こんにちは、登録セキスペ ばにゃです。
はじめに、私の情報処理安全確保支援士についての経歴から簡単に紹介します。
- 2018年 (平成30年度春期) 情報処理安全確保支援士試験:不合格
- 2018年 (平成30年度秋期) 情報処理安全確保支援士試験:合格
- 2020年に安全確保支援士の登録申請を実施
- 2023年に安全確保支援士の登録更新を実施
- 2024年現在、現役の登録セキスぺとして活動中
本記事では、2024年 令和6年春期の 情報処理安全確保支援士試験に合格するための試験対策・勉強方法について解説します。
「ほとんど勉強せずに1発合格しました!」なんてカッコいいことは言えませんが、一度失敗した私だからこそお伝えできる、試験に向けての心構えや勉強方法について共有します。
筆者について
情報処理安全確保支援士試験を受験した時点(2018年10月)の筆者のスキルについては以下の通りです。
- セキュリティ製品関連のエンジニアとして7年程度の業務経験あり
- IPA 応用情報技術者試験に合格済
- その他ベンダー系資格をいくつか保有
このように全くのITド素人というわけではありませんでした。
情報処理安全確保支援士試験を受けるかたであれば、IPAの基本情報もしくは応用情報といった資格は保有しており、ある程度業務経験もあるかたが多いと思われますので、受験者としては平均的なスキルだったのではないかと思います。
試験概要
情報処理安全確保支援士 試験とは
情報処理安全確保支援士試験とは、IPA 独立行政法人 情報処理推進機構 により実施される、「ITの安全・安心を支えるセキュリティの番人」たる能力があるかを確認するための試験です。
サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。
引用元:https://www.jitec.ipa.go.jp/1_11seido/sc.html
詳しくは、IPA 独立行政法人 情報処理推進機構 の以下サイトを確認してください。
難易度
やや難しい
IPA高度試験
IPA独立行政法人情報処理推進機構が実施する試験の中でも、高度試験 に位置するものであるため、難易度としては やや難しい 部類に入ると思われます。
近年の合格率は、おおむね 20% 前後を推移しています。
試験区分 | R5.秋 | R5.春 | R4.秋 | R4.春 | R3.秋 | R3.春 | R2.10月 | R1.秋 | H31.春 | H30.秋 | H30.春 |
---|---|---|---|---|---|---|---|---|---|---|---|
情報処理安全確保支援士 | 21.9 % | 19.7 % | 21.1 % | 19.2 % | 20.1 % | 21.2 % | 19.4 % | 19.4 % | 18.9 % | 18.5 % | 16.9 % |
ITサービスマネージャ | - | 15.2 % | - | 14.8 % | - | 15.0 % | - | 14.7 % | - | 14.3 % | - |
システムアーキテクト | - | 15.8 % | - | 15.0 % | - | 16.5 % | - | 15.3 % | - | 12.6 % | - |
ITストラテジスト | - | 15.5 % | - | 14.8 % | - | 15.3 % | - | 15.4 % | - | 14.3 % | - |
ネットワークスペシャリスト | - | 14.3 % | - | 17.4 % | - | 12.8 % | - | 14..4 % | - | 15.4 % | - |
システム監査技術者 | 16.4 % | - | 15.9 % | - | 16.0 % | - | 15.3 % | - | 14.6 % | - | 14.4 % |
エンベデッドシステムスペシャリスト | 16.6 % | - | 19.7 % | - | 18.3 % | - | 16.4 % | - | 16.0 % | - | 17.8 % |
データベーススペシャリスト | 18.5 % | - | 17.6 % | - | 17.1 % | - | 15.8 % | - | 14.4 % | - | 13.9% |
プロジェクトマネージャ | 13.5 % | - | 14.1 % | - | 14.4 % | - | 15.1 % | - | 14.1 % | - | 13.2 % |
試験形式
区分 | 試験時間 | 出題形式 | 出題数 | 合格基準 | 免除申請 |
---|---|---|---|---|---|
午前I | 40分(9:30~10:20) | 選択式 | 30問 | 60%以上 | 可 |
午前II | 50分(10:50~11:30) | 選択式 | 25問 | 60%以上 | 不可 |
午後 | 150分(12:30~15:00) | 記述式 | 4問から2問を選択 | 60%以上 | 不可 |
参考までに、令和5年度春期試験までは以下のような構成でした。
区分 | 試験時間 | 出題形式 | 出題数 | 合格基準 | 免除申請 |
---|---|---|---|---|---|
午前I | 40分(9:30~10:20) | 選択式 | 30問 | 60%以上 | 可 |
午前II | 50分(10:50~11:30) | 選択式 | 25問 | 60%以上 | 不可 |
午後I | 90分(12:30~14:00) | 記述式 | 3問から2問を選択 | 60%以上 | 不可 |
午後II | 120分(14:30~16:30) | 記述式 | 2問から1問を選択 | 60%以上 | 不可 |
2020年度はコロナの影響で年1回しか受験タイミングがありませんでしたが、基本的には年に2回、春期(4月第3日曜日)と秋期(10月第3日曜日)が試験日となっています。
受験手数料は2021年7月1日時点では 5,700円 となっております。
出題範囲
午前 I
午前 I の出題範囲は、応用情報技術者試験の午前問題と同様となります。
基本的に同時期に実施される応用情報技術者試験の午前問題の中から30問が選定され出題されます。
大きく分けて3分野から出題されることになり、それぞれの出題数は以下のとおりです。
- テクノロジ系:17問
- マネジメント系:5問
- ストラテジ系:8問
午前 II
午前 II の出題範囲は、午前 I の出題範囲の中からさらにしぼられた、以下となります。
- データベース
- ネットワーク
- セキュリティ
- システム開発技術
- ソフトウェア開発技術
- サービスマネジメント
- システム監査
午前 I、午前 II の出題範囲の詳細を下表にまとめましたので参考にしてみてください。
◯:出題範囲、◎:重点出題範囲
分野 | 大分類 | 中分類 | 午前 I 出題範囲 | 午前 II 出題範囲 |
---|---|---|---|---|
テクノロジ系 | 基礎理論 | 基礎理論 | ◯ | |
アルゴリズムとプログラミング | ◯ | |||
コンピュータシステム | コンピュータ構成要素 | ◯ | ||
システム構成要素 | ◯ | |||
ソフトウェア | ◯ | |||
ハードウェア | ◯ | |||
技術要素 | ヒューマンインターフェース | ◯ | ||
マルチメディア | ◯ | |||
データベース | ◯ | ◯ | ||
ネットワーク | ◯ | ◎ | ||
セキュリティ | ◯ | ◎ | ||
開発技術 | システム開発技術 | ◯ | ◯ | |
ソフトウェア開発技術 | ◯ | ◯ | ||
マネジメント系 | プロジェクトマネジメント | プロジェクトマネジメント | ◯ | |
サービスマネジメント | サービスマネジメント | ◯ | ◯ | |
システム監査 | ◯ | ◯ | ||
ストラテジ系 | システム戦略 | システム戦略 | ◯ | |
システム企画 | ◯ | |||
経営戦略 | 経営戦略マネジメント | ◯ | ||
技術戦略マネジメント | ◯ | |||
ビジネスインダストリ | ◯ | |||
企業と法務 | 企業活動 | ◯ | ||
法務 | ◯ |
午後
午後 の出題範囲は以下の通りです。
- 情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること
- 情報セキュリティの運用に関すること
- 情報セキュリティ技術に関すること
- 開発の管理に関すること
- 情報セキュリティ関連の法的要求事項などに関すること
試験免除制度
その条件とは、過去2年以内に以下のいずれか1つをクリアすることです。
- 応用情報技術者試験に合格していること
- 情報処理技術者試験の高度試験に合格していること
- 情報処理技術者試験の高度試験 午前I、もしくは情報処理安全確保支援士試験 午前I が合格基準点数(60点)に達していること
午前I試験は範囲が広いため、可能であれば免除にしたうえで試験を実施することをおすすめします。
現時点で免除条件をクリアしておらず、実際に試験勉強を始めてみて午後の問題が難しいとと感じた方は、初回の受験では免除条件をクリアすることを目標にする、次回の受験で午前Iを免除にしたうえで試験合格を目指す、という選択肢もありです。
免除条件についての詳細はIPAの以下サイトも確認してください。
午前/午後 共通対策(基礎知識習得)
参考書とUdemyの活用
情報処理安全確保試験は幅広い範囲から問題が出題されるため、まずは情報セキュリティに対する幅広い基礎知識を身につけることが大切です。
おすすめ テキスト 参考書 問題集
まずは情報処理安全確保支援士のメジャーな参考書情報を比較できるように以下にまとめました。
表紙 | ||||
タイトル | (2024年版) 情報処理安全確保支援士 「専門知識+午後問題」の 重点対策 | (2024年版) ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 | (2024年度版) うかる! 情報処理安全確保支援士 | (2024年度版) 情報処理安全確保支援士 合格教本 |
ページ数 | 850ページ | 660ページ | 808ページ | 800ページ |
発売日 | 2023/11/2 | 2023/8/24 | 2023/11/20 | 2023/11/24 |
出版社 | アイテック | TAC出版 | 翔泳社 | 技術評論社 |
価格 | 4,070円 (単行本) 3,989円 (Kindle) | 3,080円 (単行本) 2,900円 (Kindle) | 3,278円 (単行本) 2,950円 (Kindle) | 3,168円 (単行本) 3,105円 (Kindle) |
詳細 | 詳細を確認 | 詳細を確認 | 詳細を確認 | 詳細を確認 |
いずれも amazon公式サイトより数ページのサンプルが確認できるので、事前にどういった内容かを確認しておくとよいでしょう。
基本的にどれもおすすめできる内容ですが、私の分かる範囲で概要を記載しておきます。
情報処理安全確保支援士
「専門知識+午後問題」の重点対策
この参考書は私が実際に試験勉強時に購入して使用した参考書です。
私は2回目の受験で多少の基礎知識があり午後対策に重点を置きたかったという理由からこちらを選択しました。
この参考書については詳細なレビューを後述します。
ALL IN ONE
パーフェクトマスター
情報処理安全確保支援士
午前も含めて全体を通してしっかりと知識を身に着けたい、読みやすい参考書が欲しいと場合は「ALL IN ONE パーフェクトマスター 情報処理安全確保支援士」がおすすめです。
資格・教育系のTACが出版しているだけあって、まだ知識の浅い初心者にも分かりやすく説明がされており、少しずつ知識を身に着けていくことが実感できるような内容です。
あとこれは完全に私の好みの問題ですが、文章がゴシック体メインで読みやすい(他の参考書は明朝体メインで難しそうに見える)ことも一押しポイントです。
他の参考書を見て「あまりにも内容が難解すぎて勉強のやる気が起きない!」と感じたことがある人には、この参考書をおすすめします。
うかる!
情報処理安全確保支援士
参考書が多少分厚くとも、内容が多少難しくとも、挫折せずにしっかり最後まで読み切れる、また多くの受験者に購入されている参考書が欲しいという場合は「うかる!情報処理安全確保支援士」をおすすめします。
私はこの参考書の圧倒的な分厚さ&ズッシリとした重量感に心を打ち砕かれて購入できませんでしたが、実際に試験を受けている方の情報を見ているとこの参考書を使用されている方がとても多く、内容に間違いはないはずです。
ちなみにこの参考書の分厚さですが、ハサミで半分にぶった切って2冊にして使用している強者もいるほどです。
気になる方はこちらの方のQiita記事もご覧になってください。
情報処理安全確保支援士「専門知識+午後問題」の重点対策
以下は実際に私が試験勉強の際に使用していたものです。
簡単に上記参考書の概要を説明すると、以下のような3部構成で 約600ページ あります。
- 第1部:本書の使い方 (約80ページ)
1. 試験概要、出題範囲、著者の推奨する勉強方法 等 - 第2部:午前問題のテーマ別対策と必要知識 (約50ページ)
1. 情報セキュリティの概念
2. 情報セキュリティマネジメント
3. セキュリティ関連規格
4. 脅威
5. 暗号化
6. ハッシュ関数
7. ディジタル署名
8. 無線LAN
9. 暗記事項 - 第3部:午後問題のテーマ別対策と必要知識 (約470ページ)
1. 認証とアクセスコントロール
2. PKI
3. 時刻認証
4. VPN
5. ファイアウォール・IDS・IPS・UTM
6. サーバセキュリティ
7. 電子メールのセキュリティ
8. ICカード
9.セキュアプログラミング
10. 物理的セキュリティ対策
11. ログ
12. インシデント対策
13. リモートアクセス環境
※第3部は各章ごとに演習問題付き
午前対策に約50ページ、午後対策に約470ページ、といった割合となっております。
私の場合、全くの知識ゼロから勉強を始めたわけではない、後述するUdemyの動画で基礎知識の学習を行ったということもあるため、比較的午後問題に重点がおかれているこの参考書がぴったりとはまりました。
もちろんこの1冊だけ読めば絶対合格できるというわけではありませんが、私が合格できたのはこの参考書による部分が非常に大きいです。
Udemyを利用した動画学習
動画による学習に苦手意識がないかたであれば、Udemyの以下コースを受講することをおすすめします。
私も実際に受講したうえでのおすすめです。
簡単に上記コースの概要を説明すると、以下のような構成となっています。
合計で7時間程度を想定したコースとなっています。
- はじめに (17分)
- 情報セキュリティの基礎知識 (44分)
- 情報セキュリティ管理 (1時間5分)
- 情報セキュリティに関する技術 (1時間14分)
- サイバー攻撃手法 (49分)
- 情報セキュリティ対策 (1時間)
- 情報セキュリティに関する法律・標準 (37分)
- 組織と経営・マネジメント (28分)
- ITの基礎知識 (38分)
- おわりに (6分)
※各セクションごとに小テストあり
特にサイバー攻撃手法の章で解説されている以下の内容については、情報処理安全確保支援士試験でも頻出される内容のため、非常に参考になりました。
- Webサイトに関する攻撃①
クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
ディレクトリトラバーサル - Webサイトに関する攻撃②
SQLインジェクション
バッファオーバーフロー攻撃 - 接続に関する攻撃
セッションハイジャック
踏み台
DNSキャッシュポイズニング - その他の攻撃①
ソーシャルエンジニアリング
パスワードに関する攻撃 - その他の攻撃②
DoS攻撃 - その他の攻撃③
標的型攻撃
Udemyのセールについては以下の記事でまとめていますので、こちらも参考にしてみてください。
- 動画で学ぶならUdemy
- Udemyなら 30日間 返金保証あり
- 情報セキュリティの基礎固めに最適なコースはこちら
Udemyは学習期間の制限なし!スマホアプリからも視聴可能!
試験までのスケジュール
勉強スケジュール
最低でも1ヶ月半程度の試験勉強期間を想定して、試験本番までのスケジュールを考えておきましょう。
(試験まで残り45日)
IPA公式サイトで午後の過去問を確認します。
IPA 独立行政法人 情報処理推進機構「過去問題」
問題をざっと確認するだけで実際に解く必要はありません。この時点で明らかに自分のレベルでは午後の合格が難しいと感じるのであれば午後試験は捨てて午前のみ通過を目指し、午前試験免除条件を取るという方針に変更しましょう。
利用する参考書の準備、Udemyの動画学習準備を行います。
必要に応じて参考書の注文、Udemy動画学習の注文を行います。少なくとも参考書は早めに注文して、試験勉強を始める最低限の準備を整えましょう。
(試験まで残り約42日)
午前対策
午前対策として過去問を解いていきます。試験1週間前には過去5年(計10回)分の過去問を解き終えるつもりでスケジュールを立ててとりかかりましょう。
午後対策
参考書やUdemyを読む/見ることをはじまます。すべてを理解できていなくてもよいので試験2週間前には一通り終わるようにスケジュールを立ててとりかかりましょう。
(試験まで残り約30日)
午前対策
試験勉強(前半)と同様に、スケジュールをたてて過去問にとりかかりましょう。
午後対策
午後試験の過去問や例題をまずは 1 問解いてみます。この段階ではあまり時間は気にせずに、まずは1問、しっかりと問題文を読んでやりきることを意識してみてください。解く対象のテーマは、この時点で一番自分が理解できているテーマにしましょう。
(試験まで残り約18日)
午前対策
試験勉強(前半)と同様です。
午後対策
午後試験の過去問や例題をさらに 2 問解きます。実際の試験時間と同様の制限時間で解いて、試験の感覚を掴むようにします。解く対象のテーマはなんでもよいですが、比較的出題率の高いもしくは自分の理解できるテーマから取り組むとよいでしょう。
(試験まで残り約1週間)
午前対策
この時点で過去5年(計10回)分程度の過去問がとき終わっていればほぼ問題ありません。午後対策に時間をさくようにしましょう。
午後対策
実際の試験形式にあわせて、午後の過去問や例題をさらにもう2問解きます。ここまでに解いていないテーマを対象にしてやってみましょう。
その後は時間と気力の許す限り午後の過去問や例題をこなせるとよいですが、全範囲の問題を解くのは正直つらいと思うので出題率の高い分野から可能な範囲でこなしていきましょう。
事前準備する必要があるものを確認します。
- 受験票
- 受験票にはる顔写真
- 筆記用具
※シャープペンシル、鉛筆、消しゴム、鉛筆削り 等 - 時計
試験会場によっては時計がない場合があるため必ず時計を準備しておきましょう。試験用に100均の時計を使用している場合は電池切れに注意です。
午前 I 試験の対策 / 勉強法
過去問対策
午前I試験は過去問を解いて対策を行うことが大切です。
午前II試験の過去問対策と同様の考え方となるため、次に記載する午前II試験の過去問対策を参照してください。
午前 II 試験の対策 / 勉強法
過去問対策
対策としては「過去問を解く」が正解なのですが、それだけだと何の参考にもならないため、ここでは私が取り組んだ方法を紹介します。
- 過去問を解く
- 問題文中の不明な用語はそのつど参考書/ネットで調べる
- 1.で同じ回の過去問をもう1度解く
- 1~4を直近5年分(10回分)の過去問に対して行う
以下サイトを利用して過去問1回分を解きます。
※午前II試験は直近2回分と同じ問題は出題されにくいといった傾向があります。
問題文中の不明な用語についてはそのつど参考書で確認します。
ネットで調べるよりもまずは自分の持っている参考書で調べてみてください。参考書に記載されている関連情報も合わせて確認し 不明な用語という点ではなく周辺の情報も含めた線 として覚えるように意識します。
1回目で解いたものと同じ過去問を時間をあけずにもう1度解きます。
時間をあけずに解くと問題/解答を覚えているため正解してしまうということもありますが、それで問題ありません。午前問題は問題/解答内容が全く同じものが5割程度出題されるため、問題と解答を覚えてしまっているという事は悪いことではありません。
STEP1~3の流れを、過去5年分(10回分)の過去問に対して繰り返し、基本的な知識を定着させます。
参考:過去問の出題率
実際にどれくらい過去問が出題されているのか、過去の午前IIの出題状況から確認してみました。
ただし直近の数回を見ると以前よりも過去問からの出題割合が減少傾向にあります。
ざっくり5割弱程度が過去問からの出題で、5割強は新規出題と考えておきましょう。
また直近2回分の試験と同じ問題は出題されないといった傾向もあります。
実施時期 | 過去問出題数 | 新規出題数 | 過去問出題率 |
---|---|---|---|
17 回分合計 | 220 | 205 | 51.8% |
令和5年 秋期 | 11 | 14 | 44 % |
令和5年 春期 | 12 | 13 | 48% |
令和4年 秋期 | 8 | 17 | 32 % |
令和4年 春期 | 15 | 10 | 60 % |
令和3年 秋期 | 11 | 14 | 44 % |
令和3年 春期 | 11 | 14 | 44 % |
令和2年 10月 | 14 | 11 | 56 % |
令和元年 秋期 | 14 | 11 | 56 % |
平成31年 春期 | 13 | 12 | 52 % |
平成30年 秋期 | 13 | 12 | 52 % |
平成30年 春期 | 13 | 12 | 52 % |
平成29年 秋期 | 16 | 9 | 64 % |
平成29年 春期 | 15 | 10 | 60 % |
平成28年 秋季 | 15 | 10 | 60 % |
平成28年 春期 | 12 | 13 | 48 % |
平成27年 秋期 | 13 | 12 | 52 % |
平成27年 春期 | 14 | 11 | 56 % |
午後試験の対策 / 勉強法
出題形式 / 問題の確認
はじめに以下サイトにて午後試験の問題を確認しましょう。
これを行う目的は以下の通りです。
- 最終目標がどういったものであるかを自分の中で明確にしておくため
- 問題文が非常に長いということを早めに理解しておくため
- 午後問題を捨てるかどうかの判断をするため
この時点で過去問を解く必要はない(おそらく解けない)ので、あくまで内容を簡単に確認する程度でよいです。
過去問対策
ある程度午前の過去問や午後対策の参考書に取り組み、試験まで3週間程度となる頃には、午後の過去問もしくは参考書に記載されている例題にとりかかります。
試験までに全分野の問題をこなせればベストですが、それが難しい人が大半だと思いますので、以下の考え方で分野を選別しましょう。
※上から順に優先度:高
- 出題率の高い分野
- 自分の興味がある、簡単そうな分野
出題率の高い分野
例えば以下は比較的出題率の高い分野といえます
- 認証関連(SAML認証、Kerberos認証、IDパスワード)
- ファイアウォール、セキュリティ関連
- セキュアプログラミング(SQLインジェクション、XSS)
私の場合、使用していた参考書「情報処理安全確保支援士「専門知識+午後問題」の重点対策」では各分野の出題率や出題傾向が詳細に記載されていたため、効率よく取り組むことができました。
興味がある / 簡単そうな分野
人によって得意分野が異なるため、一概にどこが簡単というのは難しいですが、例えば私の場合は以下の分野は比較的わかりやすい分野でした。
- ログ管理
- インシデント対応
上記分野は、深い専門知識よりも問題文の意図を読み取る「日本語力」があればある程度解けてしまう問題が多いためです。
まとめ
勉強方法は人それぞれ、何が正しくて何が間違っている、ということもないと思います。
私のような気合を入れすぎない勉強方法だけでなく、色々な方の意見を見ていいとこ取りをし、自分にあう勉強方法を見つけて試験合格を目指してください。
- 動画で学ぶならUdemy
- Udemyなら 30日間 返金保証あり
- 情報セキュリティの基礎固めに最適なコースはこちら
Udemyは学習期間の制限なし!スマホアプリからも視聴可能!
コメント