運良く、2018年春の情報処理安全確保支援士試験に一発合格することができた。
対して目新しい学習方法を実践したわけではないが、予想していたより効果的に学習できていたようなので覚書がてら記しておきたい。
受験結果
・午後1試験:免除(応用情報受かってた)
・午前2試験:96点
・午後1試験:77点
・午後2試験:91点
特に午前2と午後2で高得点を取ることができた。
自分で思っていた点数よりかなり高く、心配していたほど採点は厳しくなかったという所感。
繰り返し解いた過去問演習の成果が出た。
受験動機
セキュリティへの興味を押さえきれなかったから…
というのは冗談で、会社で取得を推奨されていたというのと、秋に受験を考えているネットワークスペシャリストと関係の深い分野という意識で臨んだ部分が大きい。
受験者のスペック
保有資格:基本情報技術者、応用情報技術者、CCNA
※あまり関係ないと思うが一応AWSのソリューションアーキテクトも。
業務経験的にはネットワークを少々(1~2年ほど)かじった程度。
ネットワークはジャンル的にセキュリティと関係が深いというし、応用情報も持っていることから全くの試験初心者というわけではなかった。
とはいえ、ネットワークに関わらないセキュリティ分野はからきしといった感じ。
セキュアプログラミングやサーバサイドのセキュリティ、監査とかはさっぱりわからない状態からのスタートだった。
勉強期間
4月末から対策をはじめたため2ヶ月弱といったところ。
といっても平日はあまり時間が取れず、勉強できて1時間くらい。勉強できない日もざらにあった。
基本的には土日に頑張る必要があり、休日は1日4〜5時間くらいは勉強していた。
勉強方法、使用した教材
午前2試験は安定の情報処理安全確保支援士ドットコム。
それ以外は使用していない。
午前2試験の対策は、情報処理安全確保支援士ドットコムを周回するだけ。
本当にこれだけだが、結果を見る限り自分でも思ったより効果が出ていたようだ。
有名な話だが午前問題は過去問からの出題率がかなり高く、過去問の周回がかなり威力を発揮する。
午前2試験は問題数も多くないため一周が結構サクッと終わるので、ここはぜひ押さえておきたい。
応用情報を受けた時の記憶が若干残っていたのと、各問題には簡単な解説も用意されていることから、かなりスムーズに学習を進めることができた。
余談だが僕の場合は、平日仕事で帰りが遅くなりあまり時間が取れなかった時を中心にこの午前2の対策を細切れに実施していた。
山場である午後1と午後2試験用には、以下の諸々を使用。
知識補填用の教材
主に暗号技術と証明書関連の知識補填に使用。
本質的な理解を助けてくれる良著だと思う。
そもそも文体が内容に興味をそそるよう上手く書かれており、テーマ上どうしても難解になる技術的な仕組みも、最大限わかりやすく解説されている。
試験対策を抜きにしても、お気に入りの一冊だ。
過去問を解いていく中で、時折HTTPのヘッダとかWEB系の通信内容を読み解く系の出題があることに気が付いた。が、あまりにも知識がなかったため一読してみた。
関係ないところは読み飛ばしながらサクッと読了したが最低限の知識は付けることができたと思う。
試験対策用の教材
個人的に最も難関だと認識していたのは午後1試験だ。
というのも、午後1試験は3問中2問を解答するのだが、例年うち1問はセキュアプログラミングに関わる問題が出題されるのが恒例のパターンだ。
セキュアプログラミングをやったことがない僕は必然的に残された2問を選択することになるため、1問でも壊滅したらその時点で不合格が確定してしまう。
ということで、浅く広く知識の収集を意識しながらこちらの教材を読んでいくことに。
非常に分厚い。
ある程度知識のあるネットワーク関連のところはサクッと読み飛ばし、全く知らない分野は読み込むと時間がかかってしまうのでなおさら読み飛ばした。
細かいところまで覚えようとせず、なんとなくキーワードと概念が頭の片隅に入った状態で過去問演習へシフト。
過去問は以下の教材を使用。
同シリーズを過去5冊分くらい買った。
ご存知の方も多いと思うが、情報処理試験の過去問題と解答はIPAの公式サイトで公開されているため無料で入手できる。
ただ問題の解説は掲載されていないため、学習用に詳しい問題解説を望むのであれば別の方法で入手することができる。
僕が購入した過去問の教材は、各1冊に1回分の試験範囲の問題と解答、詳しい解説が掲載されているものだ。
せっかくお金を出した買ったんだからというMOTTAINAI精神が働き、この教材の一番の価値である問題と解答解説をできる限り読み込もうという意識が働いた。
解説を読んでいて理解できなかったり知識に不安があった場合は前述の分厚いテキストに戻り解説を読む、ということを繰り返しながら知識の補充と問題慣れを進めていった。
多くの受験経験者がいうが、過去問演習は絶大な威力があり、試験に必要な知識を補填してくれることはもちろん、この試験ならではの解答方法に徐々に慣れていくことができる。
実際に過去問を解いてみるとわかると思うのだが、問われていることに対して全く何も答えられないというケースは意外と少なかったりする。
知識問題で答えようがない場合仕方ないのだが、少し粘って間違えた記述問題は大抵の場合、
・方向性は合っているが具体的でない
・逆に詳しく書きすぎている
・より優先される(ふさわしい)観点がある
などが多く、他にも色々あるがとにかく記述問題を多くこなすことで解答の粒度というか精度が徐々に向上していく。
このように書くと試験テクニック中心の学習のようにも思えるが、最大限ポジティブに解釈すると、試験で問われていることに正確に解答する観点というのは実業務でもきっと重宝すべきなのだ(と信じている)。
とはいえ試験に特化してポイントを押さえた解答テクニックは確かにあるので、手っ取り早くそれを取得したい場合は以下の教材が定番。
こちらを試験2週間くらい前から駆け込みで読んでみたが、後ろの方に載っている速攻サプリに過去出題された記述問題の設問と解答がまとめて記載されており、非常に重宝した。
やっておけばよかったこと
結果的に合格できたからよかったものの、学習内容で不足していたと感じた部分を記しておきたい、
・暗号化アルゴリズムの細かい仕様とか名前とか勉強すればよかった
そんな細かいとこまで出題されないと思ってたら、意外と出ることがある。
合否を左右するような高い配点の問題ではなさそうだが、余裕があってより安全圏での合格を狙うなら覚えておいて損はない。
・脅威となる攻撃の内容
午前の選択問題でよくみる各種攻撃について、手法や影響がどのようなものかという掘り下げた理解が不十分だった。
ブルートフォース攻撃やDDoSなどわかりやすいものはまだ良いのだが、クロスサイトスクリプティングやSQLインジェクションとったテクニカル寄りの攻撃方法は名前とキーワードだけ知っているレベルで中身を全く理解していなかったように思う。
というのも、今回の午後問題で思いっきりクロスサイトスクリプティングに関する問題が出題され、全くわからなかったのだ。
運良く思ったより配点が高くなかったのと、想像で書いたキーワードから一部部分点をもらえたようで深刻なダメージにはならなかったが、メジャーな攻撃手法くらい押さえておけという出題者の意思を感じたのだった。
・トレンド
僕が受験した回では出題がなかったが、トレンドで話題になった要素が出題されることがあるらしい。
僕はよくわからずに見送ったものの、そろそろブロックチェーンに関わる出題があるのではと推測されているようだ。
受けてよかったこと
たまに言われるのだが、セキュリティスペシャリスト時代からこの試験はある程度出題パターンが限られており、シュチュエーションや表現を変えながらも本質的に同じ内容を問う問題が多く出題されてきた。
逆を言えば、過去問を中心に学習を進めることでオーソドックスなパターンやセキュリティ上課題になりやすいケースが自然と頭に入るということだ。
現場でアーキテクチャを検討することがあるが、以前より明確にセキュリティや監査上の観点を気にするようになったと思う。