はじめに
2025/04/20に情報処理安全確保支援士試験を受けた感想を書いておきます
結果
最初に結論ですが、午後が惨敗でした!
なので、何も役に立たない記事かもですが、自身の為にアウトプットしておきます。
| 科目 | 点数 |
|---|---|
| 午前1 | 免除 |
| 午前2 | 24/25 |
| 午後 | 50点あれば?くらい。 |
前提
受験理由
午前1免除の権利があるうちに何か一つ高度資格を取得しておきたいなと思い、全てのジャンルで必ず必要になるセキュリティーが良いのではと思い受験しました。
経歴
私自身はセキュリティーの実務はほぼありません。
バックエンドエンジニアとして、試験の一環でowasp zapを使った脆弱性診断したり、認証系(OIDC)の開発をする程度の関わりです。
受験した感想
午前2
こちらは簡単でした。
定番の過去問道場を通勤時間などの空き時間に消化するのみで問題ないです。
落とした1問は「sha512/256」について答える問題でしたが、ぶった切るようなことをすると、ハッシュ値が衝突してしまうのでは?と思い、違う選択肢を選んでしまいました。
午後
最初の10分で、解く問題を選ぼうかと思ったのですが、正直どれ解いていいかさっぱりでした。
問3がマルチテナントというテーマや、Authorizetionヘッダのお話が出てたので、ジャンル的にはマッチしてそうってことで選択。
問4は消去法で選びました。
問1はCI/CDでジャンル的にはぴったりだけど、最初の設問セキュリティ・バイ・デザインについての設問が不明だったので避けてしまった。
問2はEPSS値が分からず回避。
問3,4いずれも難しかったのですが、途中で選択問題を変えることは午後対策本でダメと書いてあったので、何とか回答を書くところまでは対応しました。
結果、問題選択でだいぶ焦ってしまって、解ける問題を逃したところが痛かったです。
以下のようなところは冷静になれば分かっていたはずで、ここが解けていればギリギリ受かってたかも。
- 安全なドメイン名を攻撃者のサブドメインに入れる手法
- サブドメインテイクオーバーの対応(対象のサブドメイン用のcnameレコードを消す)
- whoisを答える問題
敗因
敗因についても考えてみました。
①知識不足
やはりここに尽きると思います。
午後対策本によると、IPAは過去問を攻略すれば6割は取れる仕組みになっているみたいなことを書いていましたがその通りだと思います。
今回は難化したとか、出題傾向が変わったなどの意見が多く、その通りかなとは思いますが、6割は過去問や午後対策本の知識で何とかなるレベルなのではと思います。
②過去問対策以外の対応をしていなかった
前回セキュアプログラミングの試験が出て、私が買った午後対策本もかなりの割合でページが割かれていたですが、今回は出題なし。
で、また今回の試験内容をピックアップした対策をすると、また次に別な分野からの出題、、ってことになりそうです。
おそらくIPAの以下のような記事にも目を通しておくことが必要なのかなと思いました。
パッと見ただけで試験で出たキーワードの記事が2024年に投稿されています。
ここらに目を通しておけば、問題の理解につながりそうです。
③時計を忘れた
シンプルなミスなのですが、時計が会場に無くて時間配分できませんでした。
次からスマートウォッチじゃない時計買おう。。
最後に
結果は残念だけど、これだけセキュリティに詳しくなれたのは良かったことだと思っています。
全然あきらめていないので、7月以降また頑張る!