情報処理安全確保支援士試験とは?難易度、受けた経緯と結果

 今回は、セキュリティに関する情報系資格である、情報処理安全確保支援士を受けてきましたので、結果と所感を併せて記録したいと思います。

情報処理安全確保支援士試験とは

 情報処理安全確保支援士(登録セキスペ)となるための試験で、情報系資格初の「士業」という名目で、2016年よりセキュリティスペシャリストの後継資格として発表されました。

 とはいえ、独占業務が設定されているわけでもなく、登録したところで出来ることは、「ただ名乗れるだけ(名称の独占使用)」という、非常に微妙な資格です。

 更に、現在は登録していなくても、「登録している者と同等の能力を有すると見做す」という、これまた微妙な経過措置があり、更に登録するメリットが見えない資格でもあります。

何故受けようと思ったか

 ITエンジニアたる者、どんなシステムを作っていたとしても、セキュリティに一切目を向けないというわけにはいきません。セキュリティは軽視されがちですが、認識が甘いと、被害を被るばかりでなく、加害者となってしまう可能性がある点、十分留意せねばなりません。

 また、資格は相手方に信用と安心感を与える手助けとなるツールです。資格保持者は、そうでない方と比べ、最低限の知識が備わっていることを証明するに過ぎませんし、この資格があるからといって直ちにセキュリティコンサルティングなどが行えるわけではありませんが、それでもひとつの指標となるものです。

 こういったことを踏まえ、国家として推進している情報処理安全確保支援士を受けてみることにしました。

資格の難易度

 あくまで個人的な感覚として言えば、データベーススペシャリストより難易度は下がります。データベーススペシャリストは設計力と知識を広く問われますが、本試験は問題文に記載されたごく限定的なケースを想定し、それに対して解答を導き出せば済むからです。

 つまり、設計力というよりは、要件や仕様を正しく把握する能力が重要となります。また専門知識としても、とりたてて学習が必要な項目は多くありません。実務としてシステムの設計などを行っていれば、自然と身に付いている程度の知識が問われます。そういう意味では、実践的な試験だと思います。

 総合的に見れば、応用情報の次に受ける試験としては最適な難易度でしょう。

必要な勉強時間

 実務経験として「セキュリティを意識しながら設計をしている方」であれば、殆ど無勉強で合格出来るかもしれません。過去問をいくつか解いて感覚を掴んでみてください。また、最近のセキュリティに関する事件、事故は高確率で出題される傾向がありますから、情報収集は怠らないようにしたほうが無難です。

 逆に、実務経験がなくセキュリティ知識も乏しい、という方は、基礎知識から身につける必要がありますから、数十時間の勉強は必要でしょう。

 これが情報処理安全確保支援士試験の特徴で、データベーススペシャリスト試験とは異なることです。

 データベーススペシャリスト試験は、いくら実務経験が豊富な方でも、基礎理論というおおよそ意識しない部分の知識を問われます。例えるなら、Java開発者にGoFのデザインパターンを全て書き出せと言うようなもので、名前は知らなくても経験上自然と備わっている技術を、再度学習する必要があるわけです。

 ところが、情報処理安全確保支援士試験は、基礎理論よりも実務に即した知識を問われます。これが勉強時間が他の試験に比べて驚くほど短くて済む理由のひとつです。

実際に受けてみて

 午前IIは大半が過去問から出題されます。過去問を反復学習していれば、ボーダーの60点は軽く超えられます。

 午後Iからが本番ですが、ここは問題選択に迷う部分で、個人的には最難関でした。3問中2問の解答が必須なわけですから、得意分野以外の知識も持ってないといけません。勉強時間を殆ど取れなかった方は、ここで苦戦すると思います。

 ただ、やはり問題は素直で、正確に問題を読み解いていけばなんとか解ける、あるいは部分点を獲得できる程度のところまでは持っていけます。

 逆に、午後IIは得意分野が出題されれば基準点を越えることは容易で、こちらも素直な問題が多かったため、今回は1時間を余して途中退出しました。

 試験を通して最近話題になったセキュリティ事故、ウイルス、スパイウェアなどに関する問題も多く、普段から情報収集を欠かさないことが求められているように思います。

試験結果

時間区分 得点
午前I 免除
午前II 80
午後I 74
午後II 88

登録するべきか

 冒頭で述べたように、支援士の登録にあたっては、コストに対するメリットがあまりにも薄すぎるため、登録を行わないことにしました。

 いつでも登録できますから、コストとメリットが釣り合ったときに登録する形でも問題はなさそうに見えます。

合格するために

  • 過去半年間のセキュリティ事故の事例を調べる
  • 午前IIおよび記述問題に慣れるために過去問を演習する
  • 必要最低限のセキュリティ知識を身につける

必要最低限のセキュリティ知識とは

 例えば、Web系を専門としているならSQLインジェクションやディレクトリトラバーサルなどの言葉は聞いたことがあるかと思います。これの攻撃手法と対策くらいは学習しておきましょう。

 こういったセキュリティ知識は、システムによって異なりますが、各ジャンルの主要な攻撃を押さえておけば問題ありません。バッファオーバーフロー、DNSキャッシュポイズニング、中間者攻撃、サイドチャネル攻撃、標的型攻撃、ランサムウェアなど、「どこかで聞いたことがあるな」という言葉の概要を押さえておくのが重要です。

 ほか、証明書や鍵認証などの知識を問われたりもしますが、午後問題でそれらに偏ることは稀ですから、広く浅く要点を把握しておけば十分です。

学習方法

 市販されている対策本を買うのが一番ですが、他の試験区分に比べるとネット上の情報量が多いので、それらにたよってしまってもいいかもしれません。

 「セキュリティ 攻撃手法」などで調べれば主要な攻撃手法は出てきますし、過去問を一通り読んで分からない単語を検索するくらいでも、合格できる力は付くかと思います。

まとめ

 高度情報処理試験(スキルレベル4)の試験としては、難易度もさることながら、どんなシステムを作る場合でも必ず無ければならない知識を問われますから、最初に受験するのに最適な試験です。応用情報を合格したら、続いてこちらの試験を受けてみるのをお勧めします。

情報処理試験関連の記事

 そのほかの試験の記事はこちら

 平成29年春季のデータベーススペシャリスト試験に合格したので、体験をもとに気を付けることや勉強方法などをまとめて記録します。 データベー...
 応用情報技術者試験に3ヶ月(60時間)の勉強で合格したので、そこから得た学習方法と試験対策についてまとめてみました。 はじめに  応用...