【コラム】令和7年度春期・情報処理安全確保支援士試験を受験した感想

はじめに

※2025年7月時点での情報です。

SIer企業所属の新卒3年目のセキュリティ・クラウドエンジニアが、
令和7年度春期・情報処理安全確保支援士試験を受験した感想をまとめてみます。

執筆時点での取得済み資格（時系列昇順）

・基本情報技術者試験（2022年12月）
・AWS Certified Cloud Practitioner（2023年8月）
・Microsoft Certified: Azure Fundamentals（2023年10月）
・AWS Certified Solutions Architect - Associate（2024年2月）
・情報セキュリティマネジメント試験（2024年5月）
・Python 3 エンジニア認定基礎試験（2024年7月）
・日本商工会議所簿記検定試験3級（2024年11月）
・応用情報技術者試験（2024年12月）
・AWS Certified AI Practitioner（2025年6月）
・CompTIA Security+（2025年6月）
・情報処理安全確保支援士試験（2025年7月）

前提

・大学では情報工学系の学部に所属しており、
　ITの基礎全般についていろいろ学んでいました

・SIer企業に新卒で就職し、ITインフラ系の部署で
　主にセキュリティ・クラウド分野の仕事をしています

・2024年度秋期・応用情報技術者試験に合格したため、
　午前I免除制度を利用して受験しました

やったことの概要

・勉強時間：約10時間
・インプット：ポケット攻略本
・アウトプット：過去問道場

インプット

とりあえず試験に出る分野の全体像を把握するために、こちらのテキストをサクッと一周読みました。

・［改訂新版］要点早わかり 情報処理安全確保支援士ポケット攻略本

試験で問われやすいポイントに絞って、端的にまとめられていました。
ただ、これ一冊で試験範囲を網羅することはできないかと思います。
すでに情報セキュリティの基本的な知識がある程度身に付いている人が、試験で問われやすい論点を再確認するのに適切なテキストだと思います。

アウトプット

・情報処理安全確保支援士過去問道場

こちらのサイトで午前II試験の過去問を「平成31年・春～令和6年・春」の10回分解きました。
また、学習時間を取れなかったので午後問題は未対策で試験に臨みました。

試験本番

当日の朝

体調は万全！といきたかったのですが、めずらしく試験当日の朝からひどい腹痛に襲われてしまいました。。

※何かしらが原因の胃腸炎ぽかった

午前I試験

※午前I試験は免除制度を利用

午前II試験

・IPA＞問題冊子・配点割合・解答例・採点講評（2025年度、令和7年度）＞令和7年度春期　情報処理安全確保支援士試験　午前II問題

腹痛にめげず、まずは午前II試験を受験しました。
ここはある程度過去問の知識で対応できるといった感想で、時間に余裕をもって解き終わることができました。

午後試験

・IPA＞問題冊子・配点割合・解答例・採点講評（2025年度、令和7年度）＞令和7年度春期　情報処理安全確保支援士試験　午後問題

気を取り直して最大の難関・午後試験ですが、問題冊子を開いてビックリ。
「①サプライチェーンのリスク管理、②脆弱性管理、③スマートフォン用アプリケーションプログラムの開発、④IT資産管理及び脆弱性管理...」
「あれ、認証とかランサム対策の問題が全くない...？」
「脆弱性管理が2つもある...！（けどどっちもパッと見よく分からない）」
「でも、リスク管理とプログラム開発よりはまだ馴染みがあるか...」
「よし、脆弱性管理×2で勝負しよう！」

ということで、大問2と大問4を選択しました。
以下、特に知らなかった知識問題を自分用にまとめます。

大問2

【DHE】

　・ディフィー・ヘルマン鍵共有（Diffie–Hellman Ephemeral）
　・推奨セキュリティ型：「112」ビットセキュリティ以上を満たす「鍵長」のDHE

【ECDHE】

　・楕円曲線ディフィー・ヘルマン鍵共有（Elliptic Curve Diffie–Hellman Ephemeral）
　・推奨セキュリティ型：「128」ビットセキュリティ以上を満たす「曲線」のECDHE

【EPSS】

　・Exploit Prediction Scoring System
　・FIRST（Forum of Incident Response and Security Teams）が管理する脆弱性悪用スコアリングシステム
　・CVSSが脆弱性の特性に基づくスコアリングを行うのに対して、EPSSは対象となる脆弱性が今後30日以内に悪用される蓋然性にフォーカスしてスコアリングを行う

大問4

【KEVカタログ】

・Known Exploited Vulnerabilities catalog
・CISAが公開している、実際に悪用が確認された脆弱性のリスト
・KEVを参照することで、特に悪用されるリスクが高く、かつ明確な対策が公開されている脆弱性の見逃しを防ぐことができる

【CVSSの最新バージョン】

・2025年4月時点のCVSSにおける最新バージョンはCVSS v4.0
・v4.0は2023年11月にリリースされている

結果

結果は合格でした。

午前I：免除
午前II：72点
午後：67点

特に午後試験については、TACの解答例をもとに事前に自己採点したところ約60点だったため、予想よりも少しだけ高めに採点されたかなといった感想でした。

おわりに

まず午前II試験については、純粋な過去問演習を繰り返すことが試験対策として有効だと思いました。

しかし、午後試験に関しては「特定の分野における、極めて実務的なシチュエーションにおける課題に対して、問題を改善するための手法の深堀り」＆「重箱の隅をつつくようなマニアックな知識を知っているか」が問われるといった感想でした。
そのため、純粋な過去問演習のみで対応することは難しく、「試験問題で出てきたシチュエーションに近い実務経験を積めていたか」＆「IPAの刊行物などに日頃から目を通し、日々新しく登場するマニアックな用語についても理解しておくこと」などが大切そうだと思いました。