情報処理安全確保支援士試験 体験記 令和3年度(2021)春期

去る2021/04/18(日) IPA(情報処理推進機構)の情報処理安全確保支援士試験を受けてきました。
その体験記を共有致します。ご意見ご感想お待ちしています!

情報処理安全確保支援士試験 ?

IPA(情報処理推進機構) が毎年、春と秋に行っている情報処理技術者試験の一枠
(正確には他の情報処理技術者試験とは別の枠組み)

https://www.jitec.ipa.go.jp/

合格すると、情報処理安全確保支援士(登録セキスペ)に登録できる(情報系の数ある資格のうちの唯一の国家資格)

• 基本情報技術者試験、応用情報技出者試験などの上位
• データベーススペシャリスト、ネットワークスペシャリストなどの高度試験と呼ばれるものと同位

受験料: 5,700円 (非課税)

全体的な説明は2021年1月にYoutube配信された以下動画がわかりやすい
https://www.youtube.com/watch?v=e4uP6vXa-wA

何の試験、どんな問題？

幅広いセキュリティに関する知識が問われる試験

出題分野

幅広過ぎるので、自分の記憶に残っているものだけ列挙します。

• 認証 , 暗号化基盤
  • 共通鍵暗号方式
  • 公開鍵暗号方式
  • 電子署名
  • デジタル証明書
  • SSH, https通信
• ソフトウェア開発
  • ウェブアプリ
    • XSS, CSRF, セッションフィクセーション対策
    • CORS, Same-Origin
    • Cookieの扱い
  • スマホアプリ
    • スマホ決済(〇〇ペイ)
    • FIDO認証 (Web Authn)
    • サーバ証明書
• ソフトウェア脆弱性, マルウェア、インシデント対応
  • FWフィルタリング
  • ログ読み取り
• セキュアコーディング
  • プログラム読解
  • スタックオーバーフロー
• 組み込み機器(IoT)
• 電子メールのセキュリティ
  • SMTP
  • DNS
• テレワーク、リモートワーク関連

などなど、情報セキュリティ分野に関連する幅広い分野

試験は朝09:30〜夕方16:30までの長丁場(昼休憩: 11:30〜12:00)

午前

• 午前Ⅰ, Ⅱの2つ
• 4択 選択式 午前Ⅰ:30問 50分, 午前Ⅱ:25問 40分
• 過去問覚えるだけ、用語を覚える
• 過去に出た問題がそのまま8〜9割
• 流行に沿った問題も出る
  • ブロックチェーン
  • アジャイル開発、スクラム開発など
• 午後につながる基礎となるが、別物と考えた方がいい
• 午後は実務でやっていれば解けたり記述なので部分点がもらえるが、午前は知らないと解けない問題があるので人によっては午前の方が難しい場合があると思う

午後

• 長文読解
• 試験時間: 午後Ⅰ: 90分, 午後Ⅱ: 120分
• 回答する大問を選択する形式
  • 午後Ⅰ: 大問3問から2問を選択
  • 午後Ⅱ: 大問2問から1問を選択
• フィクションのシステム開発会社、メーカー、通販会社、製造業、などの会社が舞台の物語形式
• どの問題を選択するかで合否に関わってくる。IIは特に1/2なので、難しい方を選んでしまうと残念。調整はされるらしい。
• 答案用紙のマス目を見て７０文字とか文字数が多い回答を要求される設問はさけがちだが、あんがい他の問題がかんたんかもしれない。
• でもベストなのは、どの分野の問題が来ても大丈夫なように備えておくのがいいのかなと
• 大問１つをどのくらいで解けるのか過去問で知っておくことは重要。
  • 午後Ⅱは2問から1問選択で時間も2時間あるので、途中で難しいと感じたらもう一方にスイッチするのもありだと思う。
  • その時にあとどのくらい時間が残っていればスイッチしても最後まで解くことができるか見極められるかどうか

なぜ受験するか ?

• セキュリティ関連、認証関連のスキル獲得 (建前)
• 就職に有利?
  • 履歴書にハクがつく
  • このご時世いつ現職を失うか..
• 合格後登録すると研修が受けられる(有料)
• 試験が一部免除されるためその間に合格したい
  • 応用情報技術者試験に合格していると午前I, Ⅱ, 午後Ⅰ, Ⅱ の4つの区分のうちの午前Ⅰが免除される※→ 試験当日の朝に余裕を持って臨むことができる。

※ 午前Ⅰ試験免除の免除される期間は合格後2年間でネットワークスペシャリストなどの高度試験でも同じ。高度試験で午前Ⅰの合格点(6割)取得で同じように免除される。

試験対策

• テキストはできるだけ早く終わらせて、問題を解く

  • 「学びを結果に変える アウトプット大全」 より
  • テキストの勉強ならスキマ時間の5分でも使って少しでも学べる。
  • 略語が何の略か知っておく。
    • 試験対策に限らないが、何の略か知っておくと理解が深まるし覚えやすい
    • PKI, ISP, OP25B, DMZ, VDI, VPN, XSS, XSRF, HSTS, JVN, FIDO, CASB などがんばって覚える

• 記述問題を解く

  • 実際に書いてみないとどのくらいの回答のあんばいで良いのかわからない。
  • 30文字以内で答えよ、という問題で20文字くらいの解答もある。とか
  • 問題文中にある当たり前のことそのまま書いているけど、それでいいんだとか
  • スキマ時間は使えない。最短でも30分は連続して時間がかかるので時間の確保が重要。
    • 午後Ⅰは大問１つ解くのに30分は確保したい
    • 午後Ⅱは大問１つ解くのに1時間確保
    • 午後Ⅱは午後Ⅰのボリュームアップverのため、時間がとれない場合は最悪でも午後Ⅰに集中する。午後Ⅱは国語力だけで解ける場合もある。

• 毎日少しでもやる。

  • フルマラソンでも負荷が高すぎるため練習で42km走らない

• 興味・関心有る分野に絞る

  • セキュアコーディングは業務でプログラミングしないため、やらない
  • 電子メールについては業務にあまり関係しないため、深く勉強するのはやめておこう
  • セキュリティ関連の団体とか興味無いからスキップしよう

  など、ある程度自分の興味、関心や得意分野に絞ることは可能。

  それらの問題が午前問題に来たらskipし、午後問題に出たら選択しないという逃げがある程度可能。

• PKI (公開鍵暗号基盤)

　逆に必須だと思われるもの、オススメな分野はPKI(公開鍵暗号基盤)。

　ハッシュ化や電子署名、デジタル証明書など基本的な仕組みの組み合わせにより成り立つため、PKIの理解を進めることで、暗号化/認証の基礎知識が網羅でき、さらにFIDOやWebAuthnといった最近のパスワードレス認証の基礎となっているため応用も効く。

2回の受験で合格する戦略

初受験で１回で合格するのは普通の人は難しいので、2回に分けて合格を目指す現実的な戦略をご紹介する。

• 合計2回の受験で合格する戦法 (春夏2回開催なので1年がかり)

• 1回目受験

  • 最低限午前Ⅰを突破する
  • 試験1日を通した全体の流れをつかむ
  • 記述問題の回答のあんばいをつかむ
  • たぶん不合格だと感じても途中退室せず午後Ⅱの最後まで居る
    • 午前/午後の４つで前の区分が合格点の6割に満たない場合は採点されない

• 2回目受験

  • 午前Ⅰは1回目受験で免除されている想定
  • 朝もゆったり午前Ⅱから挑む
    • 午前Ⅰが09:30〜に対して、午後Ⅱが10:50〜
  • 午前Ⅱは過去問覚えゲームとして、体力は温存
  • 午前Ⅱで新出した時事ネタ的な新傾向問題は午後記述問題への布石として昼休みに年のためチェックしておく (そこまでする？)
  • 午後に備えてお弁当は食べ過ぎない
  • 午後からが勝負、気合を入れ直して全集中
  • 日曜日が受験日のため、次の日は有給をあらかじめ取っておく
    • 仕事のことは気にせず燃え尽きられる

長文読解のポイント

目的を持って読む 「学び効率が最大化する インプット大全」 より

• 冒頭だけ読んで、先に設問を読む

  • カクテルパーティ効果を期待
    • (雑多な情報の中からある特定の情報だけ注力して取得する)
  • TOEICとかの後半の長文とかでも使えるテクニック
  • 長文に対して試験時間が足りない場合に有効
    • 午後Ⅱは2時間なので足りないということはあまり無いかも

• 順番通りに問題を解かない

  • 文中のピンポイントをついてくる問題は先
  • 条件や制約を考慮して概要、目的を聞いてくる問題は最後
    • 例) A社の社内セキュリティ規約、ネットワーク制約を踏まえて、実現できない理由を70文字以内で 答えよ
    • でも大体こういう難しい問題は最後に出てくるので、順番は気にしなくても良いかも..

• マス目のノートで記述の練習をする
  30文字から長いと70文字ぐらいの文字数以内で記述せよと要求されるので、正確に文字数がわかるマス目付きのノートで勉強することをオススメする。
  以下実際に記載したノート
  

試験当日

試験会場は最寄りの大学で行われることが多い。申込順に会場を割り当てられるらしいので、なるべく早めに申し込むのが良いらしい。
(岡山県は岡山大学で行われることが多いが、2021/04試験は岡山商科大学だった。)

• 感染対策を万全に

会場はアルコール消毒液が用意されていたり、席を一つ空けて座席、十分な換気が行われていたように思う。
試験当日の朝、体温測定し記入した紙を提出。マスク着用必須
行き帰りで臨時のバスが出ている場合が多い。(事前には知らされないが、帰りは試験官の人達が教えてくれる場合がある)

持ち物

• 受験票 (写真付き)
• アナログな時計
• シャーペン
• えんぴつ
• えんぴつ削り
• 消しゴム
• お弁当

受験票忘れても試験開始後20分?以内に用意できたらOKという意味不明なルールがある
試験会場周りに飲食店があればいいが混む場合があるので、お弁当はあった方がいい。

試験結果について

午前問題の解答は試験当日にIPA公式から発表されるので自己採点できる。
試験中は問題用紙にも選択肢をメモしておくと良い。
午後問題は試験の次週中頃に資格のTACや大原などから解答例が公開される。
記述問題も問題用紙に記載しているとおおよそ自己採点は可能。
午後問題の正式な解答含め、IPAからの合否発表は試験後、約2ヶ月後となる。
数年間落ち続けているが、今回は...

受験するメリット/デメリット

• 読解力つく？国語の問題が7割近い

問題用紙の裏に記載のある以下の注意事項の意味を受験のたびに噛みしめる。

問題に関する質問にはお答えできません。文意どおり解釈してください。

一通りにしか解釈できないように問題をちゃんと作っていますというメッセージ。書いてあることが理解できないようなら理解力足りない。
一意にしか理解できないよう記載されている？ようなので誤解されにくい文章構成のお手本になる？

A4用紙10ページに渡る長文の説明で、誤解無いように書かれた適切なアーキテクチャ構成図、表、フロー図などは確かに参考になる気がする。

• 仕組みの理解

  • 脆弱性や悪意ある攻撃の仕組みを理解しているだけで対策可能な基本的なケース

    • 例) ホテルやカフェのWifiの危険性
      問: 出張先ホテルの壁に貼ってあるSSID/パスフレーズでログインして、社用ウェブメールにログインしたが何が危険か。
      解: 攻撃者が用意したアクセスポイントに誘導されログイン情報を窃取されるおそれがある。

    • 例) スマホ決済の脆弱性
      問: 会員登録と同時に発行される16桁程度の会員番号のバーコード表示を読み取って決済している。なりすまし決済の危険があるが、どのような手口か。
      解: バーコードを表示したスクリーンショットを利用し決済に利用される手口

• 仕組みを理解しても、実際に手を動かして実現できるか

  • 実現する具体的方法が追加で必要なケース
    • 例) リスクベース認証
      問: いつもと異なる環境からのログインをどう検知するか
      解: IPアドレス、UAが前回ログイン時と違う場合に追加で認証情報を要求する
    • 例) スマホ決済　脆弱性の対策
      問: 上述のなりすまし決済の脆弱性の改善案を答えよ。
      解: 決済利用毎に決済サーバから発行されるメッセージ認証付きのQRコードを利用する

  これらの具体的な実装方法までは試験勉強だけでは身につかない と思う

試験のケーススタディを参考にする

午後問題は現場で発生しうるインシデントや開発案件に見立てた物語風フィクションに沿って問題が出される。
物語自体が現実味があり？読んでいるだけで面白いが、実際のセキュリティの現場はどのようなものなのか参考になると思う。

• 日常生活でも気をつけたい

  • スマホ決済
    • バーコード、QRコードの実装方法で安全性は確保されているか。
    • 認証は多要素か
  • ホテルなどのWifi
    • 攻撃者が用意したSSID, アクセスポイントにアクセスされ乗っ取られる
  • パスワード使い回し
    • パスワードリスト攻撃に使われ、アカウント乗っ取られる

• 業務でも

  • 多要素認証
    • Google Authenticator, Authy スマホアプリなどによる多要素認証
  • 自宅のwifiルーターの管理者用パスワード
    • 工場出荷時のパスワードのままで(admin / adminなど)、踏み台に利用される。→ マルウェア Mirai
  • メールのフィッシング、リンク先からのクロスサイトリクエストフォージェリ
    • メールのリンクを安易に開かない。各サイトはこまめにログアウトしておく。
  • ソーシャルハッキング
    • ショルダーハッキングなどの基本的なソーシャルハッキング対策もかなり重要

感想とまとめ

資格は持っていても評価されない時代なのか。資格を取るぐらいならアプリを作ったり他のアウトプットに時間を回した方が良いのでは？
IPA試験のキャッチフレーズ「技術があると口で言ってもわからない」というのは口下手な技術者の増加を助長しそうだ。
ネガティブな意見ばかりが目立つが上述したメリットもあると思う。

• 基礎習得
  暗号化や認証の基礎は、どのソフトウェア分野においても知っていて損はない知識。

• 時代を捉えた技術
  セキュリティ含めIT技術は日々新しいものが出てくるので、そのキャッチアップが出来る。
  5年前の過去問には, 最近のスマホ決済もテレワーク関連の問題も出ていなかった。

おまけ　〜アナログな試験にみるデジタルデトックス〜

感想を記載していると力尽きて、内容が貧弱すぎたので、未だに紙とえんぴつによるアナログに実施される試験についても考察してみる。
令和の時代に今さら紙とえんぴつで筆記試験なんて、しかもITの試験なのに時代遅れなのでは？と常々思っていた。
「スマホ脳」というベストセラーを読んでのことだが、昨今のデジタル社会にどっぷり浸かってしまった人類、特にIT関連のエンジニアにはこの昭和な試験や勉強が良いデトックスになるのでは？と感じた。
ITの内容の試験を紙で行う訳で、いつもの業務と近しい内容のものをまた違った視点で捉えられる多角的な見方ができて新鮮なのではないだろうか。
紙とペンで行う従来の学習方法はタブレット端末やPCなどのデジタル端末での学習効果より高いという研究報告も出ているそうだ。 (スマホ脳より)
アナログの紙でノートを取ったり、文章を書く時は

• タイピングより速く書けない。
• コピペできない

一見デメリットに感じるこれらは逆に利点となる。
コピペできないから自分で考える、速く書けないからいったん自分の頭の中でまとめる。
それらの作業がいったん脳内で行われることによりデジタルで仕事を行うのとはまた違ったひらめきが生まれそうだと感じる。
このようなデジタル・デトックスを体験できる情報処理技術者試験、IPAがこれらの効果を狙っていまだにアナログな方法で行っているとしたら脱帽だ。遅れているようで、かなり先を行っている。
４０万部突破のベストセラー 「スマホ脳」 を読んでの完全な受け売り。
スマホやITに携わっている人ほど一読してみるといいと思った。