この記事の概要
- いわゆる試験対策をしないで合格に近づく方法
- 私の日常の知識習得方法
他の合格体験記との違い
オススメの本を基本的に紹介していません。
一部例外(※)はありますが、「コレ(ら)だけで合格に必要な知識が身に付きましたという本が見当たらない」からです。
日常業務から知識を習得する方法を紹介しています。 私がこの試験のために「うお~知識を詰め込もう~」という勉強をした覚えがないからです。必要な知識は特に専門的でない日常業務から習得できるはずです。
その1:日常業務の「セキュリティ対策」に疑問を持つ
情報処理安全確保支援士試験は日常業務と密接にかかわった試験です。なので日常業務から必要な知識は全て学ぶことができると私は考えています。
アサインされた案件の仕様書や、配属先でのセキュリティ上の留意事項を信用せず、疑いのまなざしで見つめ、穴があったら(口頭で)突きましょう。 採用されているWebアプリ/インフラ/etcのセキュリティ対策、メール誤送信対策、パスワード運用、アカウントの権限など全てが試験に役立つ教材です。
これらの資料は誰でも参照することができ、必要があれば質問することも許されていると思います。 あまりにも業務に支障をもたらす頻度で関係ない質問を繰り返すのでなければ、積極的にサービス仕様を理解しようと努めているのだと評価をいただけるはずです。
(でも基本的に質問する前に調べましょう。セキュリティ技術は難しく、まっさらな人に教えるのは負担が大きいです。)
案件で採用されているセキュリティ対策がわかるようになると、次は脆弱性発生時にどういった影響があるかがわかるように・・・なるにはその2も必要かと思います。
その2:ネットワークの知識をつけよう
山岡さんと海原雄山が情セキ意識の低い部署を選ぶそうです#美味しんぼで学ぶJTC pic.twitter.com/7o284zAOXX
— タマゴケ (@s5ml) November 26, 2023
「お前の部署では安全なんだろう、お前の部署ではな」通称おま部署(こんな言葉はない)に、脆弱性たっぷりな部署から接続したら意味ないじゃんということを説明できるようになりましょう。あなたの配属先にも必ずあります。
**例えば国内部署と海外部署はNWが繋がっており、海外部署のセキュリティ(VPNのアップデート漏れ等)に脆弱性があったため、接続起点とされ結果的に国内部署の個人情報が流出した。**近年このようなパターンはよく見られ、IPAの情報セキュリティ白書2023にも手法が掲載されています。
次の「初期潜入段階」では、「事前調査段階」で得られた情報を基に、標的組織の端末へのウイルス感染を試みる。海外拠点や取引先組織といった、サプライチェー
ン上のセキュリティの弱い組織を狙う手口に加え、VPN製品や Web サーバー等のインターネットとの境界にある装置の脆弱性を悪用し、侵入する手口もある。標的組
織の職員に対し、ウイルスを仕込んだファイルが添付された、あるいはウイルスをダウンロードするURLリンクが記載された標的型攻撃メールや SNS(Social NetworkingService)によるメッセージを送り付ける手口も依然として確認されている。
情報セキュリティ白書2023 1.2.2 標的型攻撃より引用
https://www.ipa.go.jp/publish/wp-security/t6hhco00000014r1-att/2023_All.pdf
こういったケースの対処方法を「複数」検討できるようになれば合格が近づきます。
(Why複数?→極論ネットワークにつなげなきゃいいじゃんという思考停止を避けるため複数考えましょう。もちろんネットワークにつながないも回答候補としてありえます。)
試験時には対処方法は問題文に書かれている要件を抽出して答えて下さい。
例えば「個人情報をインターネット上に流してはいけない」という要件があるのに「セキュリティ対策ソフトに適切なアップデートを施した上で、個人情報を扱う業務PCをインターネットに接続させる」という回答に〇はつけられないですよね。ようするに要件の「〇〇してはいけない」を実現するようなことを書くのです。
**ほとんどの問題は問題文から抽出した要件で7割ほど回答文をひねり出せます。**10割の答えを出すためにネットワークの知識が必要になる場合があります。例えば令和5年秋の試験ではNAT先を変更することを回答させる問題が出ました。これはネットワークの知識があれば楽勝問題だったと思います。
ネットワークの知識をつけるにはCCNA試験に「真剣に」取り組んで合格することが良いと思います。 CCNAの知識がしっかり身につけば情報処理安全確保支援士だけでなくネットワークスペシャリストも合格できるはずです。(実際に私はCCNAを勉強してネットワークスペシャリストは午後2で59点まで行けました。あと1点です。)
その3:試験対策本が向いてないと思ったらやらない
情報処理安全確保支援士 合格本みたいなやつです。
大体のモノが500-800pあり、私も読み切れませんでした(230pくらいでやめてました)。
その代わりわからない技術は日経ネットワークのバックナンバーをメルカリで購入したり、個別に古いオライリー本を少し読むなどしていました。試験対策本は「これは危険なのだ!」くらいの知識の紹介で終わってしまうことが多く、全体的に知識の不完全燃焼感が残りました。
その4:LinuCレベル1を取る
Linuxはある程度知っていて当たり前ですよね。LinuxコマンドやLinuxコンテナっぽいモノを問題に出されても別に困らないですよね。という前提の問題が出ます。
なので「LinuCレベル1」くらいを「真剣に」勉強しましょう。業務PCがWindowsなら日頃からパワーシェルを触りましょう。コマンドは違えど同じことができます。
各種検証環境を作る時にも必要になり、試験勉強でも試験以外でも必ず役に立ちます。コスパのいい知識なので積極的に身につけましょう。
やっぱりオススメな本
冒頭に書いた例外的にオススメな本です。
2023年10月以降に出版された本は私がまだ読んでいないため対象外です。
1.情報セキュリティ白書2023(無料)
https://www.ipa.go.jp/publish/wp-security/2023.html
毎年更新される試験のネタ帳です。セキュリティ関連の配属先に配属された瞬間に読みましょう。それくらい重要な情報がつまっています。
2.安全なWebサイトの作り方(無料)
https://www.ipa.go.jp/security/vuln/websecurity/about.html
定番のネタ帳です。あなたがWeb系の開発者で、Web系の脆弱性を得点源にしたいなら読み込んで過去問が全部解けるようになりましょう。
3.体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
https://amzn.to/3Rppma8
通称徳丸本です。Web開発者でなく、2の解説ではわからない方向けです。一生使える本だと思います。実験環境もコンテナで提供してくれています。やっていて楽しい演習がたくさんです。
4.要点整理から攻略する『AWS認定 セキュリティ-専門知識』
https://amzn.to/47aNXWn
AWSを通して最小権限や必要最低限の通信経路という概念を学ぶことができます。ついでにAWSのスペシャリティ試験も合格できる本なのでコスパは抜群です。
5.シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200-301
https://amzn.to/4aIOKRp
ド定番のCCNA本です。おそろしく分厚いので読み切るには根性がいりますが、書いている内容はわかりやすく、取得すればインフラエンジニアとして働くことができます。チート問題集、ダメ、絶対。
6.Linux教科書 LinuCレベル1 Version 10.0対応
https://amzn.to/3GSXfeU
LPICでもいいのですが、個人的にLinuCの方が好みなので。普通に合格後も手元で辞書的に使います。
7.うかる! 情報処理安全確保支援士 午後問題集[第2版]
https://amzn.to/3NyFViU
試験2か月前からやりましょう。一生回して回答パターンを身体に染み付けてください。減点されない回答の書き方を学べる最強の本です。(現に私は午後試験で13点しか落としていません。)
「この本で初見で6割取れないならまだ知識不足」がうかる!本著者の見解です。私も5割切るならこの本で最終調整に入るにはまだ早いと思います。
NMR的な試験対策のコツ
「基礎を一生やることです。難しい例外パターンではなくド定番を徹底的に身に着けてください。現実で起こるセキュリティ問題もUSB無くしたとかド定番のものがほとんどです。」
| 順位 | 個人向け脅威 | 組織向け脅威 |
|---|---|---|
| 1 | フィッシングによる個人情報等の詐取 | ランサムウェアによる被害 |
| 2 | ネット上の誹謗・中傷・デマ | サプライチェーンの弱点を悪用した攻撃 |
| 3 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 標的型攻撃による機密情報の窃取 |
| 4 | クレジットカード情報の不正利用 | 内部不正による情報漏えい |
| 5 | スマホ決済の不正利用 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6 | 不正アプリによるスマートフォン利用者への被害 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7 | 偽警告によるインターネット詐欺 | ビジネスメール詐欺による金銭被害 |
| 8 | インターネット上のサービスからの個人情報の窃取 | 脆弱性対策情報の公開に伴う悪用増加 |
| 9 | インターネット上のサービスへの不正ログイン | 不注意による情報漏えい等の被害 |
| 10 | ワンクリック請求等の不正請求による金銭被害 | 犯罪のビジネス化(アンダーグラウンドサービス) |
知らない言葉はないはずです。
世間で起きている事件から試験問題は作られるので、当たり前のことを深く理解してください。
以上。
あなたの合格の役に立つことを祈っています。