Rのつく財団入り口

元はTRPG系のWebサイトの入り口だったブログです。最近のIT本の感想など。

情報セキュリティスペシャリスト 合格体験記 【午後の部】

午前の部】の続きですよ。

午後試験

 午後Iは早めの12:30から90分、大問形式で3問の中から2問選んで解答。選択と見直しの分を考えると1問30-40分で解く必要があります。
 そして受験者にとどめをさす最後の午後IIが14:30から120分。大問2問のどちらか1問を選んで解答。そろそろ疲れてくる頃ですが、長い問題文からヒントや問題を読み取り、得点に繋げていく必要があります。

作戦:高度試験は午後が本番。過去問の各分野とパターンを学んでしっかり準備

 午後I、午後Iともに実際にありそうな様々なケースで、これこれこういう構成図やネットワーク構成でシステムがあったり開発する予定で、こうする予定だったがここで問題が起こった、外部からこんな攻撃を受けた、こういうルールで運用を始めたのだが不備があった……などのストーリーが用意された文章問題が並び、その中で設けられた設問に答えていく必要があります。
 後述の解説本などでこれらのケースに慣れ、試験時間内に問題を読んで解答しきること、また後述の問題文に隠されたヒントに気づく能力も必要になってきます。(情報セキュリティスペシャリストはバリバリ理系資格かと思いきや、実は国語力が必要な資格なんですね)
 午後Iは3問中1問、仕様を満たすプログラミングではなくセキュリティ的に安全なプログラミングをしているかに関した「セキュアプログラミング」の問題がよく出ます。試験側の規定で言語はC++, Java, ECMAScript(実際には=JavaScript)と決まっています。前はPerlもあったのですが廃止されました。
 これは実際にその言語を知っていたり実務経験がないと厳しいレベルだと言われており、実際の過去問もそうでした。セキュアプログラミング問題が出たら取り組むか、諦めて即座に迂回するかは事前に決めておいた方がよいでしょう。
 最後の午後IIも問題文が10頁ぐらいあってとにかく長いので、過去問をこなして長さに慣れていく必要があります。

午後で使った参考書

 テーマも重複しているので午後I/午後II専門の本というのはなく、ふつう午後I・午後II両方を題材にしているか、さらに午前問題も含めた総合的な対策本となっていることがほとんどです。
 さすがに高度資格だけあって基本情報・応用情報に比べるとだいぶ内容も難しいです。僕は参考書の1冊目で午後問題学習を始めたらまったく太刀打ちできず、こりゃやばいと数冊やることにして手厚く準備していくことにしました。
 かなりマイナーな本は避けて売れ筋から選べば、参考書で大きなハズレというのもありません。ネットの書評などを参考に、自分にフィットした参考書や学習方法を探してゆくとよいでしょう。僕は嫌なので新品で買いましたが、本が高かったらブックオフなど古本を利用するという手もあります。
 参考のため、触れた本を以下に上げていきます。

2015 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策

2015 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策 (専門分野シリーズ)

2015 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策 (専門分野シリーズ)

 応用の時も使ったので最初に買った本。ネット上の受験記事などでもよく名前が出てくる本です。
 午前問題対策とセキュリティ基礎知識の確認も設けられていますがあっさりめ、そこは各自勉強してねというところ。(応用に受かり、午前試験は突破できる人が対象になります)
 本題の午後試験については「第3部 午後問題のテーマ別対策と必要知識」として全14章、企業のセキュリティマネジメント、認証、PKI〜有事のインシデント対応や現在のスマホ時代に対応したモバイル端末のセキュリティまで全14テーマが用意。各テーマの基礎知識のおさらいから、過去試験の午後Iもしくは午後IIから選ばれた定番問題演習で理解を深めていきます。面白いことに各テーマの過去の出題回数から解析した出現率も計算されて載っており、時間がない時は出現率の低いテーマは飛ばしていくこともできます。
 解説も細かく、難解な問題も懇切丁寧に教えてくれるので午後対策をしっかりやることができます。
 この本のほとんど唯一の欠点というか気になったのは……文中の試験直前の注意事項の頁、資格にチャレンジし続ける意義として受験者に発破を掛けて激励する文章が続いておっアツいなと思わせた後、突然次のページから乃木坂46の話が始まること。(笑)
 うーんこれは書き手側的にはコーヒーブレイクの意図だったのでしょうか。著者の「ITのプロ46」はアイドル応援の活動もしているのは分かるのですが、資格試験本に突然出てこられても「うわぁ・・・」的な感想しか出てきませんでした(;´∀`) わははは。

 なお、こうした試験対策本の賞味期限ですが、例えばRDB(関係データベース)の世界の原理・原則はあまり変わらないので、高度資格のデータペーススペシャリストの対策本は少し年度が古くても問題ないと言われています。
 対して、近年需要が高まるセキュリティの世界は変化が激しく、暗号方式やら攻撃手法も日々新しくなり、試験によく出るテーマも年々変わっていく分野です。セスペの対策本はなるべく新しいものを買った方が良いでしょう。この本も2016年度版も出ていますし、毎年更新されます。

2015春 徹底解説 情報セキュリティスペシャリスト 本試験問題 (本試験問題シリーズ)

2015春 徹底解説情報セキュリティスペシャリスト本試験問題 (本試験問題シリーズ)

2015春 徹底解説情報セキュリティスペシャリスト本試験問題 (本試験問題シリーズ)

 こちらは定番の純粋な過去問集。上記の重点対策をやり終わった後に買いました。H27秋用の本書はH25秋・H26春・H26秋と、過去3回分の午前・午後全試験が全て解説付きで収められています。実際の試験では午後Iは大問形式3つから2つ、午後IIは大問2つから1つを選択しますが、本書にはこの大問が全部載っているので、全て学習するようにすればかなりのボリュームになります。
 本文の問題文も解説も一色刷りで堅め、解説の文章内容も上の重点対策本に比べると堅め、懇切丁寧とは行きませんが本番の試験に耐えるためにもこれぐらいに対応できなければならないでしょう。問題が解けなかったら(僕も最初ぜんぜん解けなかったのですが……)答えをしっかり読み込んで理解を進めていくくだけでも力になります。
 ちなみにH何年試験問題として1年分の午前I/午前II/午後I/午後IIがまとまった後に、解答と解説としてまた答えがまとまっているので、問題文と答えが載っているページが離れています。しおりとか指を挟んだりして行ったり来たりすることになりがちです。午後試験の文章問題の学習をする際に不便といえば不便かも。

平成27年度【春期】 情報セキュリティスペシャリスト パーフェクトラーニング過去問題集 (情報処理技術者試験)

 問題演習が不十分な気がしたのと、買った徹底解説本だとH27春問題がなかったので補強の為に買った過去問集。こちらはH25秋・H26春・H26秋・H27春と、1回ずれた4回分が載っています。
 Amazonの評価などを見ると、答えがIPAの公式解答と違うなどと他の過去問本に比べ評価がいまいちのようですが、まあ要は過去問集ですし自分的にはやってみて特に不都合はなかったですね。
 このパーフェクトラーニングのシリーズは本がB5判の大判なので、他の参考書よりは全体の厚さが薄く、1ページの情報量が多いです。午前I/午前IIは見開き1ページで左が問題/右が解答と解説で読みやすく、午後I/午後IIも問題の直後に答えと解説が配置されているので参照しやすいです。ここは上の徹底解説本より良いところですね。

 過去問は情報処理推進機構の公式サイトからPDFがDLできたり、各種参考書付属のURLなどからダウンロードできたりもするので、こちらを印刷して学習する方法もあります。僕は電車の中で勉強するので利便性を考え、多少内容がかぶったり費用が掛かってもよいから携帯しやすい本で買う方法を採りました。

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)

 情処試験各種で揃っている略称「ポケスタ」のセスペ版。本が小さくて携帯性に優れ、ちょっとしたまとめ勉強や試験直前の確認に最適です。
 中身はセスペに必要な知識・技術の教科書ではなく、とにかく合格するためのテクニックに特化した本です。合格への最短距離を提供する参考書&午後試験突破への特効薬と銘打ち、回答の鉄則や丸暗記事項、公式解答至上主義に乗っ取った文章問題の点が取れる書き方、よく間違う漢字……など、試験突破のテクが満載。
 よくレビューに初学者にはちんぷんかんぷんと書いてありますが、その通りで僕も最初この本でスタートしようとして挫折しました。内容は濃いのですが不要な部分は削りに削り、文章も省略がかなり多い(略しすぎて文として日本語が意味不明なところもある)ので、これから勉強する人には意味不明にも見えるでしょう。教科書系や過去問で学習し、午前II試験を突破できるレベルに達して午後の勉強がしたい人、さらなる得点力アップを狙いたい人が読むと、問題と解答の頻出パターンを習得する上でとても参考になります。
 この本の欠点は……これもよくレビューに書いてあるのですが、アンチパターンを得る労苦はすべて筆者が引き受けて最後の人柱になって読者様には近道を提供〜云々、書いた人の自画自賛めいたサムシングが文中のあちこちから漂ってくること。(笑)
 作者の方はかなり頭の回転が速い人なんだろうなあと想像しますが、言わずにはいられないタイプなんでしょうね。なんというか、難関大学突破を目指す濃ゆい講師による予備校特別講座みたいな独特のノリが本全体に満ちています。人によっては気になるかもしれませんね。
 とはいえ役に立つのは確かです。僕はこの本の先頭に載っている技術要素については他の本で学習済み、最後の方の午後過去問を使った試験対策は問題も答えも文を略しすぎてあまり参考にならなかったので、第四章 午後対策の「速効サプリ」を主に何度も読み返していました。過去の午後問題を解析しパターン化して45種の「〜系」に分類、頻度が高い順に設問と解答例を表にしたものです。
 たとえば1位の「モタモタするとやられる系」の先頭は、「複数のパスワードを連続して入れるような不正ログイン試行対策は?」→定番の回答は「連続ログイン失敗したらそのIDをロックする」など。
 この速攻サプリはかなりの労作で確かによく効きます。試験前にはオススメです。
追記)その後2017年3月に『ポケットスタディ 情報処理安全確保支援士』も出ました。

セスぺの春XX 情報セキュリティスペシャリスト試験の最も詳しい過去問解説
絶対わかるセスペ シリーズ

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

絶対わかるセスペ27春 2015年秋版

絶対わかるセスペ27春 2015年秋版

 ネットの受験記事のおすすめ参考書にこちらも時々出てきます。表紙がお姉さんの絵だったりイラストだったりで分かりやすいです。
 僕は買わなかったのですが、本屋でぱらぱら見た時はボリュームはあまりありませんでしたが字が比較的大きめ、解説が丁寧で分かりやすそうでしたね。セスペ受験の初心者向けという印象です。

試験当日の雑感

 応用情報は午前で諦めて昼から帰ってしまう人の分の空席が目立つのですが、さすがに高度資格のセスペだと帰る人は少なかったようなような気がします。
 2015年秋の午後Iの大問3つは、問1がWebサーバ上で動くWebシステムの脆弱性の話。問2が業務サーバとDBサーバからなるシステムの特権IDの話。問3がWebサイトに不正侵入が発生した際のインシデントの話。
 プログラミング言語Javaを用いたWebシステムの有名フレームワークStruts1のクラスローダーの脆弱性は現実の2014年頃にも話題になりましたが、問1にも出てくるあたり、かなり実際のシチュエーションに近い設定になっています。
 例年、大問3つのうち1つはセキュアプログラミングが題材という傾向なのですが、なんとまさかの大波乱。2015年秋試験ではセキュアプログラミングがテーマにならなかったのです!(まあ細部にはセキュアプログラミングっぽい設問もあるのですが)
 コーディングに強い人やしっかり勉強した人にはがっかりでしょうし、プログラミングが苦手な人には救いだったでしょう。僕も過去問学習はしたのですが、C言語バッファオーバーフロー周りの話はめんどくさくてよく分からず結局Cが出題されたら即座に迂回、そろそろJavaがまた出題されたら万々歳というアバウトな作戦でいたのですが、これは意外でしたね。
 2015年(H27)秋のセスペ合格率が16.6%、H22〜H26の約13〜14%前後に比べると若干高かったのは、この影響が大きかったのではと推察します。

 僕の実際の仕事に近いのは今回の大問では問1なのですが、さっと全体に目を通してから解こうとしたら最初の問題が情報セキュリティの3要素(情報の機密性・完全性・可用性、英語にすると頭文字がCIA)でいきなりド忘れ。
 こりゃあかんとすぐ転進、前述のポケットスタディで学んだ速攻サプリや過去問の頻出パターンにありそうで文章問題で点を稼ぎやすそうだった問2と問3を選びました。1時間半は掛からずに最後の10-15分ぐらいは早めに退出できましたね。
 ちなみに大問の問2では、そうすることで不正操作を防げるのを「なに効果」というかという問題が出ました。確かポケットスタディにも漢字で書けるようにとコラムで書いてあった言葉だったような気がします。正解は「抑止効果」なんですが、僕は当日なぜか書けなくて「けん制効果」でなんとか代用していました。後で2chの資格板を見たら同じ間違いをした同志がたくさんいてワラタ……;ω;
 とこのように、午後試験に文章で答える問題は漢字が意外にネックなのでご注意ください。

 そして試験マラソン最後の2時間の午後II。今回は問1がシンクライアント技術を使った標的型攻撃対策の話、問2がクラウドのオンラインストレージでのデータ管理や保護の話。
 最初に両方を概観、問1は問題は多そうだけど比較的ストレート、部分点が取れないので危険な計算問題も少なかったのでそのまま問1を選択することに。設問数も多いのですが落ち着いて進めたら割とすんなりいけましたね。文章で答える問題も過去問やポケスタの定番に近いやつでした。試験時間の退出不可能になる最後の10分直前で途中退出することができました。


配点と結果

 試験日の2か月後がIPA公式サイトでの合格発表と成績閲覧。高度試験についても応用情報と同じで、その1週間前から公式の解答が掲載されて自己採点は可能になります。
 午後の配点が非公開なのが自己採点のネックですが、例によって試験当日や翌日あたりから解答速報が手に入り、こちらでも自己採点できます。

 他にも有名どころは「資格の大原」がありますが、基本情報と応用情報しか掲載していないようですね。
 情報セキュリティスペシャリストは文章で答える問題が多く、解答速報同士でも解釈が違ったりしてさらにやっかいなのですが、文章問題で一部合ってるだろうというのは一律部分点50%として自己採点してみました。

午後I

  • ITECの解答と配点で:68点
  • TACの回答と配点で:63点
  • IPA公式解答が発表後、ITECの配点で:63点
  • IPA公式解答が発表後、TACの配点で:60点

午後II

  • ITECの解答と配点で:85点
  • TACの回答と配点で:80点
  • IPA公式解答が発表後、ITECの配点で:81点
  • IPA公式解答が発表後、TACの配点で:76点

安全圏到達の午後IIに比べてこの午後Iのギリギリなやばさと速報同士での数字のぶれはなんなんじゃぁ〜と悪寒に震えながら合格発表日を迎えると……

  • 午後I:63点
  • 午後II:82点

でめでたく一発合格でした。あぶね〜〜!!

 午後試験は合格率をだいたい例年通りに合わせるため、合格者が少ない場合は文章問題で何点かボーナスが付いて60点ぎりぎりの人は救済されることがある……というのは情報処理試験で前からある定説。応用情報でも5〜10点ぐらいもらえるのが実証された訳ですが、上の数字を見るとほとんどボーナスついてませんね。2015年(H27)秋の回はセスペの合格率は16.6%、例年より若干高めでしたので、やはり基本給アップに対応したボーナス減額が効いたのではと推察します。
 自分的にはポケスタで勉強したんだからもっと安全な回答で点稼げよというカンジでしたが、文章問題で得点の揺れ幅が出やすい情報セキュリティスペシャリストについては特に、午後試験のボーナスはあまり当てにせずにしっかり準備した方が良さそうです。


今後の動き:情報セキュリティマネジメント試験が創立

 変化の激しいセキュリティの世界、情報セキュリティスペシャリスト試験も更新制になるという噂もあったのですが、それに先駆けて新国家資格『情報セキュリティマネジメント』試験が、タイムリーに2016年(H28)春期から始まりました。
 英語の略称は「SG」。日本語の略称は「セマネ」は言いにくいので「セキュマネ」「情報セキュマネ」なのかな。

 う〜ん公式ポスターが手にスマートデバイスを持って鍵をかけた絵なのが今の時代を物語っていますね。謎デバイスのひとつボタンは指紋認証センサー導入以前のiPhoneのホームボタンに酷似していますが端末縦横の比率も違うので、iPhoneでもiPadでもAndroid系でもない架空の端末のようです。
 日本においても増加中のサイバー攻撃の被害や年々ニュースをにぎわす情報漏洩、老若男女が使うようになったスマホタブレットにセキュリティを避けては通れないマイナンバー、高まる需要に対して『ユーザー企業において、一定の技術知識を持ちつつ、自社内で情報セキュリティ対策の実務をリードできる人物』を育成する資格。IT、ICT技術者だけでなく一般企業でセキュリティ業務を担当するような人もターゲットにしている感じでしょうか。
 ITパスポート合格からさらにステップアップしたい方へ〜とターゲットに書いてはありますが、スキルレベル2なので実際は基本情報技術者試験と同等。出る問題数が基本情処より少なく、範囲もセキュティに限られて狭いので、基本情処よりは若干易しいのかな? というのが大方の見方です。公式提供のサンプル問題が数問しかないというのがすごいですが、2016年初頭現在、それでも各社の参考書がいくつか出始めています。
 一般化した後は、IT業界に就職した新社会人には基本情報の前か後か一緒に取っとけと推奨される資格、それ以外の業界でも就職〜20代若手の転職には役立つ資格になるのではないでしょうか。
 試験形式が午後問も選択式なので、大学生なら情報系専攻でない理系、文系の人、社会人でIT系でない人やプログラミングと縁のない人にも比較的取りやすい資格になるのではないかと思います。
(応用情報もプログラミングが必須でなくなったり、今回のセスペもセキュアプログラミングが出なかったり、最近割と非プログラマー系受験者への救済の動きが見られるので。)
 僕の会社では資格にグレードがあってそれぞれ奨励金が決まっているのですが、このセキュスペも賞金額が決まったらそれから受けてみようかと思っています。w

 という訳で、自分的にはぎりぎりで危ないところでしたが、継続して準備した甲斐もあってセスペも一発合格できました。
 暗号化の歴史や方式、悪意ある攻撃者の攻撃の具体的な手法など、勉強してなかなか面白い所も多かったですね。設問で与えられるシチュエーションも実際の仕事でありそうな1シーンやニュースの事件の状況に近かったりして比較的イメージしやすく、あまり抽象的になりすぎないのも助かりました。意外に国語力が必要なのも面白いですね。
 情報処理技術者試験全体でもセキュリティ重要視の動きがあります。ネット時代の今日、セキュリティ関連の注目度、重要度が増すのは確実ですしどんな専門分野の仕事をするにせよ取って損はないでしょう。これから高度資格群に挑む人はひとつチャレンジしてみてはいかがでしょうか。
 それでは、次回の受験者に幸運がありますように……

おまけ セスペの情報のあるサイト

 ぐぐれば受験体験記などもいろいろ出てきますが、以下がまとまっていてお勧めです。