こんにちは。共創ナビivanを開発している伊勢川です。
昨年の秋に情報処理安全確保支援試験を受験し、久々の受験勉強が結構楽しかったのでその経過を記事にしました。
特に午後問題は、過去問を解くだけでも勉強になるものが多く、セキュリティ知識を広げたい人にはおすすめの試験です。
情報セキュリティマネジメント試験とは
情報セキュリティマネジメント試験は、組織の情報セキュリティ確保に貢献できる人材を認定する国家試験です。試験はコンピューターで実施されるため、予約さえできればいつでも受験可能です。
情報処理安全確保支援士試験とは
情報処理安全確保支援士試験とは、サイバーセキュリティに関する知識や技能を認定する国家試験です。情報処理の促進に関する法律に基づいて、情報セキュリティ対策を担う専門家を育成・認定することを目的としています。
試験は春と秋に年2回実施されています。試験の3ヶ月くらい前に申し込みが必要です。
きっかけ
受験しようと思ったきっかけは、育休でした。育休中は、日中にまとまった時間をとることは難しい。ただ、難しいからといって、何もしないのは性に合わない。インプット中心の勉強であれば、スキマ時間でも十分にできる。そこで、もともと興味があったセキュリティ系の資格にチャレンジしてみることにしました。
情報処理安全確保支援士を目指しましたが、試験日までに3ヶ月半くらいあったので、まずは、肩慣らしに情報セキュリティマネジメントの試験を受けて、基礎知識をアップデートすることにしました。
情報セキュリティマネジメント試験対策
情報処理安全確保支援士の午前対策をやっておけば十分だろうと思い、情報セキュリティマネジメント試験の対策は特に行いませんでした。
結果としては十分合格できましたが、想定してなかった形式の問題もいくつか出てきました。情報処理安全確保支援士の午前問題では、基本的にはそこまで長い文章を読ませる問題はありませんが、情報セキュリティマネジメント試験ではいくつかそういう問題があったと記憶しています。
これを知らずに、単純に問題数で時間配分を考えていて、後半に想定以上の時間を使ってバッファーの時間を全部食いつぶしてしまったのが反省点です。
午前対策
試験まで3ヶ月半、最初の1ヶ月は午前対策で基礎知識を固めることにしました。情報処理安全確保支援士試験の問題集に加え、ネットワーク分野の基礎知識がふわっとしていたため、ネットワークスペシャリスト試験の問題集も2周回しました。1周目は全問解いて、2周目は1周目で不正解だった部分や理解が浅かった部分だけを解いています。
使用した問題集はこちらです。
情報処理安全確保支援士試験 午前 厳選問題集
https://amzn.asia/d/13C1Dpd
ネットワークスペシャリスト試験 午前 厳選問題集
https://amzn.asia/d/88Dr60X
通しで過去問を解く時間は確保できなかったので、1問あたり1分半以内を目安に解くようにしていました。万全を期すなら、ちゃんと過去問を通しで解いて時間配分の感覚を掴んでおいた方がよいと思います。
午後対策
試験まで2ヶ月半の頃に、午後対策にも取り組み始めました。直近の過去問を時間を測りながら解いてみました。最初にやってみた感じだと、あまり時間が足りないということもなく、丁寧に問題を読めば合格点の6割以上は取れそうだという感覚でした。
ただ、何回かに1回は合格点を下回ることがあり、その原因は基礎理解の解像度の低さにありました。例えばSMTPについて、仕組みはふわっと知っているが、自分の言葉でそのフローやコマンドなどを詳しく説明できるほどには理解していない。そういうふわっとした理解が、回答精度を下げていると考え、基礎知識をもういちど入れ直すために教科書を通しで読みました。
参考になった教科書は下記の通りです。
セキュリティ技術の教科書 第3版
https://amzn.asia/d/fTv0dH1
情報処理安全確保支援士試験の教科書類の中では、一番網羅的に基礎知識がまとまっています。
試験まで残り1ヶ月半の頃、基礎知識がしっかりと頭に入った自信もあったため、また過去問を1問ずつ解く日々を継続しました。なかなかまとまった時間がとれないため、スキマ時間でちょっとずつ読み進めては中断、回答しては中断という感じで、非常に効率の悪い進め方をしていました。
ただ、普段の開発業務の中ではあまり経験ができないセキュリティインシデントや、攻撃事例などがあって、個人的には興味をもって取り組むことができました。
そうやって、面白がってチマチマ過去問を解いていると、10年分以上50問くらいを解いていました。そして、確実に合格点以上が取れるようになっていました。
試験まで残り2週間くらいのときに、1回通しで90分、午後問題を解いてみて、時間配分や問題の選択の仕方などを確認しました。
過去問集は下記を用いました。
情報処理安全確保支援士「専門知識+午後問題」の重点対策
https://amzn.asia/d/8lCbvQH
分野別に過去問が掲載されており、1問ずつ過去問を解いていく際にはおすすめです。
情報処理安全確保支援士 総仕上げ問題集
https://amzn.asia/d/hqctq3p
本番と同じ形式で過去問がまとまっており、通しで過去問を解く練習をする際によいです。
結果
合格
ふりかえりと今後
セキュリティ関連の知識は、開発の実務を通じてもある程度は習得できていたし、インターネットにサービスを公開していると日常的に大量の攻撃が来るため、それへの対応も慣れてはいました。
しかし、セキュリティインシデントの対応などは、それほど経験がなく、過去問の学習を通じてシミュレーションできたのが勉強になりました。
また、歳を重ねるにつれて、だんだん実装を直接担当する機会が減り、マネジメントなどの業務が増える中で、各種技術の詳細や各種攻撃手法の詳細があやふやな理解のままになっているものがあるのを痛感させられるきっかけとなりました。今回は試験勉強を通じて、あやふやだった部分が明確になって、理解の解像度が少し上がったのがよかったと思います。
なお、情報処理安全確保支援士に登録する予定は今のところありません。登録したときのメリットの割には、更新や研修などのコストが高いためです。おそらくこのあたりは登録者を増やすために、いろいろ改善されていくのではないでしょうか。
今後については、ベンダー系のセキュリティ知識についてもう少し深めたいと思っています。攻撃者側の変化に応じて、クラウドサービスも進化してきており、セキュリティレベルを高める設定や機能がどんどん追加されています。それらを網羅的に把握できている訳ではないため、今後は定期的に点検をして、セキュリティの常識の変化にタイムリーに対応できるようにしていきたいと思います。