読者です 読者をやめる 読者になる 読者になる

社内SEのヒトリゴト

社内SEのヒトリゴトです。

【情報処理安全確保支援士】情報セキュリティスペシャリスト試験に合格できたので勉強法とかまとめた

2016年10月16日に開催された情報セキュリティスペシャリスト試験を受験し、何とか合格することができました。(午前Ⅰからのフル参戦でした。)
次回からは『情報処理安全確保支援士試験』に名称が変わりますが、出題範囲は従来と変わらないと公表されています。問われる内容については従来と大きな変化は無いようです。

私自身の整理と、これから試験を受けられる方の参考になればと思い受験記を残すことにしました。

f:id:lksdsw:20161223181658j:plain

 

目次

 拙い文章力のせいで長くなってしまいました。お忙しい方は「まとめ」をご覧ください!

情報セキュリティスペシャリスト試験(新名称:情報処理安全確保支援士試験)とは?

詳しくは以下のサイトにまとめられています。

IPA 独立行政法人 情報処理推進機構:制度の概要:情報セキュリティスペシャリスト試験

情報システムや組織に対する脅威や脆弱性を評価し、技術面・管理面での有効な対策を遂行できるセキュリティエンジニアや情報システム管理者を目指す方に最適です。情報セキュリティの重要性はますます高まっており、いま最も旬なエンジニアです。

IT、取り分けセキュリティに特化した国家試験です。

IPA(情報処理推進機構)の統計情報によると、H28年度情報セキュリティスペシャリスト試験の合格率は以下のようになっています。

f:id:lksdsw:20161223215637p:plain

前年同期比に比べ、15%も応募者数が増加しています。これは情報処理安全確保支援士のスタートによる影響でしょう。合格率は13%~16%です。

 それにしても3割程度の方は申し込みだけで受験していないのですね。

 

なぜ受験しようと思ったか

私は2016年4月に実施されたIPA応用情報技術者試験(以下AP)に見事に落ちました。(午後が56点で今一歩及ばず…涙)
余裕で合格、、と思っていただけに相当ショックを受けました。リベンジしようかとも思ったのですがどうしてもモチベーションが上がらず、しばらくはグダグダしていました。

しかしいつまでもクヨクヨしていても仕方がありません。会社の目標設定にもドヤ顔で「応用情報技術者試験取得」と書いてしまってあります。何とかしなければ…。そして熟考の末、応用情報より上位の高度試験を受けることにしました。
情報処理技術者試験はその試験内容によってレベルが分かれています。試験区分についてはIPAのサイトをご覧くださいませ。

APは広範囲にわたることもあり、興味が無い分野の勉強もある程度しなくてはなりません。これに耐えられないというのもありました…。

「じゃあ何の高度試験にしようか」ということになりますが、ちょうどその頃IT界隈では「情報処理安全確保支援士」新設の話題で持ち切りでした。

itpro.nikkeibp.co.jp

 

情報セキュリティスペシャリストか。』

  • セキュリティの重要性は益々高まっている
  • 国としてもセキュリティに力を入れ始めている
  • 社内SEとしての業務に間違いなく役に立つ
  • 転職に有利
  • 情報セキュリティスペシャリスト試験」としては最後
  • 応用情報落ちたことへのイラダチと復讐
  • 何となく響きがかっこいい
  • APに落ちてSCに受かったら何となくかっこいい

以上のような理由で情報セキュリティスペシャリストを受けることにしました。残念ながら特に手当や一時金のようなものはありませんでしたが、最終的には絶対に自分のためになると思い申し込みをしました。

 

スペック(どんな人が受験したか)

当方のスペックは以下のような感じです。

中途半端ですよね。私もそう思います。社内SEとして基幹システムからインフラまでIT全般を担当していますが、人が少なくほとんどアウトソーシングなので実務で対応していらっしゃる方に比べたら雑魚的なスキルしかありません。

『ある程度のITの知識・経験はあるが高度試験は初』という方には当記事をご参考にしていただける部分があると思います。

 

午前Ⅰ、午前Ⅱ対策

◎午前対策のポイント
 とにかく毎日問題を解く。

 残念ながら応用情報に落ちてしまったので午前Ⅰの免除はありません。フル出場です。しかし半年前の勉強が多少活きており、午前Ⅰ対策にはそれほど時間をかけないで済みました。
午前問題は過去問から4割出ると言われています。まずは過去問を解いて基礎知識をつけていこうと考えました。

午前対策に使用する教材は以下のWebサイトだけで大丈夫です。

※高度試験の午前Ⅰでは応用情報技術者試験と同じ問題が出題されます。 


上記サイトのWebアプリ『過去問道場』は非常に素晴らしいです。

  • 開催回や分野を指定できる
  • 解説がわかりやすい
  • 間違えた問題だけを抽出できる
  • 途中でやめても続きから学習を再開できる
  • 網羅度チェックでモチベーションを保てる

PCはもちろんのこと、スマートフォンでもsafariなどのブラウザから使用できます。これを通勤の電車の中、また始業前やお昼休みなどに会社のPCで繰り返し解きました。ログイン機能により端末を選ばずに学習を進めることができるのでスキマ時間の学習に持ってこいです。

午前Ⅱ対策として最終的に21年春~28年春までの問題を3週ほど回しました。下図のように網羅度を確認できるので、モチベーションも維持しやすいです。

f:id:lksdsw:20161223200537p:plain

 
また、このアプリでは分野の指定もできます。

f:id:lksdsw:20161223203253p:plain

 最初のうちはよくわからない部分も多くモチベーションを保ち辛いと思いますので、セキュリティの中でも自分が興味のある、もしくは得意な分野から着手するのがよいでしょう。解説も最初のうちは流し読みでOKです。繰り返し解いているうちに、だんだん頭の中で繋がっていきます。(午前Ⅰも同様)

とにかく毎日問題を解きましょう。できれば本番と同じ25問。もちろん連続25問でなくてもよいです。塵も積もれば山となる。スキマ時間でも少しずつ解いていくとで確実にチカラがついていきます。最終的に正答率9割位になれば安心だと思います。

◆午前対策のまとめ

過去問道場アプリを利用して毎日問題を解く

 

 

午後Ⅰ、午後Ⅱ対策

◎午後対策のポイント:
午後Ⅰ過去問を"1問あたり30分以内"で解くトレーニングをする

 SCの学習に着手したら、早い段階で一度午後問題に触れておくことを強くお勧めします。(私はちょっと遅めでした…。1.5か月前くらい)受験者のスキルにもよりますが試験までに対策が間に合わない可能性があるためです。難しさを10段階で評価したとき、午後問題を10とすると午前は2くらいです。※個人の感想です

 SC試験は午後Ⅰが鬼門と言われています。90分という限られた時間で設問を2つ解く必要がありますが時間的にかなり厳しいです。一方、午後Ⅱは120分で1問。午後Ⅰより問題ボリュームは多いものの時間的には余裕があります。

午後対策は午後Ⅰ演習を徹底的にやりましょう。
知識だけで攻略するのは難しいです。問題文の読み方、解答の記述方法(問われていることへの解答になっているか?)など解答するためのテクニックも重要です。勉強と同時に解答のためのトレーニングをしていくイメージです。
 最初は難しいので、ある程度学習が進んだら「一定時間以内に解くように意識」して取り組みましょう。午後Ⅰは90分で2問。1問あたり45分です。少々ハードルは高いですが最終的には午後Ⅰを1問あたり30~35分位で解けるようにしておけば心に余裕をもって試験に臨むことができると思います。
(私の場合、実際に30分以内で解けたことは1~2回しかなかったですが…笑)

 午後Ⅱの解法は午後Ⅰと同じです。とは言えボリュームが結構あるので何度か実際に解いてみて時間感覚は身に着けておきましょう。初見で臨むと心をへし折られる可能性もあります。午後Ⅱ過去問は問題を解かず、問題と解説を読み込んで知識をつけていくような進め方が効率的だと思います。

 

 さて、それでは使用した教材を紹介していきたいと思います。

まずはこちらの1冊を一通りやりました。

2016 情報セキュリティスペシャリスト 「専門知識+午後問題」の重点対策 (午後対策シリーズ)
◆おすすめポイント
 解説が丁寧でわかりやすい。テーマ別にまとめられている。

 

 

 支援士用の対策本も出ていましたのでご参考に。

2017 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (午後対策シリーズ)

第1章 認証とアクセスコントロール
第2章 PKI
第3章 時刻認証
第4章 VPN
第5章 ファイアウォール・IDS・IPS・UTM
第6章 サーバセキュリティ
第7章 電子メールのセキュリティ
第8章 ICカード
第9章 セキュアプログラミング
第10章 物理的セキュリティ対策
第11章 ログ
第12章 インシデント対応
第13章 リモートアクセス環境

セキュアプログラミングについてはさっぱりのため、最初から捨てました。
上では「時間を測って!」と言いましたが、最初からいきなり時間を測ったところで30分以内に解けるはずもありません。まずはこの一冊に取り組み、午後問題に慣れていくとよいと思います。
解説が丁寧な反面、過去問の掲載数は少ないです。各章では同じテーマの問題が過去いつの回に出題されているかが紹介されており、そちらも一通り解くようにアドバイスされています。後述の過去問題集と合わせて学習を進めるのがよいと思います。

 

 

 学習を進めて行くうちにネットワーク周りの基礎知識が足りないと思い知り、以下の本を読みました。

マスタリングTCP/IP 入門編 第5版

 

 午前の学習がかなり進んできたので、「通勤中にも午後対策をしたいな」と思うようになりました。そこで購入したのがこちらです。

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)
◆おすすめポイント
 『速効サプリ』は解答パターンに慣れるのに最適

このような組み合わせが 網羅されており、解答する際の一助となると思います。ただし初学者がこの本だけで合格するのは無理です。「午後はとにかく過去問の演習。複読書としてこれ。」くらいの位置づけがよいと思います。

上引用の(注:)内は、問題文内に記載されている内容です。午後の設問は単純に知識を問うものもありますが、問題文に説明がやヒントが隠されていることが非常に多いです。この感覚は過去問の演習で身に着けるのが効率がよいと思います。

 ※2017/1/18誤字修正:「速効サプリ」を「速攻」と記載してしまっていました。大変失礼しました。

 

 試験の3週間ほど前になり、仕上げとしてこちらの本を追加しました。

平成28年度【秋期】情報セキュリティスペシャリスト パーフェクトラーニング過去問題集 (情報処理技術者試験)

 平成28年度【秋期】情報セキュリティスペシャリスト パーフェクトラーニング過去問題集 (情報処理技術者試験)

posted with amazlet at 16.12.24

 

 

学習の進め方(勉強時間の確保、勉強場所など)

総勉強時間は、StudyPlusの記録では約130時間でした。しかし途中から使い始めたのと後半は記録をサボっていたので正確ではないです。スキマ時間も考慮すれば160~180時間ほど勉強したと思います。

主な勉強場所は自宅、通勤電車、会社、図書館でした。 

f:id:lksdsw:20161223194135p:plain

 

f:id:lksdsw:20161225103447p:plain

 

f:id:lksdsw:20161225180632p:plain

試験当日の様子

ここまで大分長くなってしまったので割愛することにしました(笑)別の記事にまとめることにしましたので改めてご案内させていただきたいと思います。
試験本番のポイントは以下の通りです。

  • 体調を万全にしておくこと
  • 最後の最後まで絶対にあきらめないこと、最後まで見直しをすること

 私は試験当日に急な体調不良に襲われ大変苦労しました…(´;ω;`)

 午後Ⅱが終わった頃にはものすごい疲労でぐったりでした。事前に午前~午後まで本番を想定して問題を解いてみた方がいいと思います。

 

結果 

 何とか合格できました。
 

 

 上の方で散々偉そうに勉強法書いた割りに午後Ⅰはギリギリな結果となりました。正直午後Ⅰは落としたと思っていましたが、最後まで食らいついたおかげで何とかもぎ取ったかなという感じです。逆に考えれば今回の勉強方法は自分に取って合格最低ラインの勉強だったとも言えるのかもしれません。

体調と精神力(冷静さ)は本当に大事だと実感しました。難しすぎると思った今回の午後Ⅰも後で解いてみるとそれほどでもありませんでした。できる限り体調万全で臨むように努力しましょう。

 

おまけ これからどうするか

合格できたことは嬉しいことではありますが、正直『セキュリティスペシャリスト』という名称は大げさだと思います。スペシャリスト」とは特定分野の専門家のことを指します。個人的には『スペシャリストを名乗るからにはそれでメシが食えるか』が基準になりますが私程度では到底無理です。セキュリティの基礎がようやく身についたかなという感じです。

社内SEとしては取得して本当によかったと思います。今までに比べて自信を持ってベンダーさんと話ができるようになりましたし、某社営業から勧められた製品も自社にとって必要なのかそうでないのかを判断することができるようになりました。言葉は悪いかもしれませんが、「騙されないための知識」が身についたと思います。

色々なメリットを感じていますが、今回の一番の収穫は「やればできる」ということを身を持って経験できたことです。今まで中途半端だった自分が最後まで諦めなかったことで合格をつかみ取ることができました。APに落ちてそのまま諦めていたらこのような実感は得られませんでした。諦めてしまったときこそが本当のおしまいなのだなと思います。

資格取得自体は過程に過ぎず、取得してからどうするかが大切だと思います。次はシステム監査技術者試験(AU)を受験しようと思います。セキュリティと監査は関連する部分が多いこと、社内SEとしてITガバナンスは必須だと感じることなどの理由からです。もちろん、自分自身のさらなるキャリアアップのためというのも理由の一つです。

 

まとめ

  • 午前対策は過去問道場だけでOK。
     ⇒目標正答率9割
  • 学習開始直後に午後問題がどんなもんかちょっと触れておく
  • 午後対策は午後Ⅰ過去問を解きまくる。
     ⇒目標「1問/30分以内」で解答できるように
  • 毎日やる
  • 健康第一

今後SC試験を受けようとしてらっしゃる方の参考になればとっても嬉しいです。長くなりましたが最後まで読んで頂き本当にありがとうございました。