おうまさん

SEのふりをしながら趣味をやる。

令和3年春 情報処理安全確保支援士試験で事故った話

 1. はじめに

 私は大手情報処理・サービス業の会社に属する20代のSEである。令和3年春の情報処理安全確保支援士試験を受験した。3ヶ月の学習期間内での実際の試験対策の過程や、試験時の解答例等を振り返りながら全体の反省を行う。結果だけ見る方は9章へどうぞ。

  

2. 受験の目的

 顧客へシステム導入する前段としてまずは調達がかかり、場合によっては他社と競い合った上で構築業者が決定される。その際に顧客は調達仕様書を定義するが、その中に「作業要員に求める資格等の要件」として責任者となる者はプロジェクトマネージャの合格者であること、など資格合格者を要件として挙げる場合が多い。なお、責任者のみならず業務リーダに相当する者は情報処理安全確保支援士の合格者などのITSSレベル4に相当する高度試験区分の合格を要件に挙げられる場合も見受けられる。民間へのシステム導入の際には馴染みがないかもしれないが、国や官公庁などの入札に関わる案件はこれらがほぼ盛り込まれていると認識している。

 私は、このような調達仕様書に記載される資格に合格した実績を創出し、活躍の幅を広げるきっかけとしておきたい思いから受験を行った。

 と、いいつつも世の中は金が全てであり資格手当が欲しい。しかし、状況が変わり弊社は資格手当が無くなった上にSIerという性質上、PMPプロマネが重視されており技術系の資格は趣味程度で捉えられがちな風潮にある。過去のNWや今回のSCのように、午後の知識としては水準を満たしていたため、改めての受験は特に考えておらず、プロマネ受かったら受験自体終わる予定である。不合格を繰り返しながら技術士(情報工学)を目指すと思われる。

 

3. 情報処理技術者試験の受験履歴

 自身の情報処理試験受験履歴を以下に示す。情報処理技術者の受験は入社した2016春より開始している。なお、未受験は省略している。

受験年
受験区分
結果
2016春
合格
2016秋
合格
2017秋
不合格(午前Ⅱで後1問正解で合格)
2019秋
不合格(午前Ⅰで後1問正解で合格)
2020春
中止
中止
2020秋
プロジェクトマネージャ (PM)
不合格(午後Ⅱで論文B判定)
2021春
情報処理安全確保支援士 (SC)
不合格(自己採点で合格、事故?)

 

4. 学習計画

 1月後半から学習を開始し、4月中旬の試験前日まで毎日2~4時間学習を行った。午前 午前Ⅱから午後Ⅱまでの全体的な学習実績を以下の図に示す。なお、午前Ⅰは免除であるが、本記事では過去の学習実績をもとに次章にて学習方法を併せて示す。

f:id:umauma2011:20210613190115p:plain

 

5. 午前 Ⅰ

 午前Ⅰの勉強方法としては、自身の場合、過去7年分(春秋含む)の応用情報午前を6周でまあまあ張り合える。2020年プロジェクトマネージャの午前Ⅰ試験では、この勉強法で71.4点獲得し、免除権を確保している。今回の情報処理安全確保支援士試験では未受験であったが過去の記事にて、勉強法を詳細に記載した。

リンク先の勉強法を結論だけ記載すると、

 ①まずはその年の問題を一周 (80問)

 ②間違えた問題は紙にメモして復習

 ③後日、再度その年の問題を一周

 ④間違えた問題は②の紙に上書き(ここで①で間違えた問題と同じ場合は番号に○をつける、新たに間違えた問題は②のメモに番号を追加する)

 ⑤後日、再度その年の問題を一周

 ⑥間違えた問題は②の紙に上書き(ここで①で間違えた問題と同じ場合は番号に☆をつける、③で間違えた問題と同じ場合は番号に○をつける、新たに間違えた問題は②のメモに番号を追加する)

 以上の内容を過去7年分行う。春秋分なので単純計算で14回分 * 80問 =  1120問の演習を行うこととなる。1日に1回分やると1時間程度で、2週間で1周できる勢いである。正直、これを学習スケジュールに盛り込むとなかなかキツい計画を強いられるため、本気で取りに行くのであれば免除が本来望ましい。

 ただし、IT用語や技術に自信ニキは何周もしなくても良いと思われる。自身の場合、たくさんの問題を解いていると「こっちの問題の答えはCなのに、この前つまずいた問題は答えAだったんだっけ...?」のように正しい答えがごっちゃになる場合がよくあるので、何周もすることによって不安を払拭している。

 午前Ⅰの問題演習は以下のサイトを利用。

 

6.  午前 Ⅱ

 以下のサイトで過去のH21春からR2秋までの23回分のすべての過去問を4周した。学習期間は2月下旬~4月中旬(試験前日)まで。

  午前Ⅱは1回分25問なので負担が小さく、1日に2回分 * 25問 = 50問を演習した。午前Ⅰと同様に、間違えた問題は紙にメモし、何度も間違えた問題は以下のように印をつけた。

f:id:umauma2011:20210613183424p:plain

 この勉強法により、本番では25問中10問よくわからない問題が出てしまったが、最終的に不正解は3問に抑えられており、最終的に88点という好成績を残した。このように午前Ⅱは大体は過去問から出題されるが、ちょっと応用的な初見のIT知識も求められる問題が含まれるため、過去問の問題は完璧に固めておくことが望ましい。

 なお、計算問題は自分で解かず、暗記している。例えば問題文に「TCO」というワードが入っていれば、「問題文にCって入ってるから答えはCやな!」というゴミみたいな解法を行っている。ただし、「OAuth」などのよく分からないIT用語の意味を問われる問題がよく出題されるが、これらは何周も問題を解くことによって「そういう技術で使われてるのね」という表面的な感覚で用語の意味を覚えていった。そして、ちょっと気になったIT用語があれば、軽くググって詳細に技術を見た(なおすぐに忘れた)。

 

 7. 午後 Ⅰ

7.1 書籍

 本試験の全体的な学習イメージを持つために、書籍を流し読むことから始めた。今回、自身が活用・推奨する書籍を以下に示す。

 ・情報処理安全確保支援士 2021版 ※情報セキュリティの3要素を答えられるか?と言われた際、さっと出てこなければ本書に目を通す。自身はそういった知識に興味がないのでここで初めて知った。知識を補充する観点で使用。当然、上記の知識問題は過去問(午後)で問われたこともある。

ネスペの基礎力 ※ネスペ向きの本だが、安全確保支援士にも使える用語が出てくるので補助的に活用出来る。図的に解説されているため頭に入ってきやすい。しかし、IP電話(IP-PBX)などのマニアックな技術は本試験では問われないので学習外。セキュリティに関する話(IPS,IDS、IEEE802.1Xなど)も本書に盛り込まれているため、勉強にはなる。

マスタリングTCP/IP 入門編 ※本試験は情報セキュリティに関する試験ながらも、DMZ、FW、ARPIPアドレスがどうこうのといった問題文が必ず午後試験に出現する。これらに慣れ親しんでいない場合は、本書を活用してネットワークに関する知識を補填すると良い。自身はネットワークに関する研究を学生時代に行っていたため不使用だが、評価の高い書籍であるため推奨本として紹介した。

 

7.2 試験対策

f:id:umauma2011:20210620082823p:plain

 まずは、IPAの過去問題サイトからH27春からR1秋までの10回分のすべての過去問(問1~問3)を4周した。学習期間は1月下旬~3月中旬まで。その上で、一通り理解した頃の4月上旬より、模擬問題としてR2秋の過去問を取り組んだ。以下、1周目から4周目までの立ち回りを具体的に示す。

 (1周目)

 1日1問をペースに、じっくり問題文を読み出題内容を理解した上で解答する。従って3日で1回分が終わる(問1~問3)。正解率は平均4~6割だが、自分に合わない形式の問題の正答率は2~3割の場合もあった。

 (2周目)

 1日2問をペースに、問題文をさらっと読んだ上で解答する。1周目で問題文をじっくり読んでいるので内容はうっすらと覚えているため。しかし、1周目で取り組んだ問題文や解答文は忘れている部分もある。それを2週目で補完する。正解率は平均4~6割で1周目とほぼ変わらなかった。

 (3周目)

 1日3問をペースに、解答文だけ読んで解答する。問題文はほぼ頭に入っているが、忘れている部分があれば問題文と照らし合わせて再度読み直す。1周目と2週目で出来なかった問題が「あ~はいはいそれね」という感じで処理できるようになってくる。しかし、忘れている部分もあるため補完する。正解率は平均6~8割。

(4周目)

 3周目と同じスタイルで取り組む。この辺から段々飽きてくる。解答を覚えるあまり、問題文を考慮しない解答が目立ち、不正解となる解答が出てくる。記述問題などまだ忘れている問題がある場合は徹底的に頭に叩き込む。再度復習し、総仕上げする。正解率は平均8~9割。

 

 4周目で解けない問題は、例えば「ソルトを使用する目的」「セクタ単位で見る理由」など自分の経験・業務知識と関係なく、興味のないものが該当した。また、認証局など暗号化技術の問題は不得意とした。さらに、平成30年度秋の問1のようなソフトウェア開発に関するメモリ関連の問題は勘弁してほしかった。このような問題は用語だけ覚え、仮に実試験で出題される場合は捨てる判断を決意した。

 自身の不得意な問題はノートにまとめ、いつでも見られるように活用した。これは午後Ⅱでも同様であり、忘れた頃に見返すことによって記憶を取り戻すことが出来た。

 

 7.3 試験解答採点&結果振返り

 自身は比較的問題文が読みやすく、解答がしやすそうな問2と問3を選択した。解答用紙と解答例を照合し、採点結果は以下の通り。部分点や誤答しているものは赤く表示させている。予想配点はTACかiTECの解答速報を参考にしている。

f:id:umauma2011:20210625212020p:plain


<個人所感>

・当日は午後Ⅰに関しては時間をフルに活用したが、時間が足らないことはなく第三者的に見た難易度は標準的と感じた。

DNSリフレクション、DNSSECの単語群は過去問からも頻出のワードのため正解して当然のものだった。特に、DNSリフレクションは当日の午前Ⅱ試験でも問題文に登場していた。また、送信元ポート番号を動的に変更する問は、午前Ⅱ過去問の問題文で書かれていたものを午後Ⅰにもってきて記述式にしたものである。

・自身のまとめたノートにDNSレコードをしっかりおさえており本番的中したものの、知識が乏しく結局ミスしてしまったのは勿体なかった。

・選択肢から選ぶ問題はシビアで判断に迷い、誤答が目立った。拾える簡単な箇所は正解できたので正答率は6割を超えた。

・記述問題は要所を抑えことができ、正解または部分点を得られていることが伺える。

・自身が選択しなかった問1は、午前Ⅱ過去問でよく出現した「OAuth」がついに大問として問われ、地雷臭がしたためパスした。

 

8. 午後 Ⅱ

8.1 試験対策

f:id:umauma2011:20210620082926p:plain

  IPAの過去問題サイトからH27春からR1秋までの10回分のすべての過去問(問1~問2)を3周した。学習期間は1月下旬~3月中旬まで。その上で、一通り理解した頃の4月上旬より、模擬問題としてR2秋の過去問を取り組んだ。1周目から3周目までの立ち回りは午後Ⅰと同程度なので省略。

 午後Ⅰとの違いは、問題文が長いため1問解いたら飽きることである。問題に慣れて解答が自然に導き出せるようになるまでじっくり向き合うまでが試練。自分に合わない問題は問題だけなんとかなく解きつつも、用語だけ覚え、仮に実試験で出題される場合は捨てる判断を決意した。午後Ⅰで紹介したノートを活用しながら、穴を埋めていく方針。

8.2 試験解答採点&結果振返り

 自身は比較的問題文が読みやすく、解答がしやすそうな問1を選択した。解答用紙と解答例を照合し、採点結果は以下の通り。部分点や誤答しているものは赤く表示させている。予想配点はTACかiTECの解答速報を参考にしている。

f:id:umauma2011:20210625212230p:plain

 <個人所感>

・当日は午後Ⅱに関しては予定より早く終わり途中退出した。第三者的に見た難易度は、やや易しめと感じた。

・パスワードリスト攻撃の意味は過去問から何度か登場していたワードのため、正解して当然のものだった。

タイムゾーンは午後Ⅰの過去問で1度だけ登場したと記憶しており、演習で何周もしたが誤答が続いた単語で、本番でも結局思い出せなかったのは残念だった。

・今回の午後Ⅱ問題文の中で「ソルト」という単語が出現した。過去問でソルトについて記述式で問われおり、しっかりとノートに要所を抑えられていたため、意味を理解しやすかった。

・細かい箇所を落としてしまったが、記述問題は要所を抑えことができ、正解または部分点を得られていることが伺える。

・まさか問題で時差が問われるとは思わなかったが、一般常識がなくてもこのように趣味をガチっていれば解ける問題もあった。↓

 

9. 試験結果

 謎すぎて何かを通り越し、反省ができない。選択問題の○は試験中、3~4回確認し、間違いがないこと、提出前に再度確認して問題ないことを確認している。自己採点にて午後Ⅰは厳し目に採点しているつもりでも50点以上は明らかである。選択問題の○付け間違えたとしても判定は覆らないが、自己採点で合格点を取得しているため、水準を満たしていると考えることとする。

f:id:umauma2011:20210625212449p:plain

10. 小ネタ

 ・今回の午後Ⅱ問題で「企画部の部員がサービスRに開設したチャットエリアにおいて、模造サングラス販売の不正サイトに誘導するチャットが、部員のVさんのアカウントから連続して書き込まれた。」という記載があり、まさに以下のような光景が容易に想像できた。

f:id:umauma2011:20210425164715j:plain

模造サングラス販売の不正サイト(直球)

  ・情報処理安全確保支援士試験の世界では、たびたび企業が脆弱性を突かれる、あるいは攻撃者から侵入を受けてPCやサーバがマルウェアに感染し、社内情報が外部に送信されるという事態が起こる。そして、社内の情報セキュリティポリシがガバガバで対応を先送りにして問題になったり、報告が遅れたりして関係社に叱責されるという事態が稀によくある。そこで、情報処理安全確保士が召喚され、社内の問題点を洗い出し改善に努めていき、最終的に社内の担当者がトップ層へ報告し、ダメ出しを受けつつも改善策について了承をもらうという感動のストーリーがよく展開される。

 ・情報処理安全確保支援士試験の世界では、セキュリティの強化策としてFW設定の見直し、情報セキュリティポリシの見直し、サーバの管理者アカウントの運用の見直しなどの無難な改善策が挙がり、これらについての問題を問われてホッと一段落するかと思いきや、突然L君などが「認証技術を利用した対策を講じることとした」と言い出し、一般的な受験者が苦手意識を持つ、クライアント証明書や鍵交換技術の話題を引っ張ってきてガッカリ感が否めない展開になることがある。

 

 

11. まとめ

 今回は情報処理安全確保支援士試験の学習実績と試験結果の振返りを行い、全体的な所感を述べた。

 ネスペ(不)→プロマネ(不)→安全確保支援士という順序で修羅場を乗り越えてきたからこそ、全体的に視野が広い状態で試験に臨めた部分はあった。例えばネスペではよく直面する、訳わからない初見の技術や問題が出ても必死に食いついて、何とか解答を導き出そうとする姿勢・メンタルはネスペでよく身についていた。

 安全確保支援士試験はネスペに近いようで、多少性質が異なる問題も見受けられた。難しい用語や穴埋めはネスペの場合、全て手書きで解答を求められる場合が多いが、安全確保支援士試験では選択肢を提示されるので敷居は低いように感じた。ちなみに、仮にネスペに選択肢があっても「該当するものを全て選べ」という問題が近年よく見られる。あれはまじでやめてほしい。

 また、IPAの解答例を見ていると、ネスペでは詳細な技術まで理解した上での解答を求められるが、安全確保支援士試験では表面的な知識だけでも正答となる解答例が多く、そこまでの深いIT知識は求められていないと感じた(例 : 変更する、遮断する、設定するで事がつく)。

 最後に、高度情報処理試験は運の要素が強い。難易度どうこうよりも、結局自分の得意分野や取組みやすい問題文、解答の仕方によって向き不向きが年度によって違ってくると考えている。今回紹介した学習例を実践したとしても、不合格となったのが高度試験である。逆に全然勉強してなくても合格する場合がある。

 結局は合格不合格に一喜一憂せず、継続的な研鑽が重要であると認識している。

プライバシーポリシー
【アクセス解析ツールについて】
当サイトでは、Googleによるアクセス解析ツール「Googleアナリティクス」を利用しています。
このGoogleアナリティクスは、トラフィックデータの収集のためにCookieを使用しています。このトラフィックデータは匿名で収集されており、個人を特定するものではありません。この機能はCookieを無効にすることで収集を拒否することが出来ますので、お使いのブラウザの設定をご確認ください。この規約に関して、詳しくはここをクリックしてください。

【広告の配信について】
当サイトは、第三者の広告サービス「Google Adsense」を利用しています。
広告配信事業者は、ユーザの興味に応じた広告を表示するためにCookieを使用することがあります。Cookieを無効にする設定およびGoogleアドセンスに関する詳細は、「広告–ポリシーと規約– Google」を御覧ください。