ITエンジニアのメモ置き場

システム構築、データ分析、技術動向・・・

情報処理安全確保支援士について総まとめ 概要~勉強方法~結果発表まで

2025年1月12日 投稿者: tecblog 0

情報処理安全確保支援士を受験しました

2024年度下期、おかげさまで無事合格できました。せっかくなので勉強方法と体験記を残してどなたかのお役に立てれればと思います。色々書きたい事があったのでかなり長文ですが良ければご一読ください。本音ベースで、割と中央値当たりの人の意見だと自負しておりますので(?)きっと損はないと思います。以下、本資格をSCと表記します。

 

情報処理安全確保支援士とは?

そもそも、この資格はどんな人を対象にしていてどんな内容が出題されるかという事を、エンジニア目線での実際を交えながら書きたいと思います。

IPAの公式サイトはこちらになります。

この資格はIT系の国家資格のうちレベル4にあたります。ネットワークスペシャリスト(NW)やデータベーススペシャリスト(DB)も同じレベル4ですね。ITパスポート~応用情報がIT系の知識全般を広く問われるものに対して、レベル4に位置する資格はその分野のより専門的な内容を問われることになります。SCではITに関わるセキュリティの知識を問われます。

 

SCはレベル4の資格のうち、唯一「士業」登録が出来るもので「情報処理安全確保支援士」として登録が可能になります。(士業とはいわゆる弁護士や行政書士などがイメージしやすいと思います)。じゃあみんな登録しているのかというと実はそうでもなくて(少なくとも私の周りは)、登録料や講習費用などが定期的にかかり3年間でおよそ15万近くしますし、登録したからといって独占業務が出来るわけでもありません。なので正直コストに見合ったリターンがあるとはいいがたく、未登録だけど情報処理安全確保支援士の資格は持っています、という人が多いのではと思います。独占業務として例えばこの資格持った人がセキュリティ診断しないとウェブサイトのセキュリティ対策をしている認定出ませんよ~とかあれば話は違うでしょうが現状そうでもなく。。。

じゃあそんな資格はだれが受験しているのかというと、セキュリティやwebアプリ開発に関わる人はもちろん、応用情報技術者(AP)を合格した人がとりあえず次に目指す事も多いです。

なぜAPの次に目指すのかは正直私もよく分かりませんが、唯一士業であること、ほかのレベル4資格と比べて合格率がやや高いこと注1、セキュリティというどこでもつぶしが効く内容であることが関係しているのではないかと思っています。また試験も春と秋の2回あるのも取り組みやすい点ですね。

なので、APまでは持っていて次の資格を取りたいけど、NWとかDBとかあんまり業務と関係ない資格をとるのもなーと思っている方はとりあえずこれを目指してみるのもいいと思います。

 

勉強方法

まずは公式サイトで、試験区分はこちらから、試験のシラバスはこちらから、過去問はこちらから確認してください。

試験科目は2024年秋現在、「午前Ⅰ」「午前Ⅱ」「午後」の3つあります。それぞれについて私の所感ですが勉強方法とポイントを書いておきます。

全体の参考書

全般の知識の参考書として「徹底攻略 情報処理安全確保支援士教科書 令和6年度」を使いました。これを選んだ理由は、PDF版があること、過去問の掲載数が多いこと、割と簡潔な内容になっていたことからです。
この手の本は分厚くて持ち歩くのは正直現実的ではないかなーと思うので隙間時間の勉強のためにも、スマホからでも見れるPDF付きかKindlle版で買うのが良いのではと思います。

また、資格の勉強は過去問勝負なので可能な限り多くの過去問を解説付きで見れるものがいいと思います。私はケチなので参考書と過去問が一つになっているものを重視しましたが、過去問専門で出しているものを別で買えばより詳しい解説で勉強できると思います。この本の解説は特別詳しいわけでは無いですが、まあ不親切ってわけでもなく、ぎり我慢できるレベルでした。ほかの参考書の解説のレベルを全て比べられるわけでは無いので、できれば本屋に行って実際に立ち読みしてみてみるといいと思います。よく”過去問**年付き”とありますが、その年に発行した参考書の解説を翌年におまけとして載せているだけなので、その年の参考書についてる解説を見れば大体の粒度はわかるかと思います。考え方次第ですが、10数年も前だと暗号化方式や認証認可が全然違ったり、オンプレ前提の問題だったりして今の問題にあってないことも多いです。なので10年分の簡素な解説よりも直近5年分くらいの詳しいものを選ぶのも今思えばありだった気もします。
解説の詳しさなのですが、これが結構難しいところです。後述の上原本のようにすごく詳しいものを選んだからといって、実際すべてを理解できるわけでもなく、読了するにも時間がかかり、試験でそれが出るかと言われると怪しいです。私が選んだ本は正直あっさりしてて、IPAのシラバスの単語にちょこっと解説を加えただけのものもあり、これで過去問が解けるほど知識がついたかというと微妙でした。ただ、通り一遍知識を付けた気になって過去問に取り掛かりたい、という人には割とぴったりでその辺をどうするかでしょう。今思えばせっかく同じくらいの値段するなら詳しいものを買って分かんない時によりどころにするのもありでした。ぶっちゃけあの本ではよりどころに出来るほどの内容の深さはなかったです。

よくあげられるのは通称上原本と言われている「情報処理教科書 情報処理安全確保支援士」でしょうか。冗長な書き方をしているとか過去問の解説が薄いとか言われていたので私は避けましたが、手元に置いてちゃんと知識を深めるには良い本だと思いますよ。買ってないから分かりませんが(無責任)。有名な過去問道場さんおすすめの参考書もこちらから確認できますのでよければ。

午前Ⅰ

実を言うと私は午前Ⅰ免除だったので未受験です。ですが、出題内容はAPまでの範囲と同じらしいので過去問道場さんで勉強をするとよいでしょう。午前Ⅰ免除の条件は開催期2年以内にAPもしくはその他レベル4の資格に合格して受験申込時に申請する事です。公式ページはこちら

午前Ⅱ

こちらも過去問道場さんの情報処理安全確保支援士版で繰り返し解きました。試験の3~4か月ほど前から始めて全部で1651問解きました。対象期間はすべての年度です。全問2回解いたあとに、連続で間違えた問題と1回間違えた問題を追加で解いていたと思います。

午前問題は使いまわしが多いので、試験10分前でもあきらめずに一つでも多く解く(最悪暗記)しておくのをお勧めします。私も前日にやったものが出ました。
出題内容はセキュリティに関する用語の正誤や簡単な計算問題で、あんまり理解できてなくても数をこなせば覚えていけます。言い換えればここでの知識が午後問題の基礎になるかというと怪しいので、午前が完璧だからと言って基礎知識が完璧だとは思わない方が良いです。

午後問題

さて、一番の難関がこれですね。勉強方法は前述の参考書についていた過去問を全ての年度について2回繰り返し解きました。またセキュアプログラミングは参考書代わりにIPAの安全なウェブサイトの作り方を読み、実践としてIPAの提供する脆弱性体験アプリAppGoatをダウンロードして勉強しました。AppGoatは誰でも無料で利用出来て、実際にプログラミングをしながらXSSやSQLインジェクションなどのウェブサイトにおける脆弱性を体験することが出来るアプリです。言語がPHPなので試験対策そのままとはいきませんが(近年はjavaが多い)、面倒な環境構築をせずに済みますし問題形式で手を動かせるのでセキュアプログラミング対策に何も思い浮かばないという方はやってみてはいかがでしょうか。

App Goatの画面 各脆弱についてPHPのコードを修正しながら学べる

午後の問題は文章が多いです。特に午後Ⅱは寝てしまいます。日々の仕事もある中で数をこなすには結構毎日やる必要があって正直しんどくて、その割にあんまり本番の点数が良くなかったのでがっかりですが笑・・・
この勉強方法について注意点と実際にやってみての感想がいくつかありますので順番に書いていきます。

 

時代背景が違う

少し前にも触れましたが、10年ほど前の過去問では今のアーキテクトとは違う場合があります。

例えば28年度秋午後Ⅰ問2や30年度春午後Ⅰ問1ではCやC++でのウェブサイト開発の脆弱性を問われていますが今はそれらが使われる事はほぼなくここ数年の出題もありません。

29年度秋午後Ⅱ問2では暗号化の方式について問われていますが、何年も前の規格を基に解いて勉強した気になるのも少し不安です。

また基本的にこの時代はオンプレ構成です。認証認可もケルベロス認証→SAML→OAunthといった時代に合わせた設問になってきます。今はクラウドが当然のように出てきますしOIDCの認証認可が頻出だったりするので正直解いててレガシー感は否めません。でもまあ基本的にセキュリティ全般に言える知識は付けられるっちゃあ付けられるので、やって損は無いですが時間がない場合は優先度を下げるべきだと思いました。

 

記述問題の自己採点が難しい

まあ一番はこれですよね。模範解答に近い気もするが違う気もする、とか何を正解だと思って勉強したと言えばいいのか悩みどころです。

ただ、出題形式が変わるまでは国語の問題的なものもあり「本文の語句を用いて~」や「〇〇の観点から~」など、なんとなーく答え方の見当を付けられるものがありました。そのコツをつかむのは難しいのですが、通称「村山本」と呼ばれる参考書が有効であると言われていました。この本はテクニック本で、問題文からこう答えるべき、出題者はこう答えてほしい、といった回答のテクニックが書かれています。私もパラパラと立ち読みしたときに、痒い所に手が届くような本かもしれない!と思いました。が、しかし。出題形式が変わった今、この本のテクニックは通らない可能性が高いと個人的に思っています。変更後の過去問を解けばわかると思いますがやっぱり違うんですよね。問題文からのリードが今は少ない。もっというと、数年前の過去問の記述問題を解くコツが分かった!と思っても油断は禁物です。テクニックではなく知識で解けるようにすべきです。

ちょっと余談ですが、実は学生時代に某予備校の全国模試の採点バイトをしていたことがあります。その時の記述問題の採点基準はキーワードが入っていれば点が入ったり、立式出来れていれば点が入っていたりと、一応誰が判定しても同じになるように設定されていました。つまり一問一答ではないにしろ、加点要素は明確に決められているため、理解出来ているんだろうけど加点要素がないな・・・でダメな事も多かったです。もちろん規模も科目も全然違うので比較できないですが、採点方法は割となんでも同じなんじゃないかと思っており、そうなると例えニュアンスが同じでも用語を入れてなければ不可、とか全然あると思ってます。そしてそのポイントは公表されていない(せいぜい採点講評ぐらい)ので正確に捉えるのは難しいです。なので模範解答の用語も含めて限りなく同じ文言で答えられるようにすることがせめてもの勉強だと思います。

 

疑問点の解消が自力では限界がある

「何でこのあいまいな書き方が正解なんだよ!」とか、「数年前と言ってることが違うじゃねえか!」とかざらにあります。ほんと。僕が一番嫌いなのは令和4年度春問3です。スマホのQR決済を題材にした設問で馴染みがあってよいのですが、「そんな元も子もない解答ないだろ!」「そんな解答は設問からだけじゃ絞れないだろ!」って全部の模範解答に思いました。出題者はこの解答しかないと思い込んでるから見えないけど、絶対初見じゃ一意の答えには辿りつかないと思うんだよな・・・

まあ文句たらたらなのですが、過去問道場のスレッドには割と同じ事思っている人がいるのでちょっと嬉しくなります。どうしても納得いかない場合はここで過去スレッドを辿ったり質問してもよいでしょう。でもやっぱりここで答えてくれている方も模範解答ありきで解説してくれるので、「初見で見て解答まで導けるか」という疑問が解消できることはあまりなかったです。私が単にバカなだけなのは十分ありますが。

 

出題形式が変わった

上でも書きましたが、これが思いのほか大変でした。令和5年度秋(2023年秋)から、これまで”午後Ⅰ”と”午後Ⅱ”に分かれていた午後問題が”午後”一つだけになりました。問題量は午後Ⅰに近いので解くときの時間的な不安や負担は減ったのですが、かなり出題傾向が変わってきています。よく参考書などでは「これまで通りの過去問で問われていることとなんら変わりない」など書いちゃっているものもありますがとてもそうは感じませんでした。具体的には、

  1. 解答時に文字制限や抜き出しなどの制約がつかない事が多く、完全な自由記述を求められる
    →前述のようなSC対策用の記述解答テクニックが通用しなくなってきている

    R6秋 文字数指定や語句の制限が一切ない

  2. 図を書かせたり、解答を受験者に委ねたり、想像もつかない設問が突然出題される。
    →こういう解答の仕方で合ってる??という余計な不安が本番に付きまとう

    R5秋の問題  解答者の思うように書いて、って感じの設問

  3. セキュアプログラミングが避けて通りにくくなった
    →ソースコードをそれなりに書けて読めないと最後まで解答できない設問が増えた

    R5秋 コードやHTTPヘッダなどが読み解く問が必ずある

よく言えば、文章量が午後Ⅰで問われている内容の深さが午後Ⅱになってるとも言えますが、受験者にとっては余計なことを・・・といった感じです。まだ3回しか過去問が無いのも痛く、この傾向も次回に当てはまるかも怪しいです。

 

最新の傾向を踏まえた学習ポイント

  • ネットワークの知識は完璧にしておこう
    • セキュリティとネットワークは切っても切れない関係です。通信プロトコル、TLS通信の仕組み、FWのACLの作成、IPアドレスのサブネットの分離、DNSの設定、メールの詐称対策、いつの時代も常に問われている事です。この知識だけは得手不得手なく解けるといいですね
  •  認証認可の仕組み・実装例を学ぼう
    • この分野は近年、非常に出題が多いです。シーケンスを整理したりIDプロバイダ、サービスプロバイダなどの役割を見極められるといいでしょう。
    • 実装レベルでの知識も今後問われるかもしれません。もし可能であれば、AzureやAWSを使って簡単でもいいので実装してみるといいかも知れません。(EntraIDなどはOAuthをラッパーしてたりしますが、大まかなイメージを掴むにはいいと思いますよ)
  • セキュアプログラミングを実際に手を動かして学ぼう
    • javascriptとjavaは書けるといいなと思います。どちらも未経験では何から手を付けたらいいか分からないでしょうし、どこまで勉強したらいいかも分からないと思います。ただ、問われるのはクロスサイトスクリプティングや〇〇インジェクションなど定番の内容です。既に紹介したAppGoatなどを使ってやってみましょう。
  • IoTのセキュリティを学ぼう
    • 近年はIoT分野が熱いです。IoTで用いられるプロトコルは普通のウェブアプリケーションとは異なることがあります(MQTTなど)。また、デバイスのデータはどこかに収集されるケースが多く、その経路(ゲートウェイからクラウド、クラウドから社内サーバ・・・)を読み解けるようにしておきましょう。IoT機器の使われ方などは馴染みがないと設問を読み解くのも大変かもしれません。IoTのアーキテクトを事前に確認しておくとイメージがつかみやすくなるかもしれませんね。
    • さらに、IoT機器そのもののセキュリティも気にしましょう。Linuxのコマンドやハードウェアの暗号化など、物理的な攻撃問題にも対処できるようにしましょう。基本的にコマンドはヒントがないので知っているか否かの知識として解く必要があります。高度なものは必要ないですが、ファイル操作、プロセス操作に使われるコマンドは知っておくと良いでしょう。

 

当日の様子

午前Ⅰ免除受験なので午前Ⅱが始まるまでに向かいます。(寝れるのは大きい)

普通の試験なので特筆することはありませんが、意外と昼休みの時間が短いので予め準備しておくと良いでしょう。

途中退出や遅刻も認められてはいますが、せっかく高い金を払って半年勉強したわけですから制限時間いっぱい頑張りましょう。また、試験直前でもできれば参考書など読んで1点でも2点でも取れるようにあがきたいですね。得点分布表を見ると分かりますが、合否ラインの60点あたりが最も分布が多いです。このラインぎりぎり1点,2点を救ってくれるのは直前に見た用語かもしれません。

 

自己採点と結果発表

午前問題はその日のうちに模範解答が発表されます。

午後問題は合格発表の2~3日前に模範解答が発表されるのであまり意味がありません。

ただ、itec、資格の大原、資格の学校TACなどで試験日から数日後に解答予想が出されます。河合塾とかの大学受験の解答に比べるとちょっと信頼性は怪しいかなと思いますが、大体の見当は付けられるかもしれません。まあしてもしなくても結果は変わらないので、これは皆さんの価値観に合わせてしてみてください笑。ちなみに私はしっかりしたわけでは無いですが、ちらっと見た感じの自己採点と実際の採点は10~20点くらい差がありました。もちろん悪い方に。

結果発表はIPAのサイトに受験者番号が掲示されるのと、受験者マイページの結果からも表示されます。

合格証書は発表後、約1か月で自宅に送付されます。

 

2024年度秋期試験の全体的な感想

午前Ⅱは従来通りの難易度で、過去の問題からの流用も多かったと思います。改めて過去問道場での繰り返しの勉強の大切さを痛感しました。

午後問1は難だったと思います。目新しい題材ではなく、過去問でも多く出題されているマルウェア感染時の対策に関する問題でした。設問の内容自体はそれほど難しくはありませんでしたが、解答時の制約がほぼないため自由な記述を求められました。にもかかわらずおそらく模範解答以外はほぼ不可だったのではないかと推測され、だとするとその模範解答を芯でとらえた書き方をするのは難しいと思われます。(ただしこの推測は過去問道場の合否スレッドと私の手ごたえだけをもとにしているので何の根拠もないことをご承知おきください)

午後問3はやや易だったと思います。javascriptの基本的な知識があれば最後まで解けますし、問われている用語も基本的で設問の設定も割と分かりやすいものでした。図を書く問題が初だったので戸惑いもありましたが、そんなに難易度が高いわけでは無かったと思います。(私は間違えましたが)

問2、問4は解いていないので分かりません。万が一気が向いたら解いてみて難易度を書くかもしれません。

全体の合格率は15.1%でした。例年20%近いのを考えればかなりの難化だったと言えます。新形式になってから合格率が下がっているという傾向もないので、今期が例外的に低かった可能性はあります。とはいえ問題自体が従来の国語の問題ようなものではなく真に知識を問うてきていることを考えれば、暫くこの合格率ぐらいの難易度にしていくつもりかもしれません。

 

有名な話ですが、IPAの試験は絶対評価ではないと推測されています。つまり、最初に決めた配点通りの採点がそのまま適用されるわけではありません。最初に初期配点で採点をし(素点)、それを大問ごともしくは全体で得点率を見ます。この得点率が例年と同じかつ60点あたりが最頻値になるように全体的に点数をシフトするか、もしくは採点をし直すのではないかと言われています。このようにして難易度の違う設問があったとしてもほぼ毎年同じ合格者を出せるようにしています。自己採点と乖離するのはこの点が大きく、正直運要素がある試験だと思います。

過去問道場さんに色々と統計が載ってて面白いのでご覧ください

 

最後に

この資格が役に立つかどうかはまだ私自身も分かりませんが、総じて資格の勉強は自分の知識のためになっています。

比較的合格率は高いとはいえ、1回で合格できる人ばかりではありません。あせらず地道に、自分の知識を深めるその延長に合格があると思ってチャレンジしてみてはいかがでしょうか。

カテゴリーIT全般 情報処理安全確保支援士試験 資格

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です