自分自身の経験を思い出しつつ学習過程を書いてみる。
私自身、先人たちの合格体験記を参考にしながら試験勉強をしてきた経緯もあったので、
いつかは私もそこに加われると良いなと思っていた。
2017年という少し古い情報ながら、合格を目指す方々の参考になれば...。
ちなみに先走って私のスコアを述べておくと以下の通りだった。
・午前I :免除
・午前II:100点
・午後I :65点
・午後II:62点
午前IIが満点なのはさておき、午後はなんともギリギリだ。
前提知識なしでこの学習量だと合格水準ぎりぎりだからもう少し学習量を増やして余裕を持たせるようにしようとか、
逆に効率よく合格したいから大いに参考にしようとか、読むのをやめて他の人の合格体験記を読むことにしようとか、
読者の皆様の判断材料にしていただければと思う。
個人的にはもう少し午後問題の演習サイクルを増やして余裕をもって合格するべきだったなと思っている。
はじめに
受験勉強開始時点の私は金融系SIerのアプリケーションエンジニアという立場であって、
特にセキュリティ管理業務に直接携わっていたわけではなかった。
ただ、セキュリティ技術との接点としては開発環境の維持管理の一環で
NW担当部署にACL申請を書いて提出したりすることはあった。
その関係でNW担当と会話する機会は比較的多かったものの、
自分自身のNW技術知識やセキュリティ技術関連知識が足りていないからか、
たまに会話が成立しづらい場面があって、なんとかしようと思っていたことが受験の背景。
前年に自分の中でより優先度の高かったデータベーススペシャリスト試験に合格し、
優先度を繰り上げることができたことも要因のひとつ。
一般的には応用情報技術者試験合格者レベルからさらに200時間程度の学習時間を積み上げる必要があるようで、
私自身も計測はしていないもののそれぐらいは学習したかなと思う。
学習のロードマップ
前年のデータベーススペシャリスト試験で確立した方法論を適用。
大別するとおおよそ以下4段階で学習を進めた。
1.基礎知識習得フェーズ
2.午前II対策フェーズ
3.午後I対策フェーズ
4.午後II対策フェーズ
1日あたりの学習時間は1〜2時間程度で学習期間はおおよそ半年ぐらい。
できるだけ1.基礎知識習得〜2.午前II対策を極力早期に終えて、
3.午後I対策、4.午後II対策にできる限り多くの時間を割くペース配分としたいところだったが、
基礎知識の習得にそれなりに時間を割く必要があったので、自分の中では理想的な時間配分にはできていない。
1. 基礎知識習得フェーズ
教科書的な本をさらっと一通り読み通す。
結城(2015). 暗号技術入門 第3版 SB Creative
事前の情報収集で合格体験記を読み漁った時に多くの人がお勧めしていたので通読してみる。
AESやRSAなどの各種暗号方式について内部ロジックを含めて具体的に説明されている他、
ハッシュ、ディジタル署名、証明書、PGP、SSL/TLS、果てはビットコインに至るまで丁寧に解説されている。
これは良書。
理解しながら読むことに務めた結果、通読には少し時間がかかってしまった。
少し脱線するが個人的には前年に映画:「イミテーション・ゲーム エニグマと天才数学者の秘密」を観ていたこともあって
第二次世界対戦中の暗号:エニグマの暗号方式の詳細とその弱点が解説されている箇所が興味深かった。
映画の方はエニグマの解読プロセスを中心にアラン・チューリングの生涯を追ったもので、
人工知能分野で有名なチューリングテストも出てきたりするので興味のある方はぜひご視聴を。
上原(2016). 情報処理教科書 情報処理安全確保支援士 2017年版 翔泳社
試験範囲を網羅した教科書として購入。
同じ翔泳社の試験対策シリーズでもデータベーススペシャリスト試験よりもはるかに分厚いことに面食らいながらも、
この段階ではどこに何が書いてあるかを把握する程度にさらっと通読する。
午前・午後の対策フェーズで不明点が出てきたら戻ってきて再読するような使い方をする準備を整える位置付け。
...という想定だったが、自分自身にNWの基礎知識が足りていないこともあって少し調べ直したりして読み通した。
想定していたよりも基礎知識習得に時間がかかってしまった。
2. 午前II対策フェーズ
IPAが公開している過去問を解んでは答え合わせを繰り返す。
解説を読む時は問題文に対する正解を覚えるのは当然のこととして、
間違いとされる選択肢がなぜ間違いなのか説明できる程度に理解していく。
理解度が足りないと感じるところがあればスポット的に教科書に戻って読み直す。
4〜5年分ぐらい解いていくと、だいたいコンスタントに7割程度取れるようになってきたのでそこで学習終了。
データベーススペシャリスト試験対策をしていた頃は、午後対策に完全集中しているうちに
午前の対策効果が薄れてきているのではないか?と不安になって、問題を解き直してみたこともあったが、
初見で8割近いスコアが出て完全に杞憂だったことが判明した経緯があった。
貴重な時間をロスしないためにももう午前対策には戻らない。
3. 午後I対策フェーズ
ようやくここからが試験対策の本番。
個人的にはいかに早く基礎を固めて(≒午後IIでコンスタントに合格点が取れるようになって)
午後問題の対策期間をどれだけ長く確保できるかが合否を分けるポイントになると考えている。
(私の場合は少し出遅れた感があるが)
ひたすらIPA公式の過去問を解いては解説を読むことを繰り返す。
山崎他(2017) 絶対わかる情報処理安全確保支援士 2017年春版 日経BP
午後対策をするうえでは問題文の読み解き方も含めて丁寧に解説されている本を選ぶのが必須だと考えている。
この本は2016年秋試験で出題された過去問の午後問題だけをスコープに、問題文の読み解き方を含めて
丁寧にわかりやすく解説してあり、私の思惑と完全一致していたので購読してみた。
受験生がはまりがちな落とし穴にも触れたうえでなぜIPAの公式解答通りでないといけないのかも併せて解説してあって納得感が高い。
解説のわかりやすさは素晴らしいのだが、一冊で試験1回分のみの解説となっているのが惜しい点。
私の場合は過去数年にわたって問題を解いて解説を読んでいきたいので、この場合はこのシリーズの本を全部買っていかなくてはならないことになる。
ということで、このシリーズのバックナンバーで出版されている限り全ての本を順次購入していった。
左門他(2016) 絶対わかるセスペ28春 2016年秋版 日経BP
左門他(2016) 絶対わかるセスペ27秋 2016年春版 日経BP
左門他(2015) 絶対わかるセスペ27春 2015年秋版 日経BP
左門他(2015) 絶対わかるセスペ26秋 2015年春版 日経BP
1冊あたりだいたい3000円だった記憶なので、そこのシリーズだけで1万5千円ぐらいの支出だ。
時系列に沿って過去に遡りながらひたすら解いては解説を読んでを繰り返した。
他、手を動かす系の作業としては一応自宅のPCにWireSharkをインストールしてパケットの中身を見てみる位のことはした。
セキュアプログラミングがテーマの箇所についてはコードをトレースして理解するに留める。
(時間的余裕があれば本当は自分でも再現コードを書いてみたりした方が良いんだろうなとは思いつつも、時間がなく断念)
最初から40分もあれば大問1個を最後まで消化できる状態だったので、時間配分は特に気にせず進める。
消化できるとは言ったが正解できるとは言っていないことに注目いただきたい。
データベーススペシャリスト試験であれば頭をフル回転させて答えを組み立ていく感覚があったが、
情報処理安全確保支援士試験はどちらかと言えば知識量が勝敗の鍵になるようで、
自分の知識と問題文から明確な答えが導けてほぼ即答できるか、あるいは全く答えを思いつけないかのどちらかに落ち着くことになる。
つまり長考してどうにかなる問題がほとんどない。
これが問題の消化に時間を要さない理由だと考えている。
だいたい6割以上の得点が取れるようになってきたところで午後IIの対策も並行して開始する。
午後Iは午後IIと並行しながら進めて「絶対わかる」シリーズがカバーしている過去5回分は全て対策した。
4.午後II対策フェーズ
午後IIの対策の進め方も午前Iと同様。
ひたすら過去問を解いては「絶対わかる」シリーズの解説を読むことを繰り返す。
基本的には午後Iであれば単独で問われているテーマを複数絡めて複雑化させているだけで、しっかり午後I対策をして基礎を固めていればまあまあ太刀打ちできる印象。
制限時間も120分用意されているが、おおよそ60分もあれば一通り解き切れるボリューム感。
(例によって正解できるとは言っていない)
「絶対わかる」シリーズがカバーしている過去5回分は全て対策した。
IPAの午後IIの問題文は良質な教材だと思う。
読むだけでも勉強になる。
ついでに
前述の上原(2016)に用語集が小さな文字でびっしり数ページ分印刷されていたので、試験前の2〜3日は用語集に登場する全単語を自分の言葉で説明できる程度に調べ直す時間に宛てた。
試験当日
午前I
免除。
午前II
さすがに余裕。
大幅に時間を余らせて終了。
2周ぐらい見直しをしてそれでも10分ぐらい時間が余って最後はぼーっとしていた。
(最後の10分は退室禁止なので)
午後I
分野による得意不得意は特に感じていなかったので、とりあえず大問を順に読み解いていく。
全6ページで構成される問1を3ページ読み込んだところで手が止まる。
ARPポイズニング!?
未対策だこれ...(そもそもARPって何だっけ?というレベル)
設問も読んでみるがARPポイズニングの知識なしで解答できる問題ではなさそう。
大問1個のまるまる半分ぐらい読み込む時間を投資してしまっていたものの、問1は捨てる判断をし、
問2(Webサイトのセキュリティ対策)、問3(クラウドサービスの認証連携)を選択することに決定。
両問ともなんとか解ききったところでタイムアップ。
見直しする時間はほぼとれず、なんとも不安が残る手応えに。
午後II
問1はマルウェアの解析。
問2は社内システムの情報セキュリティ対策。
(どちらか片方を選択する)
なんとなく問2の方がとっつきやすそうかなと思い、まずは問2から解いてみる。
が、解いて見みると予想外に解答欄を埋めきれず空欄が目立つ結果に。
手応えとしては6割ぐらいでなんとも微妙。
この時点で残り時間はおおよそ60分弱。
問2を見直しして正答率を上げにいくべきか、未挑戦の問1を試してみるべきか...
試しに問1の問題文を読んでみる。
「マルウェアの解析」というホワイトハッカー向けと思われるタイトルとは裏腹に、
問題文を読み込んでみると予想外に問題文がしっかりどガイドしてくれていて学んだ知識を駆使すればそれなりに解答できていった。
残りの60分を使って6割少々解答欄が埋まった状態に。最後の設問は時間切れで答えられそうにない。
制限時間も迫る。
問1と問2のどちらを選択するべきか...。
問題選択に問1(マルウェア解析の方)をマークし直した瞬間にタイムアップ。
結果
2017/6/21合格発表
ギリギリだ。
2017/7/7証書も届いた。
受験後記
一応は合格という結果が得られて安堵している。
受験勉強に関して言えばペース配分的に少し失敗したかなという感触。
基礎知識習得に時間がかかってしまった結果、午後対策が過去5サイクル分程度になってしまったが、
7〜8年分ぐらいをこなせればもう少し余裕が出たのではないかと思う。
前提知識がなければ基礎知識習得にはどうしても時間がかかってしまうのは仕方がないことなので、
もし時を巻き戻してもう1度受験するなら、着手タイミングをもう少し早めることにする。
サイバーセキュリティが題材として取り上げられることが多かったこともあり、
NW技術についてもある程度は勉強したものの、午後ⅠでARPの理解不足が露呈したようにまだ知識に穴がある。
学習を続けて穴を塞いでいきたい。
(実際に学習を続け、半年後にネットワークスペシャリストに合格することになる。その話はまた別途。)
なお、資格を取ったからといって業務内容が変わったりということは特になかったが、
資格取得を通じて知識が増えた結果かNW基盤担当との会話については円滑にこなせるようになった。
当初感じていた課題については解消できたと評価している。