はじめに
三菱総研DCSクラウドテクノロジー部の佐藤と申します。
2020年の新卒入社以降、PF(プラットフォーム)/WEBのセキュリティ診断 と セキュリティ関連の技術施策を中心に基盤を担当しております。
PF診断・・・サーバ・ネットワーク機器などに脆弱性や設定不備がないかチェックする診断
WEB診断・・・アプリケーション(WEBサービス)に脆弱性や設定不備がないかチェックする診断
2017年4月に新設された情報セキュリティに関する国家試験「情報処理安全確保支援士」について、2023年4月筆者が合格しましたので、実績とその過程で得た知見を共有するため、本ブログを寄稿するものとなります。セキュリティの知見を高めたい方(特に受験をご検討の方)にとって少しでもプラスとなれば幸いです
2023年4月の受験は3度目で、それまでの2回は対策する時間を十分に確保できず受験するだけとなっておりました。そのため三度目の正直で「今回こそは!」と意気込み対策、結果として何とか合格することができました。点数は以下となります。
午前Ⅰ「免除」、午前Ⅱ「72点」、午後Ⅰ「71点」、午後Ⅱ「67点」
各60点以上で合格のため、特に午後Ⅱのぎりぎり感は否めませんが、合格する程度の知見は持っているものと捉えていただければと思います。
この記事のねらいについてですが、最初に思い浮かぶのは、知見共有による「合格率向上」かと存じます。当然、それに寄与できれば有難いですが、この記事を読んでも得点力に変化はありません。ですので筆者個人としましては、本記事“受験のすすめ”をご一読いただき、「動機付け(※)」の一つとして、今後の学習につなげていただければ幸いです。
※モチベーション向上と捉える考えもあります
そのため、本ブログでは最初に資格解説と試験概要解説、次に、筆者試験対策実績、最後に、最速で合格するプランの提案を行う構成で“受験をすすめ”る流れとなっております。
-
目次
- 情報処理安全確保支援士とは
- 傾向
- 対策
- まとめ
情報処理安全確保支援士とは
まず情報処理安全確保支援士(以下、登録セキスぺ)とは、情報セキュリティに関わる国家資格の1つです。取得を目指す人材としてIPAは以下のように述べています。
「サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。」
※「情報処理安全確保支援士試験」IPAより引用(2023/6)
建付けとしては下記図の通りとなります。大きな括りはレベル4の情報処理技術者試験ですが、登録制であることが他の試験と大きく異なります。
出典:試験区分一覧(IPA)
メリット
登録セキスぺ取得による利点は大きく2つあります。
- 情報業界初の「士業(※)」
- セキュリティスペシャリストとしての資質の証明
国家資格を有する士業については、資格の認定プロセス(国家試験の合格、実務修習の修了等)を通して、当該業務分野に関する専門性が法的に担保される。これらの士業には、制度的に担保された専門性を背景に独占業務を認められているものも多い。
※「士業 - 士業の専門性と業務」wikipediaより引用(2023/6)
情報業界の初「士業」
登録制の士業という形態をとっているため、他のレベル4の資格とは性質が異なります。経済産業省の「第3回 産業構造審議会 商務流通情報分科会 情報経済小委員会 試験ワーキンググループ(※)」では政府や特定業界に関わる業務の調達先、並びに、調達する側の企業においての必置化が提言されており、業務の独占化が起これば有資格者の価値が上がることが予想されます。
※ 出典:第3回 産業構造審議会 商務流通情報分科会 情報経済小委員会 試験ワーキンググループ (議事要旨・資料1)
セキュリティスペシャリストとしての資質の証明
ITに関わっていれば必ず求められる“情報セキュリティ”について、一定の能力を有していることが証明できます。取得後はセキュリティスペシャリストの証明となり、エンジニアとしてもコンサルタントとしてもセキュリティに関わる発言の影響力が増すことが想定されます。
デメリット
登録セキスぺ取得における欠点が現時点で1つあります。
- 登録費並びに維持費が高い
登録費並びに維持費が高い
2023年7月時点で、登録費用に約2万円、また、3年で更新が必要で更新に際して14万円前後必要となります。3年で更新するにあたって更新料は不要ですが、講習を受ける必要があります。毎年受講が必須の2万円の講習と3年に1度受講が必須の8万前後の講習です。結果として2万×3回+8万前後で 14万前後 となります。
※詳細は「登録セキスペ 更新について(IPA)」をご参照ください。
ここまででどのような資格なのか把握してもらえたかと思いますので、以降は実際の試験内容や対策についてお伝えします。
傾向
まずは筆者が受験した試験の概要についてご説明します。午前と午後に分かれており、午前は選択問題で知識を、午後は筆記問題で知識をもとに実際のオペレーションのセキュリティ的観点でどのような箇所を注意すべきか仮想企業を例に考え方を問われます。総じて午後の方が難しく、十分な対策が必要となります。
| 試験内容 | 午前Ⅰ | 午前Ⅱ | 午後Ⅰ | 午後Ⅱ |
| 試験時間 | 50分 | 40分 | 90分 | 120分 |
| 試験形式 | マークシート | マークシート | 記述式 | 記述式 |
| 問題数 | 30問 | 25問 | 3問 中 2問 | 2問 中 1問 |
| 合格ライン | 60% | 60% | 60% | 60% |
ただし、2023年10月の試験から概要が変更になりますので、合わせてご説明します。変更点は赤太字で記載しております、午後が統一化されて時間が伸びている箇所です。トータルで見ると試験時間が60分減っておりますので、楽なように感じますが、午後試験が150分と大変長いので集中力がより必要になる想定です。
※出題傾向に変更はございませんので、過去問による対策は依然有効です。
(参考)「情報処理安全確保支援士試験(∼中略∼)出題構成等の変更について」
| 試験内容 | 午前Ⅰ | 午前Ⅱ | 午後 |
| 試験時間 | 50分 | 40分 | 150分 |
| 試験形式 | マークシート | マークシート | 記述式 |
| 問題数 | 30問 | 25問 | 4問 中 2問 |
| 合格ライン | 60% | 60% | 60% |
| ポイント!! | 免除されよう! | 過去問で完璧に! | 苦手を把握! |
午前Ⅰ
ここからは、ポイント‼の内容をより詳しくお伝えしていきます。午前Ⅰについて伝えたいことは一言だけです「免除制度を使いましょう」以下の条件で当日の試験を免除されます。
- 応用情報技術者試験(以下AP)、
情報処理技術者試験の高度試験、いずれかに合格 - 情報処理技術者試験の高度試験、 情報処理安全確保支援士試験の
午前Ⅰ試験で基準点以上の成績をとる
※有効期限は2年間、試験申し込み時に免除項目に記載する
詳しくはIPAの「午前Ⅰ試験免除」をご確認ください。ぜひともご利用いただき、時間を有効に使ってください。
(筆者は免除でしたので、朝カフェして心と胃袋を整えておりました)
午前Ⅱ
午前Ⅱは絶好調な解き心地で終わっていただくために、過去問を暗記してください。午後を調子よく迎えるために、午前のやり切った感は不可欠です。余裕しゃくしゃくで通過してやりましょう。
ちなみに筆者が受験した中での過去問の流用率(※)を記載しておきます。筆者は過去問5回分を2周しており、問題文と答えは一致する状態でした。
| 判定 | 問題数 | 説明文 |
| 完全一致 | 6問 | 問題文・選択肢が同じ |
| 部分一致 | 5問 | 過去問と同じ知識で解答可 |
| 初見 | 14問 | 過去問で見ていない問題 |
| 全体 | 25問 | 流用率11/25問(40%越) |
見ていただきわかる通り、流用率が過去5回分で40%を超えております。合格ラインは15/25問(60%)ですので、あと4問初見で正解するだけで合格になります。初見も正答できるよう、過去問で知らない単語などは検索して覚えておきましょう。
(※主観に基づく見極めのため、流用率の判定は人によります)
午後
皆様気になってらっしゃるメインディッシュの午後の傾向です。まず午後はカテゴリがあるので、それを把握し自分の苦手カテゴリを避けましょう。佐藤式カテゴライズ(※)で出題頻度を割合にした結果が以下の通りです。
1位:ネットワーク(55%)
2位:プログラム(21%)
3位:認証フロー図(12%)
4位:データ関連(12%)
※午後Ⅰの8回分の問題を筆者が独自に主観でカテゴライズし出題頻度を統計したものです。午後Ⅰの大問ごとにメインで取り扱っていると判断したカテゴリを4つに分類しており、8回分で24個の大問を区分しました。
以降、それぞれご説明いたします。
1位:ネットワーク(55%)
必出問題。まずはこれから頑張りましょう。架空の概略ネットワーク構成図が載っており、通信経路変更に伴うFWの設定変更や安全性が疑われる通信を各種ログから確認する問題です。個人的には比較的好きな問題でした。図や注釈をよく読むと回答が記載されていることが多かったイメージです。
例としては「令和5年春期 問2」あたりです。
2位:プログラム(21%)
頻出な厄介問題。筆者的に嫌いな問題が多かったので逃げました。種類としてはJavaかSQLかjsあたりの問題が多い記憶ですが、全部苦手な筆者は出たらとりあえず逃げておりました。実際に攻撃者がどのような入力値でもって攻撃するかを把握しておられる方は、解きやすい問題と思われます。
例としては「令和5年春期 問1」あたりです。
3位:認証フロー図(12%)
ネットワークやプログラムのカテゴリと合わせて出がちな問題。
フロー図において、アクセス元端末とアクセス先サーバと認証サービスの3つの中で認証情報がどのようにやり取りされるのか聞かれる問題です。主な問題は、やり取りする3つの名称が伏せられており端末とサーバと認証サービスの当てはまる記号を答えるものや、やり取りする情報の中身が何であるか答えるものが多いです。
例としては「令和5年春期 問3」の図2のSAML連携のあたりです。
※上記例は簡素なフロー図ですが、場合によっては攻撃者を含めたフロー図になったおり、トークン等の認証情報を攻撃者が悪用するフロー図などは難易度が高まります。
4位:データ関連(12%)
時々見かけるデータ問題。
選択問題中でプログラミングばかりで逃げたいときに使ってましたが、わざわざ選ぶほどでもないイメージです。暗号化手法やデータの管理に係る問題で認証フロー図同様、ネットワークやプログラムのカテゴリと合わせて出がちな問題。
例としては「令和3年秋期 問2」あたりです。
対策
問題傾向が掴めれば、後は合格に向けて準備するだけです!ここでは筆者が実施した準備とそれを基に最短合格スケジュールを引いたものになります。「記載内容通りに実施したら合格する」と言えるモノを目指して作成します。
筆者実施スケジュール
前提
2021年4月にAPに合格しており、基礎IT知識は持っておりました。
第1回受験
翌年に受験を決意するも2カ月前に挫折。11月頃から午後過去問に取り掛かったところ、知らないワードの方が多い始末。事前に本を購入して学習をちょくちょく進めておりましたが、2021年10月-2022年3月までの実質学習時間は20hほどです。結果不合格。
第2回受験
この際は他の資格試験に浮気していたので実質学習時間は0-5h、申し込みだけで試験会場にも赴いておりません。
第3回受験
三度目の正直と、覚悟を決めて準備を実施。午後Ⅰの過去問を一度取り組み、知識の不足分を確認し方針を固めました。幸い、業務でセキュリティに携わっているため、1年前より知っているワードが増えており、割合として、問題の文章(プログラム除く)を読んで理解できる範囲が半分を超えていると判断し、午前の問題5回分の暗記に取り掛かりました。暗記が完了後、午後Ⅰを見ると8割の問題文を理解できる(正答できるわけではない)状態になっており、午後試験対策を開始しました。
想定最短スケジュール
【90日合格プラン組んでみた】
と言いますのも、申し込みが試験の3カ月前ですから、「申し込んでからでも、受験対策は間に合うかもよ‼‼」って伝えたいわけです。では、以下に詳細な実施計画をお話します。
申込(5h)
受験の意思を固めて決意しましょう。
過去問チャレンジ(5h~45h)
この時点でまだ3カ月あります。
過去問を1回分で構いませんので、午前Ⅱと午後Ⅰを解きましょう。(5h)
図にあります通り、そこでの知らない用語の割合を確認してください。さすがに半分超えると学習進捗が出ませんので、基礎セキュリティ学力の不足を本やeラーニングなどの教材で補填しましょう。(40h)
午前Ⅱ過去問暗記(28h)
この時点で残り2カ月です。
午後に向けて試験知識を高めましょう。午後の暗記は「過去問道場」さんを使うと、無料で解説が細かく良いかと思います。流れとして〔「解く」→「解説見る」→「検索する」〕→「2週目解く」です。
(※〔 〕の中は1問ごとに繰り返す。)
過去問解いて解答見るだけでは午後の準備になりませんので、必ず専門用語で説明できないワードは検索しましょう。
解く(40分×6回=4h)
解説見る(6h)
検索する(12h)
1回分ごとに流れが終わったら、2週目を自分で解説入れながら実施します。4択の例として「①は○○関連のワード、②は前後関係が逆、④はそもそも無関係、だから③が正解」などといったことを自分で自分に説明します。説明できないワードはここで再度検索します。
2週目解く(40分×6回+2h=6h)
午後対策(35h)
この時点で残り1ヶ月です。
筆者実績と同様のことを提案します。マッピングと時間無制限回答と模擬試験に分けて記載します。
・マッピング(2h)
問題文と設問を読み、把握したところで解答を閲覧。問題文や図表の中に解答が乗っていればチェックを付けましょう(印刷済みならマーカー)。これを午後Ⅰで1-2回分(大問3-6個分)実施しましょう。
・時間無制限回答練習(3h×5回=15h)
回答欄を全て埋めましょう。得意だの苦手だのはさておき、とりあえず回答します。その中で、正答率の低いカテゴリを選別していきましょう。これを午後Ⅰで4-5回分(大問12-15個分)実施しましょう。
〈参考〉Udemyで問題解説動画がありますので必要に応じてご覧ください(有料)
・模擬試験(3h×6回=18h)
120分という時間内に回答する集中力を養いましょう。このタイミングでは知識よりも、拾えそうな球(問?)を見抜くの選球(問?)眼を鍛える方が得点力を高めることにつながります。例えば、解き始める前にそれぞれの設問に正答できそうか“◯”、“△”、“×”を割り振り、正答率の期待値が高い大問を解き、採点時に自分の選球(問?)眼も評価する、などです。
直前対策∼当日対策
この時点で前日でしょう。このタイミングでするべきは心身ともに好調にすることです。ゆっくり過ごせるように、仕事や家事は事前に手早く済ませておきましょう。
筆者おすすめ前日・当日チェックリスト
[前夜]受験票に証明写真をはる
[前夜]受験票記載の持ち物一式をバックに準備
[前夜]余裕を持った電車を調べておく
[前夜]前日からは解き終わった過去問の問題と答えを見るなどの復習程度に抑える
[当日]朝はテスト会場の最寄りで軽いご飯(カフェ可)をとり、まったり過ごす
[当日]道中コンビニでお昼とお菓子(午後統一化のため不要)を調達
[当日]お昼も食べすぎや水分取りすぎに注意する
[当日]午前問題が始まったら情けない顔で「あわてるな、これは孔明の罠だ!」と脳内で言う
[当日]見直しは必須だが、不安な気持ちで回答欄を書き換えない
[当日]すべての試験が終わったら何か自分にご褒美を用意しておく
当然、ご覧の皆様にもルーティーンがあるかと存じますが、「あわてるな、これは孔明の罠だ!」をやるとクスッと笑えて好きです。
受験後∼合格発表
まず、受験した方はお疲れ様という事ですし、自分をほめてあげるのがよろしいのではないかと提案だけしておきます。
この時期に特筆事項はありませんが個人的には自己採点しないことを推奨しています。というのも、記述メインである午後問題の途中点などを正確に採点することが難しいからです。厳しめ採点は気分が萎えますし、甘め採点は意味がないですし、筆者自身は2カ月そのまま放置してました。
(ただ、落ちたと確信している時は次に向けて準備を進めるのが良いかと思います。)
結論として、2カ月は合格発表をじっと待ちましょう。受験者にできることはもう何もありません(笑)
まとめ
先ず、最後までお目通しいただきありがとうございました。また全体として、この記事はお役に立ちましたでしょうか?受験を検討している面々に少しでも現実的な案を提示できていたとしたら、幸いです。
自分自身の反省点としては、ブログを書くのは初めてという事もあり、読みずらい文章になってしまったことでございます。次回以降のブログ投稿がある際は、より読みやすい文章の作成と全体構成を検討したいと考えております。
最後にこのサイトを訪れていただいたこと、重ねてお礼申し上げます。
今後ともDCSブログをよろしくお願いいたします。
