抜粋)がついていたり、欄外注釈の解説が参考になったりという特徴がありますが、中でもおすすめな点は、全文の電子版PDFがダウンロード可能なことだと思います。
試験に申し込んだ直後から、隙間時間に電子版をスマホで読み進めておけば、早い段階で一読できるのでおすすめです。応用情報も同じ手法で勉強しました。
直前期にガンガン過去問を解く用のテキストです。徹底攻略は参考書、重点対策は問題集という位置づけです。
暗号、公開鍵、認証、ハッシュ、辺りの単語を聞いて、ぼんやりとしか説明が思い浮かばなければ読んでおくべき一冊だと思います。
ブロック暗号のモードなどの細かいところを1点1点覚える必要はなく、ある技術が用いられる背景や仕組みを捉えることが肝要だと思います。
試験の対策・学習法
全体を通した考え方
下記のポイントを意識して学習を進めれば良いと考えます。
セキュリティリスクを作り込まないこと
こちらは主にエンジニア視点(下流寄り)になると思います。
サーバーやwebアプリを設計・開発する上で、気をつけるべき技術的・実務的な項目を学習しておく必要があります。
技術的な項目としては、ネットワーク構成やロギング、SSH接続方式の特徴、メールのセキュリティ、などが挙げられます。技術レベルとしては応用情報と同程度だと感じましたが、改めてセキュリティ観点で知識を整理しておくことが大切です。
また、実務的な項目としては、入退室管理の手続きやアカウントの認証情報の管理などが挙げられます。こちらは次の項目の組織的な対策・運用にも関連します。
セキュリティインシデント発生時の組織的な対策・運用
こちらは組織内の制度づくり(上流寄り)の観点になります。
セキュリティインシデントは必ず発生します。発生した時に組織の中のどの部署の誰がどう動くかを、あらかじめルール化しておく必要があります。
設問のパターンとして多いのは、ネットワークログで異常な通信を検出 → 対応チーム(大体CSIRT、無ければ情シス部署)がリスク評価 → 対応チームが、アクションを必要とする部署に指示 → 落ち着いたら振り返り、のようなケースです。
一定の規模の組織で、業務経験がある方にとっては、こういったセキュリティインシデントに対する対応については比較的容易にイメージできると思います。
一方、学生の方など、大規模な組織での業務経験がない方にとっては、想像しづらいかもしれませんが、過去問を数問解けば、ちゃんとした対応がなされているパターン、ルールがあやふやで対応に苦慮しているパターンなど、さまざまな状況に触れることができるので、すぐに慣れると思います。
各試験の対策(午前・午後)
午前Ⅰ
応用情報を取得してから間が空いてしまっていたため、午前Ⅰの受験も必要でした。こちらは、応用情報の時もお世話になった応用情報技術者過去問道場で対策しました。
午前Ⅱも同様ですが、過去10年分ぐらいを完璧に対策していれば、それだけで4〜5割程度の点数が確保できるため非常に楽に午前を突破することができます。
午前Ⅱ
午前Ⅰのセキュリティ関連が出題されるイメージです。難易度も同じぐらいに感じました。
こちらも情報処理安全確保支援士過去問道場で対策しました。
午後Ⅰ
午後は記述式の問題になります。午後Ⅰは3問中2問を選択して回答する方式です。
正直なところ、記述の採点基準が読めないため、記号問題・選択問題を確実に得点したいという思いでした。
そうはいうものの、勉強方法が大幅に変わるわけではなく、参考書をざっと一通り読み、過去問を解いて、分野や項目ごとに見直す、という戦略で学習を進めました。
ちなみに、選択する問題については、Javaがわからないという理由で、セキュアプログラミングは選択しないと決めていました。結局、当日は出題されず、どの2問を選択するかで割と迷ってしまいました。
午後Ⅱ
午後Ⅱも記述式で、2問中1問を選択して回答する方式です。
午後Ⅰよりも、問題文が長く、選択は1問ですが2時間あるため、高い集中力が要求されます。また、記述問題の文字数も長いため、文章の構成を考えるのが難しくなります。
ただ、午後Ⅰを解く力があれば、ほとんど問題なく午後Ⅱも対応できると思いますので頑張りましょう。
自分の作成した文章を添削するのは高度な技術ですし、正確な採点ができないと思いますので、筆者の場合は、同じタイミングで受験する同僚と、何度か相互添削を行いました。こうすることで、自分と相手の最低二つの評価を得ることができるので、大幅に学習効率が上がります。
その他試したこと
情報セキュリティ10大脅威の読み込み
IPAが発表している情報セキュリティ10大脅威を読んでみました。
「最近こういうインシデントが流行っているから出題されるのでは!?」みたいな形で出題予測してみましたが外れました。
試験対策というよりは、最低限のトレンドを把握しておくためのものですね。
最後に
情報処理安全確保支援士試験は、IT系初の士業である情報処理安全確保支援士(登録セキスペ)を名乗ることができる、IPA試験の中でも一風変わった試験です。
登録セキスペ資格の取得・維持にはお金がかかりますが、先に試験に合格しておくだけしておけばいいのかなと考えています。
業務外の余暇を使って学習に取り組むのは、心が折れることもあるかもしれませんが、この記事を読んでくださった方皆さんが合格されることを祈っております。
コメント