LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@camino37in株式会社ACCESS

情報処理安全確保支援士を受験してみた

Posted at

そもそも情報処理安全確保支援士とは?

  • IPAの資格の1種
  • IPAの資格の中では、上位の資格に位置付けられる
    • 「高度な知識・技能」が求められる試験
      • 本記事ではこれらの試験を「上位試験」と呼ぶ
    • IPA資格の試験区分

受験しようと思ったきっかけ

  • 先日、応用情報に(運よく)合格することができた
  • 応用情報に合格することで、各種上位試験の午前試験を一部免除できるという情報を聞き、折角なので何か受けてみようとなった
  • 元々セキュリティ分野に少し興味があった
  • ちょうど社内で情報処理安全確保支援士の資格維持にかかる費用を(ちゃんと手続きを踏んで上長等が納得すれば)出してもらえるという話が出ていた
  • よって数ある上位資格の中から、情報処理安全確保支援士を選んで受験をすることとした

勉強した内容や、ペースなど

  • 2024秋の応用情報を受験した帰り道にはもう次の試験について考えていたので、勉強開始時期は実質半年前
    • もうその時点で情報処理安全確保支援士にしようと思っていた
    • 帰りに本屋へ寄って、情報処理安全確保支援士の参考書を買った
  • まずは午前用の参考書を一読
  • 次に過去問道場
  • 過去問道場が終わったら、間違えた問題の復習と並行して午後対策へ
    • ここで先輩から午後対策用の参考書を譲り受ける
    • 譲り受けた参考書 (これの2024年版)
    • この参考書は2月末から取り組み始め、試験直前に解き終わった
    • 全10章の構成で、1章につき2~3問の過去問がピックアップされている
    • 時間は測らずに、隙間時間にチマチマ解いていた
  • 試験直前は再度午前の復習にフォーカスし、過去問道場の1周目で間違えた問題をひたすら解いていた
    • 試験会場に着いてからも過去問道場を周回し、試験開始直前まで問題を解いていた
    • この直前の時間に解いた問題が4~5個ほどそのまま本番でも出題されたため、これは有効だったように思える

ふりかえり・自己採点

午前Ⅱ

午前Ⅱについて自己採点したところ、25問中17問正解 (正答率68%) だった。
合格ラインが60%なので自分は一応午前Ⅱ試験はパスしたことになるが、もう少し点数を取りたかった感はあった。

以下、間違えた問題と思考過程など

  • 問題文(公式サイトのpdf)

  • 問1

    • DRDoS攻撃
    • 自分の回答:エ
    • 正しい回答:ウ
    • DoSやDDoSは知っていたが、DRDoSは初見のワードだったので正直ちょっと面食らった。1問目だったからこそ余計に
    • ちなみに、午前対策用の参考書にこのワードはそのものは掲載されていなかった
      • しかし、「反射・増幅型DDoS攻撃」の記載はあり、その内容も覚えていた。RがReflectionの略であることに気づけていれば解けたかもしれない
    • 自分が選んでしまった回答エは、Slowloris DDoS 攻撃というものだったらしい。このワードも初見だったので勉強になる

  • 問5

    • クリプトジャッキング
    • 自分の回答:イ
    • 正しい回答:ア
    • クリプトジャッキングは「暗号資産関係の何か」という大雑把な記憶しかできていなかったため、選択肢が全部何かしら暗号資産関係で詰んでいた
    • とはいえ、ウはただの詐欺だしエはランサムウェアだしで暗号資産そのものの性質とは関係ないなということでアとイの二択まで絞れていた

  • 問7

    • マルウェアMirai
    • 自分の回答:ア
    • 正しい回答:エ
    • こちらもMiraiは「IoTとDDoS関係」という大雑把な認識はあり、アとエの二択まで絞れていたが、細かいところまで覚えていなかったため落とした

  • 問9

    • CPS(Certification Practice Statement)
    • 自分の回答:イ
    • 正しい回答:ウ
    • これは過去問道場で一度間違えていたのに、誤って定着した記憶を塗り替えられなかった
    • Statementといわれるとやはり「宣言」という訳語が先に浮かんでしまい、アかイかなと思ってしまった

  • 問12

    • NSIT CSF(サイバーセキュリティフレームワーク)
    • 自分の回答:エ
    • 正しい回答:ウ
    • これは完全に知らなかった。サイバー関係の機能で IDENTIFY, PROTECT, DETECT, RESPOND, RECOVERともう1つ何か?となると「支配する、管理下に置く」的な何かかなと思いつつ選択肢のア、ウ、エがどれもそんなニュアンスの単語だったので3択までしか絞れず、後は勘で答えて外した

  • 問17

    • OP25B
    • 自分の回答:エ
    • 正しい回答:イ
    • OP25Bはスパムメール対策であること、OはOutboundの略でメール送受信の向きであることは把握していた。この時点でイとエの二択まで絞れていたが、Outboundが「どこから見て」外向きなのかを把握していなかったことにより不正解

  • 問20

    • HTTP
    • 自分の回答:エ
    • 正しい回答:イ
    • これはHTTPに関する知識不足が原因で間違えた。オライリーサブスクでRealWorldHTTPを読んでいるところなので、本書にて復習しよう

  • 問25

    • 財務報告
    • 自分の回答:ア(これもエとの2択まで絞れてた)
    • 正しい回答:エ
    • セキュリティの三大要素といえば、「可用性」「機密性」「完全性」!と即座に脳裏に浮かび、あとは文章から「可用性」に飛びついてしまった
    • もっとも、問題文から必ずしもセキュリティの三大要素と一致するとは限らないなという思いもあり、その場合は「信頼性」だろうなとは思っていた

  • 余談

    • 問23は、今いる会社の新卒研修(PM研修)で習った内容がたまたま出題された
      • PM研修の一環で「ふりかえり講座」というものがあり、ふりかえりの手法について学習した
      • その際に例に出されたふりかえり手法がKPT法というものであり、問23ではそのKPTの頭文字が何なのかを問われていた
      • PM研修で習ったのち、社内の新卒研修やインターン等のふりかえりにて実際にKPT法に触れていたので、この問題を正解することができた

午後

午後は文章題が多く、正解/不正解が明確に分からない。そのため、現時点では午前ほどの密度では復習せず、気になった点のみピックアップしてふりかえることにする

  • 解いたのは問3と問4

    • 選んだ根拠は特になく、ザッと目を通してなんとなく解けそうだと思ったため
    • パッと見の印象で、図がある程度見覚えあるやつだと感じたのも一因

  • 時間配分など

    • 試験時間150分の内、問3に75分、問4に65分使った
    • じっくり丁寧に解いていたら思ったより3に時間がかかってしまったので、問4はすこし急ぎ目に解いた
    • とはいえ、そこまで時間不足だとは感じなかった
    • 長丁場だったので集中力が持つか心配だったがそれも思ったより大丈夫だった。最後の方は流石にちょっと集中切れかけたけど

  • 問4

    • KEVが何の頭文字なのかの選択問題は取れた (Known Exploited Vulnerabilities)
      • 文章の流れから意味を推測できた+語感が自然なもの
    • 「CVSSの最新バージョン番号を4字以内」の問題は勘で書いたが、外れだった
      • 少し古いものの時事ネタ系に分類される知識問題か
      • この記事を読むに、どうも CVSS v4.0が最新版っぽい?
    • RFC3912で定義される、「IPアドレスの割り当て、ドメイン名の登録などに関する情報をレジストラ又はレジストリに問い合わせるための標準プロトコル」について問う問題
      • 答えはWHOISだと思われる (参考)
      • 実は直前まで思い出せそうで思い出せなかったが、全部解き終わってあと残り時間5分みたいな状況で、「今更文章題直す時間もないし、これを思い出すのに時間使うか~~」と未練がましく粘っていたらギリギリで思い出せた
        • 記憶の呼び水となったのが、自分でドメインを取得した時の経験。Blueskyアカウントを.bsky.socialではなく自分のオリジナルドメインにしたく、ITエンジニアだしドメインの1つくらい取っておくか位の感覚で取得したことがあり、その時調べた内容が役立った

受験した感想

良かったところ

  • 午前試験の勉強では、セキュリティという1本の軸を通してIT系の様々な分野にまたがる知識を身に着けることができた
    • 応用情報より範囲は狭いものの、より深く内容を理解できた気がする
  • 午後試験の勉強では、業務経験に乏しくても、過去問を通じてさまざまな業務ケース、インシデントのシナリオを「擬似体験」することができた
  • また、ネットワーク構成図や遷移図など今まであまり見慣れなかった図を読み解く力もついた実感がある

良くなかったところ

  • 論述の文字数制限にしばしば納得いかないことがあった。回答を見ても、その内容では不十分でちゃんと回答するにはもっと文字数が必要だと感じるケースがしばしばあった
    • もっとも、近年は文字数制限のない論述問題も出てきている。これは良い傾向
  • 独自用語が多すぎる
    • 文章の中に、「○○を以降××と呼称する」的な注意書きが多過ぎる
    • 略す必要がなさそうな言葉や一般名詞すら無駄に省略形で書きたがるため、文章内に意味の分からない単語がちょくちょく出てきて逐一参照する必要がありストレスが溜まる
      • 今回受験した本番の試験でも「ソフトウェアをSWと表記する」という例があった
      • ただでさえIT系はイニシャルの略語が多いのでそれに交じって独自用語の省略形まで出てくると訳が分からなくなる
    • 膨大な情報量を捌く能力を試されているとか、業務でも独自用語が飛び交っていてその意味を素早く的確に把握するのは大事とか、擁護のしようはあるものの、それにしても度が過ぎていると感じる
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?