はじめに
こんにちは。運用チームの飯村です。
2023年10月8日に情報処理安全確保支援士試験を受けてきました。
今回の試験から出題形式が変わったため、どう変わったのか気になる方も多いのではないでしょうか。私なりの試験対策や、試験を受けてみた感想を紹介します。また、資格試験を通して得たもの、弊社における試験を受ける際の補助制度についても紹介します。
情報処理安全確保支援士試験とは
情報処理安全確保支援士試験とは情報セキュリティに関する知識・技能を有することを証明する試験であり、合格後に所定の登録手続を行うことで、情報処理安全確保支援士の有資格者となることができます。企業や組織で情報セキュリティを推し進める立場になれる知識があることを証明する試験と考えてもらえれば分かりやすいです。
情報セキュリティマネジメント試験との違い
IPA(情報処理推進機構)が実施する試験の中で、セキュリティに関する試験として情報セキュリティマネジメント試験があります。情報セキュリティマネジメント試験と情報処理安全確保支援士試験はどちらもセキュリティに関する試験です。
情報セキュリティマネジメント試験の対象者像はこのように記載されています。
情報システムの利用部門にあって、情報セキュリティリーダーとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者 (※1)
一方、情報処理安全確保支援士試験の対象者像はこのように記載されています。
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者 (※2)
上記から、情報セキュリティマネジメント試験は資格を取得した個人が、組織で定められている情報セキュリティ諸規程を理解し適切に運用できることを証明する試験であること分かります。それに対し、情報処理安全確保支援士試験は組織における情報セキュリティ諸規定を定める側であり、より高度な知識が必要とされることが分かります。
そのため、情報セキュリティに関して入門者の方は情報セキュリティマネジメント試験を、情報セキュリティに関してより高度な知識を学びたい方は情報処理安全確保支援士試験を受験すると良いでしょう。
受験を考えたきっかけ
昨今、情報セキュリティの重要性が日に日に高まっています。私もその重要性から情報セキュリティの知識を体系的に学べる場所がないかどうかを探していました。そこで、情報処理安全確保支援士は体系的な知識を習得するのに適していると判断し、受験するに至りました。
試験の難易度
情報処理安全確保支援士試験と、IPA(情報処理推進機構)が実施する代表的な試験である応用情報技術者試験、基本情報技術者試験の過去3回の試験のそれぞれの合格率(※3)を見てみます。
※3 参考情報:情報処理技術者試験・情報処理安全確保支援士試験 統計資料
情報処理安全確保支援士試験は20%前後の合格率、応用情報技術者試験は25%前後の合格率、基本情報技術者試験は40%前後の合格率です。また、情報処理安全確保支援士試験を受験する方の多くは応用情報技術者試験に受かってる方、もしくは応用情報技術者試験に合格相当の知識がある方と考えられます。そのような集団の中で5人に1人しか合格しないと考えると、IPA(情報処理推進機構)が実施する試験の中では最難関の試験と言えます。
午後試験の変更点について
今回私が受験をした令和5年度秋期試験より出題形式が変更となり、以前出題されていた午後I試験と午後II試験が統一され午後試験のみとなりました。以前の午後I試験は90分で3問中2問を選択、午後II試験は120分で2問中1問を選択するものでしたが、今回から午後試験として150分で4問中2問を選択することになりました。
試験の準備
私は応用情報試験を令和5年度春期試験にて合格をしていましたので、試験科目である午前I試験が免除となりました。そのため、午前II試験と午後試験の準備についてのみ言及します。
午前II試験について
午前II試験は多肢選択式(四肢択一)の問題が25問出題され、15問以上の正答で合格となります。試験時間は40分です。情報処理安全確保支援士試験の午前試験は過去問からの出題が多い傾向にあります。過去3回の試験では、令和5年春期は25問中12問が過去問から出題、令和4年秋期は25問中8問、令和4年春期は25問中15問が過去問から出題されているとのことです(※4)。また、過去問からの流用でない場合も過去問と似ている問題が多いです。そのため、過去問を勉強しておけば午前II試験は高確率で突破できます。過去問をしっかりと抑えつつ、消去法や推測を用いて少しでも点を取りに行く姿勢が大事です。
午前II試験の勉強法について
私は過去問(約650問)を5周ほど周回し、95%くらいは正解できるようにしました。
使った教材は下記になります。午前問題がPDFでダウンロードできるため、それを紙に印刷しました。解答後に間違えた問題へ書き込みを行いました。試験が近づくにつれて間違えた問題のみ周回を行えばよいので、効率的に過去問を勉強できました。
他の勉強法としては過去問を勉強できる無料のWebサイトがありますので、午前対策のみでしたら無料のWebサイトでも可能です。私の周りの受験をした方は下記サイトを利用していることが多かったです。
午後試験について
試験時間は150分です。長文問題を4問中2問選択し解答をします。100点満点中60点以上で合格です。ただし、午前I試験・午前II試験を両方合格(午前I試験は免除でも可)していないと午後試験は採点されないため注意が必要です。
午後試験の勉強法について
午後試験に関しても使った教材は同じで下記です。
参考書の練習問題を20問ほど解き、解答の仕方や、問われる知識レベルを確認しました。IPA(情報処理推進機構)が実施する情報処理試験の午後問題は、巷ではよく日本語の問題と言われています。知識ももちろん問われるのですが、問題文から与えられた前提を念頭に入れながら、問いに正確に答えなければなりません。そのため、ここでは解答の仕方(どのような解答が求められ、どのような思考で答えを作るか)を重点的に学ぶと良いです。また、午後試験は4問中から2問を選択します。過去問を解く際も、150分の解答時間の中で、4題の問題から解けそうな2題を選択し解いてみる訓練も有効です。
受験直前の詰め
午前II試験を確実に突破するために過去問を周回しつつ、参考書の知識解説を周回し、理解の浅い箇所がないかを確認しました。午後II試験で大切な"解答の仕方"については受験直前に至るまでに確認をしているので、受験直前は"解答の仕方"よりも知識を頭に入れ、知識レベルで求められる基準に達することが大切だと考えます。特に午後II試験は選択肢問題が少なく記述問題が多くなるため、知識がない場合は解答をすることが困難になります。
受験後の試験の感想
私が受けた午後試験の大問2・大問3の印象について主に紹介をします。午前II試験は傾向に変化がありませんでしたので割愛します。
午後試験は4題出題され、主題は下記テーマの4問でした。
Webアプリケーションプログラムの開発(セキュアプログラミングとして知られる問題)
セキュリティ対策の見直し
継続的インテグレーションサービスのセキュリティ
リスクアセスメント
リスクアセスメント以外の設問は従来どおりの問題という印象でした。通常の設問は文字数制限があるのですが、大問4のリスクアセスメントに関しては解答における文字数制限がなく、とても印象的でした。大問4では「あなたの知見に基づき、答えよ」という、答えが一意に定まらない珍しい設問も出題されました。
試験開始後4つの大問を見比べ、大問4はイレギュラーな出題と感じたため、私は大問2・大問3を選択しました。巷では大問3の問われる知識レベルが高めだったこともあり、大問4を選択した方が多かったようです。 過去の出題と比べ難易度が大幅に変化したということと傾向が変わったということは大問2、大問3ともにないと感じました。問われる知識レベルは、ブラウザでのエラーメッセージや、バージョン管理システムを用いたCI/CD(継続的インティグレーション/継続的デリバリー)など実務者ではないと難しいと感じました。 私が解いた大問2と大問3で必要になる知識を私なりに抽出してみました。受験の際にどの程度の知識レベルが問われるかの確認にお使いください。いずれも解答の際に直接的に必要となる知識であり、問題文を読む際に必要となる知識ではないことをご留意ください。
問2
- ブラウザで表示されるSSL証明書エラーの際のエラーメッセージ
- RADIUS
- HSTS
- ファイアウォール(パケットフィルタリング)
- DNS
- 無線LANの接続
- Man In The Middle Attack
- PKI
- NAT(NAPT)
問3
- Certificate Transparency
- ドメインフロンティング
- Man In The Middle Attack
- 仮想化技術(コンテナ)
- WebAuthn
- CAA
- HSM
- バージョン管理システム
また、参考として予備校が総評・講評を出していますのでご紹介します。実際に問題を解いてみて感じた難易度と総評・講評に書かれている難易度に隔たりがないかどうかを把握することをお勧めします。
資格試験を通して得たもの
まず、単純に知識が増えます。私は監視業務を行なっていますが、知識がないとそもそも障害の原因に気づくことができません。役に立った例としましては、監視業務中にWebサーバへのHTTPリクエストを調査している際に、URLの末尾のパラメータに不審な文字列が多いことを見つけました。そのため、SQLインジェクションという攻撃手法が実施されているのではないかと疑えたことがあります。つい最近も、メールソフトウェアの待受ポートへのSYN_RECV状態のコネクションが多数発生し、Postfixが動作していない状態を見つけました。SYN flood攻撃が実施されている可能性に気づくことができました。どちらも障害の原因に気づくための前提となる知識が必要であり、試験勉強が役立ったと考えています。
さらに、試験勉強を通して情報セキュリティに関する意識は高まると考えています。今までの私の情報セキュリティ意識は決して高いとは言えませんでした。社内の担当部署が脆弱性の情報やセキュリティアップデートについてアナウンスを行い、私は特に何も考えることなく、その指示に従うという程度の情報セキュリティ意識でした。今回の試験を受けたことで、社内の情報セキュリティ体制について(ISMS、CSIRT等)や社外の情報セキュリティに関する組織(JVN等)についてより詳しく知ることができ、情報セキュリティに携わっている方々や機関に対してありがたみを知りました。また、自らも情報セキュリティ意識を日々向上させていこうと思いました。その点では試験を受けて良かったと確実に言えます。
弊社の資格試験への助成について
弊社には資格取得補助制度があります。会社が定めた資格であれば、受験料を負担してくれます。勉強のための参考書代やUdemy等のWeb講義についても1資格につき6000円まで負担してくれます。情報処理技術者試験、AWS認定資格、Azure認定資格、GoogleCloud認定資格、Linux関連資格等、業務に関係ある資格が資格補助の対象として定められています。また、それ以外の資格についても相談の上で業務に関係あると判断される場合は補助が使えることがあります。私も保有資格は資格取得補助制度を利用して取得していて、大変ありがたく思っています。
最後に
令和5年度秋期の情報処理安全確保支援士試験を受験しましたので、次期以降に受験を予定される方の参考になればと思い、試験の準備や新出題形式の試験の感想について記事を書きました。受験予定の方が無事合格され、身のある知識として業務等で活かされることを祈っております。