令和5年度秋期の情報処理安全確保支援士試験に無事一発で合格できました。午後問題は問2・3を選択しました。

本記事では「最短合格」などを謳うものではなく、地道な学習方法に加え、解答時に心掛けたことをツラツラと書いていきます。

• 学習教材とそれにかけた時間
  • 参考資料
  • 参考にした解説
• 学習方法
  • 1.『情報処理教科書 情報処理安全確保支援士』
  • 2. 『情報処理安全確保支援士「専門知識+午後問題」の重点対策』
  • 3. 情報処理安全確保支援士試験過去問道場
  • 4. 『うかる！ 情報処理安全確保支援士 午後問題集[第2版]』
  • 5. podcast - #セキュリティのアレ
• 午後問題解答時の心構え
• おわりに

 

学習教材とそれにかけた時間

前提として、令和5年度春期の応用情報技術者試験に合格しています。

1. 『情報処理教科書 情報処理安全確保支援士』：90時間
2. 『情報処理安全確保支援士「専門知識+午後問題」の重点対策』：227時間
3. 情報処理安全確保支援士試験過去問道場：13時間
4. 『うかる！ 情報処理安全確保支援士 午後問題集[第2版]』: 28時間
5. podcast - #セキュリティのアレ : 正確な時間は計っていません。

総合学習時間は約360時間でした。

⚠️ 学習時間は教材を読んでいた時間だけではなく、調べ物や下記の参考資料を読んでいた時間も含みます。

参考資料

• 情報セキュリティ10大脅威 2023
• 安全なウェブサイトの作り方
• コンピュータセキュリティログ管理ガイド
• ゼロトラスト・アーキテクチャ
• インターネットの安全・安心ハンドブック Ver5.00
• CSIRTマテリアル
• 証拠保全ガイドライン第9版

参考にした解説

• Youtube まさるの勉強部屋
• Qiita 一番分かりやすい OAuth の説明
• Youtube 情報処理安全確保支援士会：村山直紀氏（『うかる！情報処理安全確保支援士 午後問題集[第2版]』の著者）が令和2年秋期から現在に至るまでの午後問題を解説しています。

 

学習方法

学習方法について、特に力を入れたのは、学んだことを自分の言葉に置き換えたり、実際に手を動かして理解を深めることでした。また、ノート作成ツールとしてObsidianを活用し、理解に時間がかかった知識などをメモしていました。

では、教材ごとの勉強方法等について具体的に述べていきます。

1.『情報処理教科書 情報処理安全確保支援士』

この教材では、基礎概念が一番重要だと考え、概念はほとんど暗記しました。特に第1章は試験直前まで何度も確認しました。基礎概念とはCIA（機密性、完全性、可用性）だけではなく、「セキュリティと利便性のバランスを取る」といった考え方や、「最小権限の原則を徹底する」といった原則も含まれます。

これらの概念をしっかりと覚えたおかげで、「この技術や対策は何のために存在するのか」ということが自然と理解できました。

2. 『情報処理安全確保支援士「専門知識+午後問題」の重点対策』

午後問題の学習では、著者の三好氏が提言した方法を使いました。

それは、一度解いた過去問は再度解かないことです。一度解いた過去問は再度時間を計って解くのではなく、頭の中で問題と答えを再現し、その後で答案を確認するようにしていました。

午後問はケーススタディだと考え、短いスパンで多くの問題に触れました。以下のように、一度解いた過去問はキーワードや得点率をメモし、その得点率に基づいて見返す際の優先順位を決定しました。

加えて、参考資料を何度も読みました。参考書だけでは抽象的すぎたり内容が薄いトピックも、参考資料を読むことでより深く理解できたと思います。参考資料は「おまけ」ではなく立派な教材です。本試験は試験対策本だけ読んで余裕で合格できる試験ではないと思います。

3. 情報処理安全確保支援士試験過去問道場

ここで初めて午前問題を解きましたが、最初から9割以上の点数でした。腹落ちするまで理解できているなら、あえて午前問題に取り組む必要はないとは思いますが、私は何か見落としはないかな...と不安だったので全問解きました。

4. 『うかる！ 情報処理安全確保支援士 午後問題集[第2版]』

この教材を初めて読んだときに、「だいたい知ってるよ...」という感想を抱きました。しかし、中には「そういう考えもあったのか！」とか、「それはいい意味でちょっとずるくない？」というものもあり、とても有用な教材でした。

著者はX(旧Twitter)にて「合格に手が届く人の背中に"最後の一(ひと)押し"を与えるもの」という旨のポストをしています。もしこの教材を読んでも「よくわからない...」となるのであれば、『情報処理教科書 情報処理安全確保支援士』や『情報処理安全確保支援士「専門知識+午後問題」の重点対策』で基礎を再確認したほうがいいかもしれません。

5. podcast - #セキュリティのアレ

ながら聴きしていたので正確な時間は計っていませんが、1年前の投稿からさかのぼって聴いていました。『情報処理教科書 情報処理安全確保支援士』を読んだ後であれば理解はできる内容だと思います。

世間を騒がせたセキュリティインシデントや犯罪について専門家が解説したり、意見を述べたりしつつ、クスッと笑える話も散りばめられているので、楽しくて勉強になるpodcastです。

試験本番では「あっ、これ『セキュリティのアレ』でやったところだ！」となりました。

 

午後問題解答時の心構え

午後問題において重要なのは、相手の目線に立った提案だと思います。NIST刊行のUsers Are Not Stupid: Six Cyber Security Pitfalls Overturnedにもあるように、正しいだけのセキュリティ施策を押し付けることは逆効果です。

午後問題には必ず何かしらのリソース上の制約があります。例えば「設備投資は考えていない」や、「人手が足りない」などです。

このような制約を無視し、「正しいだけで実践は難しい」施策を解答すると高得点は望めないと思います。

 

おわりに

試験合格発表までの期間が長かったため、一発で合格できてホッとしました...。実際に使うことを想定して勉強したことが高得点(だと思う)につながったと思ってます。セキュリティエンジニアとしての基本が学べる、いい試験でした。これからしばらくの間は実践的な資格に注力していこうと思います。最後まで読んでくださってありがとうございました！