※当ブログではアフィリエイト広告を利用しています。
昨今ではスマートフォンが普及してきたこともあり、インターネットは生活に欠かせないものとなっています。それに伴い情報セキュリティに関する知識は職種・年齢に関係なく重要となってきました。資格の学習を通して知識を身につけるのも良い方法だと思います。
そこで国家資格である情報セキュリティスペシャリスト試験(現在の名称は情報処理安全確保支援士)に3回目にしてようやく合格したときの勉強法を共有します。
情報セキュリティスペシャリスト試験(現情報処理安全確保支援士)とは?
IPA(独立行政法人 情報処理推進機構)が主催する情報処理技術者試験の一区分で、試験制度のスキルレベル4に該当する国家試験です。情報セキュリティにおける専門性を有することを問われます。
IPAの公式サイトには、対象者像が以下のように定義されています。
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者
午前I、II、午後I、IIの試験があり、すべての区分で60点以上を取得で合格です。
情報セキュリティスペシャリスト試験(現情報処理安全確保支援士)の合格率
IPAの統計情報によると平成21年度春期~平成25年度春期の合格率は以下の通りです。
平成21年度春期:16.0%
平成21年度秋期:18.5%
平成22年度春期:15.3%
平成22年度秋期:14.2%
平成23年度特別:13.9%
平成23年度秋期:13.5%
平成24年度春期:13.7%
平成24年度秋期:13.9%
平成25年度春期:13.1%
近年の合格率は概ね13%台で落ち着いているようです。
合格時の試験の結果
- 午前I:免除
- 午前II:68点
- 午後I:70点
- 午後II:78点
受験前の私と、2回の不合格について
合格時は地方の中小IT関連企業(SIer)勤務3年目でした。情報処理技術者試験はH21秋から受け続けており、情報セキュリティスペシャリスト試験は3回目の受験でようやく合格しました。
H21秋 基本情報技術者 合格
H22春 応用情報技術者 不合格
H22秋 応用情報技術者 合格
H23春 情報セキュリティスペシャリスト 不合格
H23秋 情報セキュリティスペシャリスト 不合格
H24春 情報セキュリティスペシャリスト 合格 ← ここでやっと合格
2回もの不合格
1回目は全く勉強しない状態での受験でした。あまりの難しさのため午後IIを受けずに帰り、試験自体も午前IIで足切りという悲惨な結果でした。
2回目も参考書を数ページ眺める程度での受験でした。試験は最後まで受けたものの、結果は1回目と同じく午前IIが合格点に達しないという状態でした。しかしこの2回の不合格は全くの無駄ではなかったように思います。
合格のために購入した参考書
2回の不合格では情報セキュリティの基本中の基本となる暗号、認証、鍵・乱数などに苦手意識があり、理解できていないことを痛感していました。
そこで暗号技術の入門書として定評のある「暗号技術入門 秘密の国のアリス」を購入しました。暗号技術について歴史的な経緯も含め、とにかくわかりやすい文章と豊富な図で解説されています。この本のおかげで各種暗号技術についての苦手意識が無くなったといっても過言ではありません。試験後も読み返すくらいお気に入りの書籍です。現在は改訂版が出版されています。
次に情報セキュリティに関する全般的な知識をつけるための書籍として、書店でいくつか立ち読みしてみて一番読みやすかった「情報処理教科書 情報セキュリティスペシャリスト」を購入しました。現行試験のものは「情報処理教科書 情報処理安全確保支援士」です。とにかく範囲が広い試験で参考書を読む時間も長いため、見やすいことを重視しました。
勉強方法
基礎知識の習得
まず暗号技術入門 秘密の国のアリスを一通り読み切り、デジタル署名やSSL等のセキュリティ技術に使われている暗号の基礎を学びました。
本書を読んでいなければ以下のような暗号の基礎的な考え方は分からなかっただろうと思います。
- 秘密の暗号アルゴリズムは使ってはいけない(公開されている暗号アルゴリズムを使う)
- 弱い暗号は暗号化しないよりも危険である
- 暗号技術が完全でも、人間は不完全
次に情報処理教科書 情報セキュリティスペシャリストを読み切り、情報セキュリティスペシャリスト試験範囲の知識を一通り頭に入れました。「秘密の国のアリス」を読んでいたこともあり暗号を応用している仕組みやプロトコルについては頭に入ってきやすかったように思います。
午前II対策
例年午前II試験は過去問題から半分以上が出題されます。IPA公式サイトの過去問題ページより直近3年分の過去問をダウンロードし、全て5回通り以上は解きました。問題文を見て答えがすぐに浮かんでくるようになれば完璧だと思います。
ちなみに本試験では、過去問から出題される問題は文章から選択肢の並び順まで全て同じです。
午後I対策
午後Iは4問中2問を選択する必要がありますが、問1は毎回セキュアプログラミングの問題が出題される傾向があります。言語がJavaだったりC++だったりと毎回異なり難易度が高く感じたため、問1は選択肢から外しました。
問2~4はセキュリティ技術やネットワークセキュリティに関する問題が出題されるため、過去問2年分(試験だと4回分)を3週ずつくらい解きました。繰り返し解いてみて情報セキュリティというよりは、問題文作者の意図を読み取る国語の問題のような問題が多いということでした。
午後II対策
午後IIは2問中1問選択ですが、どちらかに決め打ちということはしませんでした。過去問は1年分(試験2回分)を1通り解く程度でした。ただし過去2回は「不合格だった試験」で、直近一回の問題は試験会場で死ぬほど考えた問題だったので理解は速かったように思います。
それ以外には息抜きを兼ねてScanNetSecurityというセキュリティ関連のポータルサイトを見るようにして、最新のセキュリティ動向をチェックするように努めました。
ScanNetSecurity:http://scan.netsecurity.ne.jp/
受験当日
午前I
免除でした。
午前II
わからない問題もありましたが過去問をやっていたこともあり、6割はとれただろうという手ごたえでした。
午後I
問2、問4を選択しました。標的型メールについてはあまり勉強しておらず問4の試験ではじめてその内容を知ったのですが、問題を解きながら脅威や対策を学習できる形の良問だったと思います。
午後II
問2を選択しました。クラウドサービスの利用や携帯端末の業務利用に関する問で、こちらも問題を通してクラウドサービスの提供プラットフォームごとの違い等を学べる良問でした。
社内ネットワークのセキュリティを固めていてもノートPC+テザリングで迂回できてしまうのに気づけたのがラッキーだったと思います。
おわりに
2回の不合格を経て合格できた試験ですが、まとめると以下の点が重要だったと感じます。
- 不合格時も試験会場でわからないなりに考え抜いたことと試験に慣れたこと
- 読みやすい本で基礎を学習し、苦手意識を無くしたこと
- セキュリティ技術だけでなく、問題文から出題者の意図に近い答えを読み取ること
- 諦めずに受験したこと
情報セキュリティは特に技術の移り変わりが激しい分野です。資格を持ってるのに知らないの?と思われないためにも、合格後の日々の勉強こそが本番なのかもしれません。
関連記事:効率を重視した情報処理技術者試験の勉強方法まとめ【挫折しないために】
