少し前のことになりますが、令和7年4月の情報処理安全確保支援士試験に合格しました。その時の勉強方法についてまとめていきます。
私のスペック
- 組み込みエンジニアとして4年程度
- セキュリティに関する業務経験なし
資格の取得歴
- 基本情報技術者試験 2023年合格
- 応用情報処理技術者試験 2024年合格
モチベ
2023年から年1回資格を受けることを目標にしていました。近年組み込み業界でも、CRAなどセキュリティのことを頻繁に耳にするようになり、どのような業界に行こうと、今後セキュリティの知識は必要になるだろうと思い、この試験を受験することにしました。
学習計画
2024年10月に応用情報処理技術者試験を受験し、合格していれば情報処理安全確保支援士試験受験する予定でした。そのため、学習期間は2024年12月中旬から2025年4月の間です。
勉強時間は冬休み・土日の午前及び通勤の時間を活用しました。
セキュリティの用語に馴染みがなかったため、まず午前IIの過去問を解き、用語に慣れることから始めました。次に参考書を一つ購入し、それを2週解くことと並行して、過去問を解きました。
| 時期 | 勉強内容 |
|---|---|
| 12月 | 午前II中心 |
| 1月 | 午後参考書 勉強開始 |
| 2月 | 午後参考書 1週目完了、過去問開始 |
| 3月 | 午後参考書 2週目、過去問 |
| 4月 | 午前II午後 総復習 |
午前I
応用情報処理技術者試験に合格していたため、午前Iは免除されました。
午前II
情報処理安全確保支援士過去問道場に大変お世話になりました。
勉強の流れは以下です。
- 会社からの帰宅後やスキマ時間にひたすら道場の問題を解く。
- わからない用語があれば、Notionにざっとメモする。
- 朝の通勤時にNotionのメモを見返して知識を定着させる。
セキュリティの分野は初めてだったので、用語に慣れるために道場の問題を解きまくりました。
工夫した点として、セキュリティは省略された用語が多く、なかなか用語が頭に入りませんでした。そのため、略語の「もとの言葉」を確認し、語源をもとにイメージで覚えるようにしました。例えばMITM=Man in the Middle Attackであれば、「お兄さん👱が真ん中にいるんだな〜」などと考えていました。
■クライアント■→👱→■サーバ■
午後
午後の問題は「情報処理安全確保支援士重点対策」を中心に勉強しました。また「重点対策」にはいくつかのおすすめの過去問が配布されているため、IPAの公式サイトより過去問をダウンロードして解きました。自身に得意分野が特になかったため、すべての分野を満遍なくに取り組むようにしました。
2025 情報処理安全確保支援士「専門知識+午後問題」の重点対策
午後の問題は専門性が比較的高く、理解に苦労したため、AIを活用して問題の理解しました。
過去問を説いている中で、参考書やネットでの解説にしっくりこない場合がありました。「セキュリティの穴があるのではないか」など色々考えてしまいます。その場合はAIにそのまま思いついた疑問を投げれば、参考になりそうな回答を出力いただくことができました。
例えば
入力
サーバ証明書においてCAの安全性ってどうやって確保するの?
CAが偽物の可能性はないの?
回答
サーバ証明書におけるCA(認証局)の安全性を確保するためには、いくつかの対策が取られています。
しかし、CA自体が偽物であるリスクをゼロにすることは難しく、
そのために信頼チェーンや多層的な防御が重要です。以下で詳しく解説します。
CAの安全性を確保するための仕組み
1. ルート証明書ストア
・・・
2. CA/Bフォーラムのガイドライン
・・・
3. 証明書透過性(Certificate Transparency)
・・・
4. マルチパス検証
また、回答を間違えた際も問題の要約と自信の回答をAIに入力し
何故この回答が違うのかを問えば、合理的な回答をもらえました。
※AIは誤った回答を導くときもあるので下記のようなサイクルで勉強を回しました。
- AIに質問する
- 回答をもらう
- 回答が正しいかネットで調査する
- 知識が定着する
試験当日
わからない問題も空白にはせず、とにかく何かしら埋めることを意識しました。
結果
結果は下記の通りでした。午後はかなりギリギリでした。
これからも精進してセキュリティの勉強を続けたいと思っています。
- 午前I 80.00点
- 午後61点
「登録セキスペ」には今の所登録していません。今後キャリアの中で必要になる場面が出てくれば、登録したいと考えています。