情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

【新刊】マンガ+図解で基礎がよくわかる 情報セキュリティの教科書

マンガ+図解で基礎がよくわかる 情報セキュリティの教科書マンガ+図解で基礎がよくわかる 情報セキュリティの教科書
左門 至峰
技術評論社
2024-07-08

漫画でわかるセキュリティの本を作ろうと思い、足掛け8年。長かったです・・・。
いい本ができました。
是非読んでください。

秋葉原の書泉ブックタワーさんでは、6/28から先行販売をされているようです。

以下、はじめにより

 書店には多くのセキュリティ関連書籍がありますが、その多くは難解であり、かつ、覚えるべき言葉や技術がたくさんあります。あまり難しい本だと、読んでいて嫌になってしまいます。そこで、セキュリティの初学者の皆さんに、わかりやすく解説するために、マンガを取り入れることにしました。各節の冒頭に8コママンガを入れ、本文中にも挿絵や図解を入れることで、視覚的にイメージをつかんで記憶に定着できるよう工夫しています。
 また、マンガが真面目一辺倒にならないことを意識しました。難しいセキュリティの解説を単にマンガにしただけだと、難しいままです。どうしたら楽しく読んでいただけるかを考え、少し遊び心を入れました。真面目な本書に「オチ」を入れる必要はありません。ですが、肩の力を抜いて気楽に読んでもらえるよう、マンガ家さんと一緒に最後のコマに頭を悩ませました。正直言うと、本編の解説よりも、そちらのほうが頭を使った気がします(笑)。
 (中略)
 本書はセキュリティの基本を学ぶ書籍ですが、情報セキュリティマネジメントや情報処理安全確保支援士などの国家資格を目指す方にも配慮しています。試験のキーワードも一定程度網羅しており、試験対策の副読本としても役立てていただけるでしょう。

漫画を一部紹介します。

こちらはパターンファイルの最新化についてです。

プラス20点の情報処理安全確保支援士対策

01.勉強法と研修

1.情報処理安全確保支援士試験は、難易度が高い国家資格

情報処理安全確保支援士試験は、情報セキュリティに関する国家資格です。情報処理技術者試験の中で一番難易度が高いレベル4に位置づけられます。
この資格試験の合格率は年によって変動はありますが、概ね15%前後という超難関試験です。難易度が高く、情報セキュリティに関しては実務に即した国家資格であるため、非常に高く評価される資格です。

2.情報処理安全確保支援士の資格に合格するための勉強法

情報処理安全確保支援士の資格に合格するためには、どんな勉強方法をすればいいのでしょうか。
情報処理安全確保支援士を目指す剣持成子


合格している人の勉強方法を知りたいです。

ですよね。でも、実は超難関試験であっても、合格している人の勉強方法はとてもオーソドックスです。
合格するためには、主に以下の学習を行います。

  • ①参考書にて、情報セキュリティの基礎的な知識と技術を身につける
  • ②情報処理安全確保支援士試験の過去問をひたすら解く。
  • (③)情報セキュリティの実務および実機操作の経験を積み重ねる

※()をつけているのは優先度がやや下がるからです。
では、詳しく解説します。

3.情報処理安全確保支援士試験の勉強法① 情報セキュリティの基礎学習

(1)参考書による学習

過去問を解く前に、市販の参考書を読んで、情報セキュリティに関する基礎知識の学習をします。

f:id:seeeko:20200818124115j:plain



過去問を先に学習してから、それに応じて基礎を押さえるというやり方ではダメですか?

確かに、全問がマークシートで、合格率が高い試験であれば、その方が効果的かもしれません。しかし、この試験では、そのやり方はお勧めできません。午後の試験は記述式ですから、基礎的な用語を覚えていないと答案が書けません。

また、午後Ⅱ試験の問題文は10ページ近くにもわたるものです。基礎的な知識が不足していると、何が問われているかということさえ理解できません。そんな状態で過去問を解いても、無駄な時間を過ごすだけです。

まずは、情報セキュリティに関する基礎知識をしっかりと身につけてください。暗号、認証、PKI、マルウェア、ディレクトリトラバーサルやSQLインジェクションなどのアプリケーションのセキュリティに至るまで、基本的な用語の学習が必要です。また、参考書を学習するときには、内容をノートにまとめることをお勧めします。読むだけでなく、書くことによって、知識が自分のものになるのです。

ただ、参考書を書き写すだけの勉強は時間の無駄です。思考が伴わないからです。読んだものを頭の中で理解した上で、ポイントを絞ってノートに書くことが大事です。様々な技術を比較したり、その技術が登場した背景などを考えたりしましょう。そうすることで、セキュリティの知識を体系的に整理することができます。

(2)インターネット記事での学習

情報セキュリティの基礎知識をつけるには参考書を買うのが得策です。なぜなら、膨大なキーワードが存在するセキュリティの分野において、出題されるキーワードを限定して解説してくれるからです。

とはいえ、各社ともにテキストの分量に上限があります。(分厚い本は売れないからです)私もそうですが、インターネットには詳細な知識や技術が書かれてあり、それらを読み込むことで、知識を深堀することができます。

(3)セミナーや通信教育による学習

この試験に合格するための効率的な学習という意味では、セミナーや通信教育も有効です。
f:id:seeeko:20200818124123j:plain


セミナーならではの利点ってありますか?

以下は私の情報処理安全確保支援士の資格対策セミナーですが、双方向性を非常に大事にしています。単にテキストを読むだけでは得られない、大きな気付きが得られると思います。
(旧リンク)https://seeeko.com/shienshi/
https://sc.seeeko.com/entry/5650708


私のセミナーを受けていただくメリットをまとめると、以下になります。

  • この試験の対策のポイントや問題文などの読み方など、自己学習ではできない情報を知ることができる「本を読んだ自己学習ではポイントや詳細な技術内容までは学習できない」(私のセミナーを受講いただいた方のアンケート結果より)
  • 情報セキュリティの全体像を把握してもらうため、関連する技術についても説明します。
  • 分からないところはその場で質問ができる(勉強方法や合格のコツなども質問できる)
  • 講師からの生の話を聞けて、モチベーションが上がる
  • 必死に勉強したり、積極的に発言・質問をする参加者の皆さんに刺激を受ける
  • (私のセミナーは双方向性を重視していますので、)システム構成図を描いたり、実機を操作したり、問いかけの答えを考えることで、理解が深まる。

情報処理安全確保支援士の資格対策に限らず、オンラインセミナーをたまに開催していますので、ご都合があえば、是非ともご参加ください。
https://nespe.connpass.com/

(4)午前問題と他科目の学習

参考書の学習が進んできたら、情報処理安全確保支援士試験の午前問題を解きましょう。しかし、単に○か×かという正解の確認だけで終わらせてはいけません。正解となる理由を考えるだけでなく、他の選択肢ではなぜ不正解になるのかについても理解します。とことん掘り下げて理解しましょう。そして、合格ラインの6割ではなく9割以上の点数が取れるまで、何度も学習を繰り返しましょう。

また、情報処理安全確保支援士以外の過去問も解いてみましょう。基本情報技術者や、応用情報技術者のセキュリティ部分の問題演習は、予想以上に勉強になります。特に午後問題では、特定の技術に関する基礎知識が問題文にまとめられています。

4.情報処理安全確保支援士試験の勉強法② 過去問の学習

基礎的な知識が固まったら、情報処理安全確保支援士試験の過去問の演習に入ります。

ただし、問題を読んですぐに答えを見てはいけません。自分で解いてから答えを見ます。それだけではありません。必ず時間を計って、答えをノートに書いてください。

そして、本試験のつもりで、真剣に解いてください。そのためには、落ち着いた静かな場所で勉強する必要があります。電車の中や、テレビを見ながらや、時間が無いときなどに過去問を解くのはお勧めできません。 

f:id:seeeko:20200818124107j:plain



それは分かっていますけど、難しいから嫌になって途中で答えを見てしまいます。

自分がどれだけできないのかを知ることも、大事な勉強です。だから、ノートに自分の答えを書き、自己採点をするのです。合格点の60点以上が取れているか、取れていない場合は何点足りなのかを確認します。そして、合格点に達するにはどのような勉強をすればいいのかを考えるのです。ですから、自分の実力を正確に把握するために、きちんと採点をすることが求められます。他人の答案を読むつもりで採点してください。答案の表現の仕方によって、合格にも不合格にもなります。甘い採点は自分のためになりません。

5.情報処理安全確保支援士試験の勉強法③ セキュリティの実務および実機操作

参考書の学習に実務経験および、実機操作を加えることで、さらに知識の充実が図れます。「百聞は一見にしかず」と言いますが、本当にその通りです。実際に設定を経験してみることで、本質的な理解ができるのです。

f:id:seeeko:20200818124104j:plain



でも、私はセキュリティの業務に携わっていません。

それは多くの皆さんも同じでしょう。ですが、皆さんの自宅のPCやスマホでもセキュリティ対策はしているはずです。

それに、みなさんの学校や会社でもセキュリティ対策はされています。どんな設定がされているのか、どんな装置や仕組みが導入されているのか、実際にマルウェア感染などが起こった場合はどこに連絡するのか、セキュリティポリシーはどうなっているのか、などを興味を持ってください。

また、ハッシュ関数を試してみたり、証明書を見てみるなど、できることはたくさんあります。

自分でやってみることで、理解が深まります。面倒だと思わず、合格のための勉強の一環と考えて積極的に取り組んでください。

過去には、オンラインで実機操作のセミナーも開催しました。どんなことをしたのかも記載していますので、その内容を参考に、皆さんでも試してみてください。
https://nespe.connpass.com/event/171037/

6.プラス20点の勉強法① 間違える原因は何?

では、本題です。勉強を進めても、60点の壁が超えられない、惜しくもあと少しで不合格だった、そんな方もいらっしゃると思います。ここでは、プラス20点を取るために何をすべきかお話します。
実は、間違え方にもいろいろあります。 間違える原因は大きく3つです。

①技術と知識が不足そもそも技術・知識が大幅に不足しているので、答えが分からない

②解答を導き出す能力が不足 問題文や設問の内容は概ね理解できている。
 しかし、出題者が意図した答えが導き出せない

③文章力が不足 正解は概ね分かるが、自分の書いた答案が、解答例と違う

まずは、なぜ間違えたのか。それを明らかにする必要があります。そのためには何をするべきでしょうか。

それは、既に言いましたが、ノートに答えを書くのです。
しかも時間を図って。
そして、過去問を3回繰り返します。
そのノートを見てください。
このノートはあなたにとっての「宝の山」です。
どの理由が原因で間違えたか、きっと明らかになるでしょう。

仮に、2回目では解答の方向性があっていたけど、かけなかった。3回目では答えは分かったけど解答例が違っていた、とします。この状態であれば、①の知識や②の回答を導く力は身に付いています。

あとは③の文章力を鍛えるだけです。この状態であれば、多少答えを覚えていてもいいので、答案練習に特化した時間を取るとといいでしょう。

仮に、3回目も見当違いの答えを書いているようでしたら、①の基礎知識が足りません。過去問を解くより、基礎技術の掘り下げが必要です。

7.プラス20点の勉強法② 具体的な対策

では、先の3つの原因に関して、具体的な対策・勉強法をお伝えします。

【対策1】技術と知識を深く掘り下げて理解する

間違える原因の代表は、「技術と知識が不足」していることです。基礎をしっかり学習してください。加えて、問題文に書かれた知識や技術を本質的に理解することによって、セキュリティの実力がつきます。問題文をただ読んで終わらせてはいけません。一つ一つの文章を、深く理解しながら読むのです。 

【対策2】正答を導くプロセスを理解する

間違える原因の2つ目は、「解答を導き出す能力が不足」していることです。このケースでは、基礎的な知識や経験を持ち合わせているので、過去問をそれほど難しいとは感じないのでしょう。でも、設問の答えが分からないのです。このような人は、解答例を確認すると、「なんだ、そんな単純な答えか」と思うようです。つまり、正答についての知識は持っています。しかし、それを導き出す力が不足しています。こういう場合の基本対策は、正答を導き出すプロセスを理解することです。設問の答えは問題文にちりばめられたヒントから導き出されるのです。ですから、設問で問われている内容を理解し、問題文のヒントを活用して答えを導くことが重要です。

【対策3】答案の書き方を学習する

間違える原因の3つ目は、文章力が不足している場合です。古い資料ですが、以下は情報セキュリティスペシャリスト試験の得点分布です。合否の決め手となる午後Ⅱをみてみましょう。



情報セキュリティスペシャリスト試験を目指す女性SE


合格ラインの60点前後に集中していますね。

これをどう見るかは人によって分かれると思いますが、合格する人と不合格の人は紙一重です。予想配点を付けると、1問の点数は、穴埋めが2~3点、記述式の場合は5~7点と想定されます。なので、合否ギリギリの人は、穴埋めを1問正解できたとか、答案の書き方が設問文のヒントをうまく使えたとか、その一問で合否は変わってきます。みなさんが仮に不合格だったとしても、それは単に、答案の書き方が少し悪かっただけかもしれないのです。

さて、書き方ですが、文章力といっても、文学的な表現力のことではありません。定められた文字数内で、キーワードを組み立てて端的に答える力です。また、文末をそろえることも意識しましょう。

たとえば、「理由」を聞かれたら「から」、「目的」を聞かれたら「ため」、「事実」を聞かれたら「○○という事実」という文末につながる表現にします。答案の書き方については、1回目から立派なものが書けるとは思えません。過去問を2回、3回と繰り返し解くことによって、精度を上げるようにしましょう。

8.プラス20点の勉強法③ 過去問を3回繰り返す

 過去問は、4回分以上を3回ずつ解くことをお勧めします。可能であれば、4年(8回)を3回ずつ解いてください。点数がよかった問題も、悪かった問題も、すべて3回繰り返して解いてください。また、間違えた問題だけを繰り返すのではなく、正解した問題も含めて解きなおします。

しかし、やみくもに解いても非効率です。すでに述べた「該当問題の技術・知識」「正答を導き出すプロセス」「答案の書き方」のそれぞれを理解しながら解く必要があります。それをサポートするのが「支援士R4」です。

支援士 R4[春期・秋期] -情報処理安全確保支援士の最も詳しい過去問解説 (情報処理技術者試験)


支援士 R4[春期・秋期] -情報処理安全確保支援士の最も詳しい過去問解説 (情報処理技術者試験)
藤田 政博
技術評論社
2023-03-11

拙書で恐縮ではありますが、支援士R4では過去問を徹底的に掘り下げています。これは、ネットワークスペシャリスト試験の対策で非常に高い評価をいただいている「ネスペ」シリーズの支援士版です。

私の都合(気力・体力・時間など)により、2022年の2回分の解説しかありません。(それより前は日経BP社の書籍での解説があります)。ですが、1回でもしっかり学習していただくことで、先の述べたような合格に必要な知識や正答を導き出すプロセス、答案の書き方が見えてきます。 

この本を活用し、「単に過去問を解く」という気持ちではなく、「過去問を本質的に理解する」という意識で勉強してください。そうすることで、合格する力が付くだけでなく、合格に必要なものがきっと見えてくるでしょう。

9.2023年10月からの試験の変更

www.ipa.go.jp

2023年の秋試験から、情報処理安全確保支援士の試験内容が変更になります。午後1と午後2が統合され、試験時間:150分(変更前は合計210分)、出題数4問から2問を回答する方法に変わりました。