セキュリティ知識ゼロから情報処理安全確保支援士に合格する方法


はじめに

この度、セキュリティ知識ほぼゼロ(応用情報合格レベル)からスタートして、情報処理安全確保支援士に合格することができました。

受験を通じて、この資格を受験するメリット合格のために必要な勉強法に関して知見が得られたので、後世の方、特に

・セキュリティ業務は未経験だが興味がある方
・応用情報や他の高度情報試験に合格し、次の学習ターゲットを探している方

向けに、記事にまとめたいと思います。

情報処理安全確保支援士とは?

情報処理安全確保支援士は、IPAの主催するセキュリティ資格の一つで、その中でもスキルレベル4に位置付けられ最難関とされる資格です。

※画像はIPAホームページより。赤枠が情報処理安全確保支援士

令和3年春試験の統計を見ると、
・他の高度試験と比べると受験者数が多い
・合格者平均年齢はやや若め
・合格率はやや高め
という特徴があり、応用情報合格者が最初の高度試験として選ぶケースが多いと言われています(厳密な定義では高度試験ではないですが…)

試験内容

試験内容は以下となります

午前1 午前2 午後1 午後2
試験時間 50分 40分 90分 120分
試験方式 マークシート式 マークシート式 記述式 記述式
問題数 30問 25問 3問中2問選択 2問中1問選択
合格ライン 60% 60% 60% 60%

応用情報と比べた場合の最大の違いは、長大な問題文の午後問題にあり、試験対策もこの特徴に合わせて実施する必要があります。
試験対策については後述します

※午前1試験の免除

こちらに記載されているように午前1試験は直近2年で以下の条件を満たすと免除となります。

①応用情報技術者試験(AP)に合格
②情報処理技術者試験の高度試験、情報処理安全確保支援士試験のいずれかに合格
③情報処理技術者試験の高度試験、情報処理安全確保支援士試験の午前Ⅰ試験で基準点以上の成績をとる

免除には受験申込時に申請が必要なため、忘れないよう注意してください!

情報処理安全確保支援士のススメ

実際に受験してみて、以下のようなメリットがあると感じました

メリット1: セキュリティに対するリテラシーが上がる

現在進行形で話題となっているLog4jマッチングアプリでの免許証大量流出など、2021年も多くのセキュリティインシデントが世間を騒がせましたが、Log4jでは迅速なパッチの適用、免許証流出では不要な機密情報の不保持(リスク回避)が有効な対策となる等、このようなインシデントではパターンを知っているかが実ダメージを受けるかの分かれ目となります。
その点で、様々なインシデントのパターンを学べる本資格は、実践的なセキュリティリテラシーを高めるにはピッタリと言えるでしょう。

また以下のような記事が投稿されている事からも分かるように、試験自体も実際のインシデントを模した問題に対して原因や対処法を解答する、実践的な形式となっています。

メリット2: IT技術に関する知識の裾野が広がる

一言で「セキュリティ」と言っても、攻撃者が狙う対象はネットワークやデータベース、Webアプリ、入室管理の甘さ等多岐に渡り、これらに対する総合的な知識が求められるため、高度試験の中では比較的「浅く広く」の傾向が強い試験と言えるかと思います。

また、応用情報では分量の都合上から名前だけ出てきて詳細が触れられず、謎の技術感のあったIDSやIPsec、WPAについてもより詳細に学ぶことができるため、応用情報で学んだ知識を全般的に深めるという意味でも、最適な試験と言えるかと思います。

応用情報の次の対象として受ける受験者が多い事も、この特徴に基づいていると思われます(近い特徴を持つネットワークスペシャリストも受験者数が比較的多めです)

メリット3: 「セキュリティ知識がある」という箔がつく

セキュリティ関係の業務に携われている方はもちろんですが、そうではない方にとっても、以下のようなメリットがあると感じています。

・重箱系質問への対抗手段に

どこの世界にも、重箱の隅を突くような指摘をする人はいます。「これってセキュリティ的に大丈夫なの?」という指摘はその中でも高頻度かつ厄介なものです。これに対して指摘をクリアするための適切な知識+本資格による知識の箔付けがあれば、重箱系質問者からも感心される解答ができるかと思います。

・組織力の強化

IT業務に携わっている方は実感する場面が多いかと思いますが、セキュリティは要件検討上の重要事項であるにも関わらず知識のある人材が少ないため、身近にセキュリティの質問ができる人がいることは非常に心強いです。
一家に一台ならぬ一課に一人情報処理安全確保支援士がいれば、組織としての開発力・設計力を大きく向上させることができるでしょう。

私が合格したときの状況

合格に至るまでに取り組んだ内容を簡単に紹介します。

あんた誰?

製造業でデータ分析をしています。職種的には「データサイエンティスト」や「機械学習エンジニア」にあたるかと思います(応用情報は半年前に取得済)

機械学習エンジニアは社内システムの奥底にアルゴリズムを実装することが主任務となるため、外部からの脅威を対象とするセキュリティとはある意味対極の業務をしてるわけですが、それでも前述のようなメリットを感じることができたので、情報処理安全確保支援士はITに携わる多くの人にお薦めできる資格だと思います。

点数

以下のような点数となりました。
正直午後1が一番自信がありませんでしたが、意外に点数が伸びていたことに対しては後で考察しています

テキスト

以下のテキストをメインとして使用しましたが、体系的に内容がまとまっており非常に良かったです。
本文だけで760ページと非常に長いですが、試験合格後も情報が必要となった際の備忘録として十分使えるクオリティの参考書だと思います。

また、午後問題の対策用に以下のテキストも購入しました。テクニック本としての側面が強いですが、問題文で目をつけるべき場所を演習で学ぶことができるので、問題文の長さに辟易としがちな午後問題で、効率よく解答に辿り着くための助けとなりました。

過去問は以下のIPA公式サイトから解答含め無料でダウンロードできます。上記の上原氏著のテキストに過去8年分の過去問解説が付録しているので、併せて利用すると良いかと思います。

試験の勉強スケジュール

応用情報の時の反省を踏まえて、以下のようなスケジュールで勉強を進めました

・テキスト1周目
・過去問道場で午前問題を25年分解く
・午後問題を2年分解く
・テキスト2周目
・午後問題テキスト
・午後問題を3年分解く

結果、1ヶ月足らずの勉強で合格できたので、思い返すと悪くない進め方だったのではと感じています。

試験対策に有効だと感じた知見

試験科目ごとに、知っていると試験で有利になりそうな知見を紹介します。

午前1

受けていないので分かりません(受験免除)

午前2

純粋に知識を問われる問題なので、参考書による暗記と、過去問による習得度確認の繰り返しに尽きるかと思います。

IPAのマークシート試験の例に漏れず、問題の多くは過去問からの流用のため、過去問を大量に解くことが何より重要です。過去問道場という便利なサイトがあり、スマホアプリ版も存在するため、積極活用することをお薦めします。

午前の勉強で身に付けた知識は午後でも役立ちます。
セキュリティ業務未経験から合格を目指すためには、経験を知識でカバーする必要がありますが、個人的な感覚では、午前2で安定して8割取れるくらいの知識がないと未経験から午後試験を突破するのは難しいと思います。とにかく過去問道場を解きまくってください。

ちなみに、毎年数問は過去問にない時事問題(今年の場合はAIへの攻撃や量子コンピュータ)が出ますが、解けなくとも過去問からの流用分さえ抑えていれば合格点は十分に取れるので、パニックにならないようにだけ注意してください。

午後1

個人的には一番難しいと思ったのがココ(なぜか得点は伸びていたので、後述のように採点は甘めなのかもしれません)
選択をミスすると時間が足りなくなります。

午後問題の構成

問題の構成は午後1も午後2も基本的に、

最初に
「当社のネットワーク構成はこのようになっています」(ファイアウォールのACL等が併記されることが多い)、
「業務フローはこのようになっています」

というような架空の企業やネットワーク構成に関する情報が与えられ、ここに

「同業他社でこんなインシデントがあったので対策を強化する」
「IDSや関係者の通報でシステムが攻撃された痕跡が見つかった」
「情報処理安全確保支援士のAさんに対策を相談した結果、〇〇の対策が不十分だと指摘された」

というようなセキュリティを脅かすイベントが発生し、原因候補や根拠、対処法を答えるというパターンとなっています。

応用情報以上に実践的な問題構成となっており、前述のように過去問を解くだけでもセキュリティのリテラシーを高めることができますが、逆に言うと実践経験がない人に不利な問題と言えます

午後問題Tips

以下のような特徴を理解することで、より合格率を上げられそうだと感じました。

・国語力が求められる

設問箇所よりもかなり前の本文に解答が隠されている等、国語力が求められる問題が多いです。
まずは集中して問題文を読むことと、注釈に重要な情報が記載されていることもあるので、細かい部分にも目を通す事が重要です。

また目を付けるべきポイントにはある程度パターンがあるので、前述の午後問題集でパターンを掴んでおく事も、解答にたどり着くための助けとなるかと思います。

・複数通りの答えが考えられる問題が多い

後述しますが、記述問題では解答が複数考えられるケースも多く、この場合的外れな解答をしない限りは正答として扱われていそうな印象です。
とにかく諦めずに答案を埋めることが重要だと思います。

・略称は正確に覚える

用語を答えさせる問題は選択でなく記述式であることが多いため、名称を正確に覚える必要があります。
特にCRYPTRECやOCSPのようなアルファベット略語は忘れやすい上に頻出するので入念に覚えておきましょう。この面で、午前問題の対策が午後でも有効だと言えます。

・問題選択のキモはプログラミング問題

「問題選択をやり直して時間切れ」というのが十分な実力があるのに不合格となる典型パターンなので、問題選択は慎重に行う必要があります。
個人的に判断基準として有効だと思ったのが、「プログラミング問題の言語」を判断基準とすることです。

本試験では、基本的には以下の3通りの言語が出題されます
・JavaScript
・Java
・C++

年によってはプログラミング問題自体が出ないこともあるようですが、どの言語が使われているかは問題分を一見するだけですぐに分かるので、得意な言語の問題があるかで選択を判断すれば、時間を掛けずに問題選択することができます。

午後2

時間は2時間とたっぷりありますが、とにかく問題文が長い!1問の問題文だけで10ページくらいあります。
問題の分野やパターン自体は午後1と非常に似ており、午後問題はまとめて対策すれば十分かと思います。

午後2特有の注意点

午後2特有の注意すべき点を記載します

2問中1問の選択が「運命の選択」となる

2問中1問を選択する必要があるため、文字通り合否を分ける「運命の選択」となります。
前述のプログラミング問題の言語等のテクニックを駆使して、慎重に問題選択してください。

問題文は非常に長いので、細切れで問題を解く

10ページを超える問題文を通しで読むだけで、多大な集中力を要します。

午後2では多くの設問で問題文の途中でキリよく切れている箇所が存在し、ここより前の問題文を読めば、最初の数問は解けるようになっていることが多いです。
人により好みが分かれそうですが、集中力を切らさないためには、途中まで問題文を読んだ段階で細切れで問題を解くことも、有効かと思います。

よく言われている逸話について

以下のような逸話をよく見ますが、実際に受けてみて逸話に共感できたかどうか、感じたことを記載します。

応用情報より簡単?

「応用情報より範囲が狭いので簡単」という意見をよく聞きますが、私が両方受験した感覚では、セキュリティ業務未経験者にとっては応用情報より間違いなく難しいと感じました。

そもそも、私が使用した同シリーズのテキスト(応用情報:505ページ情報処理安全確保支援士:760ページ)では情報処理安全確保支援士の方がページ数が多く、範囲は狭くとも分量自体は多いです。

午前と午後の難易度

よく「午後は受かったと思うけど午前で点数が足りなくて採点対象とならなかった」という報告を聞きますが、実際に午前に落ちて午後に受かるケースは極めて稀だと思います。
前述したように、経験を知識でカバーする必要のあるセキュリティ業務未経験者にとっては、午前で8割を安定できるレベルでないと午後の合格は厳しいと感じるくらい、午後の方が圧倒的に難しいというのが個人的な実感です。

午後の採点の厳しさ

私のケースだけかもしれませんが、午後1は解答に迷った設問が多くあったにも関わらず、点数が伸びていたので、採点は甘めのように感じました。
解答が複数考えられるケースにおいては、かなり的外れな解答をしない限りは正答として扱われていそうな印象です。
とにかく諦めずに答案を埋めることが重要な試験だと思います。