情報処理安全確保支援士 R7秋 受験記
休日中にも関わらず、受験お疲れさまでした!
令和7年度秋期 情報処理安全確保支援士試験を受けたので、記録としてまとめておきます。
はじめに
「入社までに高度情報処理試験を一つ取りたい」
そんな軽い気持ちで始めた勉強だったが、学習を進めるうちに思った以上に面白く、2回目の受験を決意した。
前回(R6春)は 58点で不合格。
知識を詰め込みすぎて、“なぜそうなるか”を考えられていなかったことが最大の反省点だった。
就活なども重なり、昨年秋と今年春は受験を見送ったが、
午前Ⅰ免除の最終チャンスということもあり、R7秋で再挑戦。
とはいえ、学会シーズンとバイトが重なり、実質的に集中できたのは9月下旬から。
今回は「表面的な暗記」ではなく、本質的理解と再現性をテーマに学習を進めた。
試験前日までの準備
✅ 午前対策
前回は84点で安定していたため、今回は午後対策を重視。
前回のノートを見返しつつ、過去問道場で10期分を解いて基礎を再確認。
前日に R7春 午前Ⅱ を初見で解いたところ、22/25(88%)。
感触としては「前回の水準を維持できている」と判断した。
✅ 午後対策
午後問題は以下の教材で徹底的に対策。
- 『情報処理安全確保支援士 専門知識+午後問題の重点対策』
- 『支援士R6春・秋 過去問詳解』
- 『情報処理教科書 情報処理安全確保支援士 2025年版(上原本)』
- 『うかる! 情報処理安全確保支援士 午後問題集(村山本)』
- 『情報セキュリティ白書 2024』
前回は Web 脆弱性やセキュアプログラミングを避けていたが、
「挙動をプログラムレベルでイメージできれば理解が深まる」と感じ、今回は正面から取り組んだ。
インターンで実務をたくさん経験。ハッカソンや個人でアプリを多数開発して実装のイメージ感をだいぶ上げた。
また、今回は ChatGPT と壁打ちしながら知識を整理するスタイルに変更。
「なぜその対策が有効なのか」を常に問う形で理解を積み上げた。
(例)
- IDS / IPS / EDR / Proxy / FW / WAF の違いと検知層
- TLS の歴史的変遷と脆弱性対応の流れ
- DKIM・SPF・DMARC の仕組みと相互関係
- DNS のキャッシュ・権威・セカンダリ構成の関係性 など
上原本の第3・4章は、内容を口頭で説明できるレベルまで反復し、
状況を与えられても自分で方針を立てられる力を鍛えた。
以下の項目に照らし合わせて、足りないものの対策を補うように。
- 認証強化
- アクセス制御
- 暗号化
- ログ・検知
- 帯域確保or制限
- パッチ適用・脆弱性検査
✅ 演習方針と戦略
- 「時間をかければ解ける問題」ではなく、「短時間で確実に取れる問題」を見極める。
- 試験開始20分で全体を把握し、得点の安定度が高い問から優先的に解く。
村山本は3日前から着手。
本文抜き出し型は前回練習したので、IPA 模範解答との方針ズレを最小化する練習に重点を置いた。
全問は解かず、“考え方の精度”を磨く方向で仕上げた。
知識問題で確実に取る。
読解問題で稼ぐ。
想定外は潔く切る。
✅ 前日演習(R7春 初見)
CVSS や EPSS などの知識問題は落としたが、記述方針は IPA 解答とある程度一致。
得点のブレを抑える書き方は完成したと判断した一方、
「問題選択を間違えると大事故になる」という不安も残った。
✅ 最終チェックリスト
| 教材 | 内容・目的 |
|---|---|
| 村山本 | H30〜R4 の9期分を2日で総浚い。最終9割くらいの完成度を目標。 |
| 上原本 | 主要攻撃・対策を空で反復。 |
| 過去問分析 | R5〜R7 で「知識問題配点」と「読解誘導の傾向」を分析。 |
| セキュリティ白書 | サプライチェーン・脆弱性管理など、実例から出題予想を補強。 |
試験当日の心境と戦略
午前Ⅱ
自己採点は 19/25(76%)。
初見問題が多く、前回よりやや難化した印象。
目標の8割には届かなかったが、6割超は確保できていたため冷静に切り替えた。
午後問題
正直、だいぶ怪しかった。
最初の30分で4問をざっと確認したが、
「明らかな捨て問」がなく、どれも微妙な難易度。
掲示板では“易化”と言われていたが、解いている最中は手応えが掴めない感覚だった。
最終的に、知識問題が確実に取れそうな問3・問4を選択。
午後Ⅰ・Ⅱの選択と振り返り
問1(Webアプリケーション)
- 技術的な知識問題が少なく、設問の答えが「パッ」と思いつかず。
- SAST と並ぶ対策を問う箇所で確信が持てず、選択せず。
問2(暗号資産交換業)
- テーマは重そうだが、実際はオーソドックスな暗号問題(に見えた)。
- 冒頭の「楕円曲線暗号」の設問で迷い、「エ」が含まれるか確信が持てず撤退(「全てを選べ」はやめてくれ..)
問3(情報システム・セキュリティ強化)
- DoH・DoT・DNSSEC の知識が即答できたため選択。
- ただし内容は国語力重視で、特に後半はやや確信度の低い回答が続いた。
- 埋めはしたが、手応え的には微妙で萎えぽよ。
- 本題までが長いのと条件が結構複雑めな印象を受けた。
- なので読解力や国語力がある人が強そう。
問4(サプライチェーン・セキュリティ管理)
- ネットワーク構成が一見複雑だが、読めばシンプル。
- 知識問題で得点しやすく、安定を狙って選択。
- 「圧縮」or「暗号化」で迷い、「暗号化だと復号の流れが不明」「PW付きZIPの方がありそう」と判断し“圧縮”を選択。..が結果的に誤答だった可能性が高い。
- 設問構成は「ヒントで出した箇所ではなく別箇所を問う」タイプが多かった印象。
- 後半は自由度の高い記述が多く、方針ズレのリスクを感じつつも、一応書き切った。..がこれも確信度は高くない..
- メールやDNSのサーバが社内にあればSPF・DKIM・DMARCとかも視野に入るのではと思いつつ、SaaSなので提示されている機能以外には追加できなそう。
- (確認した範囲内では)明記はされてなかったが、物理的な対策で入退室管理した方が良いのではとも感じた。
所感まとめ
- 知識問題は易化、記述問題は曖昧化。
- 技術的理解よりも「リスクの把握力」や「考え方」が重視された印象。
- 技術的な理解を重視してた自分には若干の逆風。手応えは総じて“微妙”。
IPA の解答が出るまでは判断は保留。
今後の受験について
2026年度からは CBT方式 への移行が予定されている。
形式が変わる前に決めたかったが、今回は正直五分五分。
もし落ちていたら、次はリベンジ。
合格していたら、次は ネットワークスペシャリスト(ネスペ) や AWS認定資格 に挑戦したい。
おわりに
結果がどうであれ、支援士の“思考”を得られた時点で、
技術者として一歩前に進めた気がする。