目次
1. はじめに
令和5年秋季の情報処理安全確保支援士を受験しました。
合格発表はまだですが、勉強方法についてまとめたいと思います。
勉強方法について説明する前に、下記の3つについて話してきおきます。
- 受験した理由
- 経歴
- 取得済み資格
受験した理由
以前勤めていた SIerでは、ある企業の社内業務システムの保守開発をしており、セキュリティについてそこまで意識する必要がありませんでした。しかし、自社開発会社に転職し、自社サービスのセキュリティを考えながら開発を行う必要が出てきました。そこで、情報セキュリティの基礎的な知識を習得する目的で、今回受験をすることにしました。
経歴
- 理学部物理学専攻で修士課程修了(C++で少しコードを書く程度で、情報処理の教育を受けたことはない)
- SIerで3年間勤務(主にJavaで保守開発を担当)
- 自社開発会社に転職し、半年ほど経過
資格済み資格
- 応用情報処理技術者試験(内定後の入社前に取得)
- システムアーキテクト試験(社会人1年目10月)
- システム監査技術者試験(社会人2年目4月)
2. 教材
私はシステム監査技術者試験に合格していたため、午前1試験を免除することができました。
そのため、午前2と午後試験について使用した教材を紹介します。
午前2
情報処理安全確保支援し過去問道場
過去問道場で過去5年分の問題を勉強しました。
午後
情報処理安全確保支援士「専門知識+午後問題」の重点対策
この本では、テーマ別に2〜3個の過去問と解説を載せてくれているため、午後問題をテーマ別に勉強することができる。自分は、この本に載っている過去問をすべて解きました。
午前2・午後試験共通
情報処理教科書 情報処理安全確保支援士 2023年版
午前試験・午後試験に必要な知識が網羅的に解説されています。私は、3回ほど読み直しました。
マスタリングTCP/IP 情報セキュリティ編(第2版)
情報セキュリティについて、知識が網羅的に説明されている。
先程紹介した「情報処理教科書 情報処理安全確保支援士 2023年版」と合わせて読むこで、内容を相互に保管することができます。
暗号技術入門 第3版
先程紹介した「情報処理教科書 情報処理安全確保支援士 2023年版」や「マスタリングTCP/IP 情報セキュリティ編(第2版)」では、暗号技術については表面的なことしか記載がされていないため、なかなか覚えることができませんでした。そこで、この本を読むことで、もう少し深く暗号技術について学ぶことができました。
ネットワークはなぜつながるのか 第2版 知っておきたいTCP/IP、LAN、光ファイバの基礎知識
情報処理安全確保支援士試験では、TCP/IPやDNS等のネットワークの知識が必要になってくる。この本では、DNSの仕組や、TCPの3ウェイハンドシェイクについて詳しい説明があるため、理解するのに非常に役に経ちました。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
午前試験では、様々な攻撃方法についての問題が出題される。
また、午後試験では、セキュアプログラミングという脆弱性のあるコードを見て、問題点等を指摘するような問題がある。
下記のような攻撃について、脆弱性のあるソースコードを見たり、webサイトを操作しながら学ぶことができる。
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- SQLインジェクション
- OSコマンドインジェクション
- HTTPヘッダインジェクション
- セッションハイジャック
OAuth徹底入門 セキュアな認可システムを適用するための原則と実践
午後問題では、過去にOAuth2.0に関する問題が出題されたこともあります。この本では、OAuth2.0について詳しく解説がされているため、この本を読むことで理解を深めることができました。
3.感想
合格発表はまだで、合格したかはわかりませんが、情報セキュリティに関する知識を取得することができたため、非常に有意義な勉強になりました。特に、実務で必要な下記の知識を取得することができたことが良かったです。
- OAuth2.0
- TCP/IPやDNS等のネットワーク知識
- 「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」で記載したような攻撃方法
次回は、ネットワークスペシャリストの受験を考えています。