情報処理安全確保支援士(登録セキスペ)資格への挑戦

スポンサーリンク
SC-challenge Business

こちらにも宣言したとおり、2019年に取得するべき資格の1つ目は「情報処理安全確保支援士」(略称:登録セキスペ)です。
※ セキスペっていう呼称がなんかかっこ悪いのはおいといて。

これからの受験にあたり、ただテキストを購入して、やみくもに勉強しても、効率は悪いし合格率も低い。

試験の傾向と対策を分析し、より効率的にどう勉強するのがいいのか、しっかり戦略をたてる必要があります。

そのうえで、日々何をどの程度勉強していけばいいのか、毎日のスケジュールにまで落とし込まなくてはいけません。

もちろん、週単位で進捗状況を把握しながら、遅れや不足があれば、先延ばしにしないで適宜対応していきます。

資格取得もいわゆるプロジェクト管理に基づいて進めていく必要があるということですね。

スポンサーリンク

「情報処理安全確保支援士」とは

「情報処理安全確保支援士」とは、2017年(平成29年)から実施されている、サイバーセキュリティ対策を推進する人材の国家資格です。

IPAの情報処理安全確保支援士試験(SC)概要
・法律名:情報処理安全確保支援士
・通称名:登録セキスペ(登録情報セキュリティスペシャリスト)
・英語名:RISS(Registered Information Security Specialist)
・平成30年(2018年)の応募者数:45,627名 合格率:17.7%
・対象者:
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者
この情報処理安全確保支援士は国家資格であるため、取得することで専門家としての信頼を客観的に示すことができ、これにより活躍の場が広がることが期待できる、とされています。
スポンサーリンク

「情報処理安全確保支援士」試験概要

試験はまる1日(9:30-16:30)かけて行われ、午前に2科目、午後も2科目受ける必要があります。
どの科目も60%以上の正解率で合格となります。

午前Ⅰ

  • 試験時間:9:30~10:20(50分)
  • 試験形式:多肢選択式(四肢択一)
  • 出題数:30問
  • 合格ライン:60%以上(18問以上正解)
  • 概要:いわゆるベース知識の確認のためのテストです。応用情報技術者試験の全ての分野を対象に、テクノロジ系/マネジメント系/ストラテジ系から幅広く出題されます。

午前Ⅱ

  • 試験時間:10:50~11:30(40分)
  • 試験形式:多肢選択式(四肢択一)
  • 出題数:25問
  • 合格ライン:60%以上(15問以上正解)
  • 概要:午前Ⅰの出題形式と同様の四択で、対象とする試験範囲も同じ領域ですが、「セキュリティ」「ネットワーク」の2領域だけで約8割が出題されるとのこと。また、午前Ⅰより少し難易度が上がります。

午後Ⅰ

  • 試験時間:12:30~14:00(90分)
  • 試験形式:記述式
  • 出題数:大問3問から2問選択
  • 合格ライン:60%以上
  • 概要:企業や組織でのインシデントに関する実例を元にした文章問題です。「セキュアプログラミング」「技術面」「運用・管理面」など情報セキュリティ分野の様々な論点が問われます。セキュアプログラミングの問題は「C++」「Java」「ECMAScript」の3言語いずれかを題材にしていますが、難易度はかなり高く実務でのプログラミング経験がないと回答は難しいようです。

午後Ⅱ

  • 試験時間:14:30~16:30(120分)
  • 試験形式:記述式
  • 出題数:2問から1問選択
  • 合格ライン:60%以上
  • 概要:午後Ⅰと同様の文章問題ですが、さらに総合力や深い知識・経験を求められるうえに、より長文となるため、論点を効率的にかつ的確に理解し、出題者の求める解答を定められた文字数で表現するための「国語力」が必要と言われています。
スポンサーリンク

「情報処理安全確保支援士」を目指す自分のスペックについて

私が今回、取得しようとしている資格は、「情報処理安全確保支援士」というセキュリティ系のIT資格となりますが、私自身が過去に取得した資格や、現在のITスキルの状況について、いわゆる私のスペックがどの程度なのか、整理しておきます。

過去に取得した資格

30年間のIT企業勤務を通して取得した資格は、下記の4種類です。

  • 1989年第二種情報処理技術者試験合格(今でいうと基本情報処理技術者)
  • 1990年第一種情報処理技術者試験合格(今でいうと応用情報処理技術者)
  • 1994年データベーススペシャリスト合格
  • 1995年ネットワークペシャリスト合格
年代を見てもらえればおわかりのように、すごい大昔だなと実感しますが、すべて約25-30年くらい前に取得したものです。年齢でいうと22-28歳のころですね。

とくにデータベーススペシャリストやネットワークスペシャリストは、当時、初めてできた資格試験でもあり、勉強法も確立されていないなか、いまさらながら、よくも合格できたものだと思います。

中堅どころのSEとしては、まあ身につけておきたい資格であり、全てのIT技術者として必要な知識のはずです。

ただ、いかんせん取得したのがもう30年近く前!
ベースの技術は変わっていないものの、そんな大昔に勉強した内容を覚えているはずもなく、今回の資格取得のための勉強もゼロからの出発といってもいいでしょう。

プログラミング経験

社会人になってすぐに担当したのは、アセンブリやCOBOLプログラムなどの開発でした(今となっては化石のような言語ですが)。
いわゆるプログラマですね。

その後、SEとして、汎用機やオフコンの運用管理周りを担当した後、徐々にオープン系にシフトしていき、UNIXシェルプログラミングやOracleデータベースのSQLなども手がけていきました。
プログラミング言語の勘所は、まあ当時はあったと思います。

ただ、いまのプログラミング言語のトレンドは、Java、C、Python、C++、Visual Basic .NET、JavaScript、C#、PHP、SQL、Objective-Cといったところなんですね。
Javaは自己学習したものの実務で使ったわけではないですし、それ以外もまったく経験がありません。

ITスキル

社会人になりたてのころは、日系のIT企業でいわゆるプログラマ~SEを8年ほど経験しました。
オープン系がメインですね。

その後、外資系企業に転職してからは、主にプリセールス(セールスコンサルタントと呼ばれています)。

営業付きの技術担当として、幅広い製品や技術を担当していました。

ただプロジェクトにどっぷり入って開発などをやるわけではなく、あくまでソフトウェア製品(テクノロジー製品やERPなどのアプリケーション製品)を売るためのエンジニアなので、開発現場で経験するような深い技術はなかなか身についていないのが正直なところ。
広く浅く、といった感じです。

そのようなプリセールスを15年ほど担当し、その後バックオフィス系のいわゆる事務系の職種に担当が代わり、現在に至ります。

ずっとIT企業にいるからといっても、それほど技術に尖っていたわけでもなく、営業よりのところにいて、かなりなまっているという自覚があります。

そんなところから資格取得のための勉強をスタートしました。

スポンサーリンク

「情報処理安全確保支援士」取得に向けた勉強法

この記事を書いているのが、2019年2月下旬で、試験日(2019/4/21(日))に向けて約60日間しかありません。

効率的に資格取得を目指すためにも、まずは勉強法を固めましょう。

ビジネス系の資格は、どんなものであれこの2つの方針が大事だと思っています。

①基礎知識の習得:試験で求められる知識を獲得する

②過去問題の反復:知識を元に答えを導く力を獲得する

できるだけ最初の時期に、ひと通り「①基礎知識の習得」を行わなければなりません。
いわゆる基本をマスターすることです。

ただあまりにもここで真剣に取り組みすぎると、この基礎勉強にばかり時間をとられて、大事なことを覚える時間がなくなりますから、まずはどんな用語が出てくるのか、どんな問題が出てくるのか把握するためにも、急いでテキストにひと通り目を通します。

そのうえで、「②過去問題の反復」に取り組んでいきます。

これを2ヶ月でできるだけ何度も繰り返す。
端的にいうとこれが私の勉強法です。

ではもう少し具体的に。

時間の捻出について

サラリーマンにとって時間は有限ですから、勉強に使える時間を洗い出します。

私の場合、使えるのはまず平日通勤時の行き帰りの電車。
電車に乗っているのは片道50分ほどですがこれを有効活用します。
行き帰りで約50分×2セットですね。

また平日昼休みは通常、持参したお弁当を食べていますが、弁当食べながらの時間&食後のあまった時間を使えます。
食べながらの時間ではありますが、これがまあせいぜい約30分

あとは仕事が終わったあと、自宅に戻る前にカフェや図書館などで自習時間を捻出しています。
それでも平日の夜はせいぜい2時間程度確保できればいいでしょう。

土日は家族サービスを大切にしたいですが、一方で、仕事のない休日はまとめて時間をとることができるため、家族サービスとバランスを取りながら、勉強時間を確保したいですね。
私は土日それぞれ3時間ずつ確保することにしました。

使用教材(書籍・参考サイト)について

①基礎知識の習得のために

まずはセキュリティ基礎知識の確認のために、下位資格である情報セキュリティマネジメントの参考書である、「ポケットスタディ 情報セキュリティマネジメント(SG)」を使いました。
これを勉強開始の最初の1週間(平日の5日間)で一気に通読しました。

さすがに、ここに書かれていたことは知っていたことがほとんどでしたが、体系的な知識の整理には役立てることができたと思います。

そのあと、メインで使用するのが、本来のターゲットである情報処理安全確保支援士用のテキストです。
ただこのテキスト、いくつかの出版社から何冊か出ているのですが、いずれもかなり分厚く、かつ重い。
そのなかから私は、書籍を持ち歩かなくても、どこでも勉強に取り組めるよう、PDF版が付録で付いてくる(ダウンロードできる)「徹底攻略 情報処理安全確保支援士教科書 2019年度」を選択しました。

紙の書籍だけでなく、PDFファイルで入手することができれば、クラウド経由で、スマホやタブレット、PCで読み進めることができると判断したためです。

今後取り組むであろう過去問対策ももちろん重要ですが、まずは基礎力を身につけるためにも、この重厚なテキストを一冊入手すべきですよね。

さて、勉強を開始してみて思ったのが、やはり重い。。。
スマホで読めるといいのですが、PDFファイルをスマホで表示しても、かなり文字や図が小さくて読みにくいです。

PCは画面も大きいので読みやすいですが、電車でPC開くのは扱いづらいし、PC持ったまま立って読むのは落としそうで怖いし、そもそも混んでたらジャマです。

本来は、タブレットを使うのがベストですが、私の持っているのは、Kindle fire7 8GBです。
これ、AmazonのCyberMonday(サイバーマンディ)で確か4,980円と安かったのですが、どうも動作がもっさりと遅くて、何をするにもストレスになるので、今まではあまり使っていませんでした。

ただ家に置きっぱなしで使わないのももったいない、どうにか少しでも早くして、使いやすくできないか、といろいろ調べたところ、下記のサイトを見つけました!

Androidにもともと備わっている開発者向けのオプションをいじって、動作パラメータを変えるとのことで、物は試しと設定を変えてみたら見違えるくらい、動作がキビキビと性能がよくなりました。

もちろん自己責任なんでしょうけど、性能に不満のある方は、やってみる価値はありますよ!

おかげで電車やカフェでも勉強がはかどっています!

…ちょっと話がそれました。

②過去問題の反復のために

午後の過去問対策の書籍としては、こちら「情報処理安全確保支援士 合格トレーニング 2019年度」を購入したところです。
まだこの書籍、本格的に使ってはいないのですが、午後の長文の過去問を解くためには、電車で移動中に細切れ時間を使って、というわけにはいきません。

じっくり机に向かって解答用紙に向き合い、集中する必要があるため、ちゃんと時間を確保して、取り組まねば。

③さらに勉強を効率的に進めるために

Webアプリとして、無料で公開されている下記2件は非常に使い勝手が良いですよ。

応用情報技術者試験過去問道場

1つ目がこちら。
これまでに出題された応用情報技術者試験過去問題(2240問)の中から、ランダムに出題するWebアプリ。
無料で午前Ⅰの試験対策用にフル活用できます。

ユーザ登録すれば、正誤の管理もしてくれますし、PCやスマホでスキマ時間を見つけながら、続きを再開できるので、とても使いやすいです。

情報処理安全確保支援士過去問道場

2つ目は、情報処理安全確保支援士試験(旧情報セキュリティスペシャリスト試験)の過去問題(500問)の中からランダムに出題するWebアプリです。
こちらももちろん無料で、午前Ⅱの試験対策用に使えます。

IPA「情報セキュリティ10大脅威 2019」

最新の脅威や脆弱性などのセキュリティのトレンドも自分の知識として取り込んでおく必要があります。
こちらのサイトにある「情報セキュリティ10大脅威 2019」にも目を通しておきたいですね。
これはIPAのサイトから無料でPDF版を入手することが可能です。

IPA「安全なウェブサイトの作り方」

こちらは、Webアプリケーションを開発するうえでのセキュリティの考慮点を具体的に記載している資料です。
開発者ではなくても、脆弱なセキュリティの実例を解説しており、目を通しておいたほうが良さそうです。

午前Ⅰ試験対策

午前Ⅰの試験のために、応用情報処理技術者のテキストを引っ張り出してきたり、わざわざ購入するのは、時間とお金の無駄です。

応用情報技術者試験過去問道場を徹底活用すべきです。
電車内や休み時間などの細切れ時間を活用して、できるだけ多く問題を解いていくようにしています。

この応用情報技術者試験過去問道には、平成17年以降過去13年分の解説付きの過去問がすべて用意されていて、無償で使える、という非常にありがたいサイトです。

ただあまり古い問題だと最新IT事情から外れる可能性もあるので、私は過去10年20期分を対象にしています。

正解率や分野別の得意不得意なども分析できるので、このサイトを使って、まずはトータルでの正答率90%以上を目指して、ひたすら解いています。

ちなみに、勉強を開始した2/28の時点で、本試験と同じ30問に取り組んだところ、出題数30問中正解数20問(正解率:66.7%)といま受けてもギリギリな正解率
IT基本スキルとして、昔のことを覚えているものもあるようですが、さすがに真剣にやらないと、一番簡単なはずの午前Ⅰがこれでは先が思いやられます。。。

今は、この正解率をもっとあげるべく、空き時間を見つけて、何度もチャレンジしています。

午前Ⅱ試験対策

午前Ⅱの試験については、「セキュリティ」「ネットワーク」の範囲の基礎を正しく理解できているかを問う問題がメインとなります。

情報処理安全確保支援士用のテキストを読み込み、体系的な基礎知識を身に付けておけば、問題ないはず。

もちろん過去問を使って実戦形式で身につけてくことも重要なので、午前Ⅰの試験対策と同様に、細切れ時間を使って、情報処理安全確保支援士過去問道場を何度も解くことにしました。

こちらも過去10年20期分を目安に、正答率90%以上を目指して、丸暗記ではなく、知識として身につけるようにします。

午後の試験対策(午後Ⅰ・午後Ⅱ共通)

午後の試験は、Ⅰ、Ⅱともに、試験範囲やテーマに変わりはありません。

勉強方法自体を変える必要はないので、午後Ⅰの試験対策さえしていれば、午後Ⅱも攻略できるはずです。

なお、午後の試験の問題傾向としては、

  • セキュリティ・インシデント対策
  • Web系のセキュリティ、特に証明書関係
  • メールのセキュリティ
  • マルウェア対策
  • 無線LAN、スマートフォン関係

と、ざっとこの辺りが対象となるようです。

ボリュームが多いですが、テキストで基礎知識を身に付けたあとは、過去5年分程度の過去問にあたることにします。

スポンサーリンク

「情報処理安全確保支援士」取得の進捗状況は?

2019年3月10日段階で、ひと通りテキストを読み終え、平行して、午前Ⅰと午前Ⅱの過去問道場をこなしていました。
今日までの成績はこんな感じです。

午前Ⅰ応用情報技術者試験過去問道場)
正解数:131問/出題数:218問 正解率:60.1%

午前Ⅱ情報処理安全確保支援士過去問道場
正解数:103問/出題数:173問 正解率:59.5%

うーん、これはまずいですね。
まったくのノー勉強の状態から、始めたとはいえ、こんな正解率では、午前で足切りにあうかもしれません。
ちょっと本腰を入れて、じっくり時間をかけて取り組む必要がありそうです。
UPDATE2019年3月22日時点で、こんな状況です。
午前Ⅰ応用情報技術者試験過去問道場)
正解数:330問/出題数:494問 正解率:66.8%

午前Ⅱ情報処理安全確保支援士過去問道場
正解数:290問/出題数:401問 正解率:72.3%

少し点数は上がってきました。
何度も繰り返しチャレンジして、回答・解説を確認することで、知識の底上げにはなっているようです。
あと一ヶ月。午後対策も力を入れていきます。