NaeNote

読者です 読者をやめる 読者になる 読者になる

NaeNote

気楽に生きたい外資コンサルのブログ

ガチで実務に活かしたい人向け、情報処理安全確保支援士の勉強方法(旧:情報セキュリティスペシャリスト)

テクノロジー テクノロジー-情報セキュリティ
このくらいシェアされています
スポンサーリンク

情報セキュリティスペシャリスト試験の合否判定結果

こんにちは、NAEです。

平成27年度秋季の情報セキュリティスペシャリスト試験に合格しました。勉強期間は2ヶ月。得点率は上の通り。

ここに至るためにぼくがやった試験対策や勉強方法を書いていきたいと思います。

以下、情報セキュリティスペシャリストの知識を実務でバリバリ活かすための勉強法です。

単に資格取得が目的の方、最小労力でギリギリ合格を目指す方はブラウザをそっと閉じてください。

<2016/06/28更新>

後続の資格である情報処理安全確保支援士に関し、IPAから正式にプレスリリースがありました。

プレス発表 “情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて:IPA 独立行政法人 情報処理推進機構

試験内容に大きな変更はないと見られています。また本質的に必要な情報セキュリティ知識は制度の形とは無関係です。

そのため、情報セキュリティスペシャリスト試験を対象とした勉強方法や対策は、情報処理安全確保支援士の試験でも引続き有効と見ています。

情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)とは

IPA 独立行政法人 情報処理推進機構:制度の概要:情報セキュリティスペシャリスト試験

情報処理安全確保支援士とは、IPAの運営する情報技術者資格の中でセキュリティに特化した上位資格です。

前身である情報セキュリティスペシャリストの合格率は例年およそ12〜15%。後続資格である点、また情報セキュリティに必要な知識は本質的には変わらないことを考えると、合格率はおおよそ例年通りになると予測しています。

今後最も注目される技術にセキュリティが名を連ねる等、セキュリティはこれからより需要が増えていく分野。

そのため、情報書処理安全確保支援士という資格もよりポピュラーになっていくものと思います。

情報セキュリティスペシャリストを取ろうと思った理由

ぼくがなぜ、情報セキュリティスペシャリストの資格を取ろうと思ったか。

それは、必要に迫られたからに尽きます。

2015年の夏過ぎ、とある新プロジェクトを担当することになりました。お題は全社セキュリティ改革。クライアントはセキュリティ畑を歩んで20年の大ベテラン。そして担当者はぼく一人。

クライアントの期待値は、コンサルタントとして改革をドライブすることでした。現状を理解し、あるべき姿を描き、そこに至る筋道をつけるためには、セキュリティの知識、技術、言葉や方言の体得が必須だったのです。逆にそれがなければ話にならない。

しかし、当時のぼくはセキュリティに精通しているとは言えませんでした。そんな時、たまたま一週間後に情報セキュリティスペシャリスト試験の申し込み期限が迫っていることに気がつき、どうせ勉強するならついでに資格も取ってやれ!となかばエイヤで申し込みを済ませました。

情報セキュリティスペシャリストに高得点合格した勉強法

一言で言えば、コンサルティングで身につけたアプローチを勉強にも適用しコミットした、です。

  1. 現状を理解し (As Is)
  2. ゴールを決め (To Be)
  3. 現実的な計画を立て (Plan)
  4. 最適な方法で実行していく (Execute)

1.勉強開始前の状態を把握する

ぼくのIT関連の出自、背景は以下の通りです。

  • 大学~大学院でIT(システム工学)を専攻
  • 9年前に基本情報技術者、8年前に応用情報技術者を取得
  • ITコンサルティングの仕事で日々ITやシステムには触れる

IT系の基礎知識は身についているが、分野ごとにムラはある。特にセキュリティに特化した知識は一部を除きほぼ皆無、という感じ。

正直なところ今の自分が情報セキュリティスペシャリスト試験にどこまで通用するかが未知数のため、まずは無勉強の状態で1回分の過去問を全て通しで解き、その結果をもとに得意・不得意分野を把握することとしました。

結果は・・・IT基礎知識を問う午前Ⅰは60%程度、セキュリティや関連技術の高度な知識を問う午前Ⅱ問題は30%程度でした(特にネットワーク関連がぼろぼろ)。IT基礎知識の全般的な底上げとともに、セキュリティや関連技術についても体系的に身につける必要がありました。

2.試験における得点率の目標を設定する

ぼくが設定したゴールは、午後問題を素早く完璧に答えられること、です。

プロジェクトの現場では目の前で様々なセキュリティ課題が起こります。

ぼくは全社セキュリティ改革を推し進めるかたわら、日々の課題の対応サポート、根本解決の施策立案とプロジェクト化、そして全社セキュリティ改革との整合確認をリアルタイムでこなすことが求められていました。

リアルな=午後問題に出るような課題を、片手間で=あまり時間をかけずに解決できるレベル(少なくとも対応方針出しと指示ができるレベル)が必須だったため、このようなゴール設定をしました。

3.スタートとゴールをつなぐための、勉強アプローチとスケジュールを決める

  • 勉強アプローチ
    • 午前Ⅰ対策:IT基礎のため、安全に通過できることを目標に可能な限り省力化する
    • 午前Ⅱ~午後Ⅱ対策:まずセキュリティ知識を体系的に理解し、自分で説明できる状態に昇華してから演習に臨む
    • 一通りの演習が終わったら、前回・前々回開催分の過去問を通しで解いて最終チェック
  • 制約事項、およびそれに基づく時間の使い方
    • 平日は仕事、週末は家族と過ごす時間を確保する。そのため勉強時間は土日の早朝~昼まで(6時間程度/日)+通勤時間に限定
    • そのため片手間でできそうな午前Ⅰ対策は通勤時間を、まとまった時間が必要な午前Ⅱ~午後Ⅱ対策は土日の時間を充当

というわけで立てた全体スケジュールがコチラ。1週間あたり下記の教科書2章分を確実に理解していき、後半で一気に応用力をつけていきます。

情報セキュリティスペシャリストに合格に向けて立てたスケジュール

4.計画に沿って勉強する

ここまでくれば、あとはいかに計画通りに実行するかだけが問題です。

  • いかに勉強時間を確保するか
  • 時間確保が難しい、もしくは足りない場合はどうリカバリするか
  • どのような教材を使って効率的に勉強するか

時間の確保については前述のとおりのため、ここでは教材、すなわち利用した参考書やアプリ、それらの使い方について触れていきます。

午前Ⅰ対策

通勤時間帯に勉強しなければならないためスマホアプリを利用。

情報セキュリティスペシャリスト試験対策アプリはいろいろありますが、ぼくにはこちらが最もシンプルで使いやすかったです。思い立った時に午前Ⅱの問題演習もできるのも便利でした。古い過去問から順番に解いていきます。

play.google.com

午前Ⅱ〜午後Ⅱ対策

腰を据えて勉強するため書籍を利用しました。

セキュリティ知識の体系的理解

まずは教科書。頭から読んで理解を進めます。

初回演習で自分の得意・不得意分野がわかっているはずなので、得意分野は軽めに、不得意分野は重点的にと濃淡をつけます。わからない言葉があったら適宜Webで調べて補強します。

重要なのは、ただ闇雲に言葉や仕組みを暗記するのではなく、なぜそのような仕組みになったorしなければならなかったのかまで理解することです。でないと午後問題を解く際に応用が効かないし、実務でも使えません。

章末にサンプル問題があるので、自分の知識チェックのため必ず解いていきます。

問題演習

次に問題集。学んだことを使えるようにするにはやはり問題演習が一番です。

こちらの問題集、分野毎の出題数の傾向に基づき章立てされているため、ひたすら解けば自然と得点率が上がる作りになっています

午前Ⅱ

とにかく数をこなします。間違えた問題およびなぜその選択肢が正しいのか説明ができなかった問題にはチェックをつけ、ページに折り目をつけておきます。ページ内の問題をすべて解けたら折り目を外します。

これを折り目がなくなるまで繰り返していきます。問題の解説文のみで理解ができなかった場合は、適宜上記の教科書やWebで補っていきます。

そこそこの数をこなしてくると、問題文を見るだけで答えがわかるようになります。これは完全に慣れです・・・

午後Ⅰ、Ⅱ

午後問題はスピード勝負のため、演習の際は本番の制限時間の半分弱(午後Ⅰは30分/問、午後Ⅱは50分/問)をめどに解いていきます。

答え合わせの際は、自分の解答と模範解答を見比べ、その差分を確認します。不足部分がなぜ必要なのか、書きすぎた部分はなぜ不要なのか、その理由を解説文から読み取り、必要十分な解答というものの温度感を身につけます。

なお、ぼくの場合、設問から必要な情報を逆引きして問題文を読むというテクニックは使いませんでした。結局問題文と設問を行き来することになり時間がかかるのと、問題の全体像を正しく捉えないと適切な解答が書けないからです。

解答の前提とすべき重要な情報が問題文中にしれっと書かれている場合もあります。そのため問題文を頭から読んでいき、全体像を正しく把握すれば、自ずと解答が見えてくるはずです。

情報セキュリティスペシャリスト試験の勉強の進み具合

情報セキュリティスペシャリスト勉強中の風景

前半は概ねスケジュール通り。ただ苦手分野のネットワーク技術(特に下位層のプロトコル)や関連するセキュリティ技術の理解には苦戦しました。

午前Ⅱ問題の演習について、問題集のボリュームが思いのほか多かったため、当初3週ほどする予定のところを2週に減らしました。

また後半の演習期間に入ってからのスピードアップに苦労し、結局最後の1ヶ月は土日両方とも早朝〜昼を勉強時間に充当しました。

情報セキュリティスペシャリスト試験当日の過ごし方

試験当日、会場までの移動時間を使って教科書巻末の単語帳で知識の最終チェックをしながら、午前Ⅰ問題の過去問をざっと問いて頭を試験モードに切り替えていきました。

試験中はとにかく最高パフォーマンスを発揮すべくコンディションを整えることに注力。これまでの自分の努力を信じ、焦らず、リラックスすることを心がけました。


試験は滞りなく終了。スピード重視の勉強が功を奏してか、午前午後とも見直し含めて半分以上時間を余して途中退室。試験が進む毎に受験人数が減ってくのが印象的でした。

情報セキュリティスペシャリスト試験の合格率の低さは、

  • そもそも最初から試験にこなかった(来られなかったor諦めた)
  • 途中で合格をあきらめ、試験を放棄した

という事情があったんだなあと。

最後まで試験に挑んだ人が母数ではない以上、12-15%という合格率は若干盛られていることになりますね。

まとめ:

以上、ぼくが2ヶ月で情報セキュリティスペシャリストに一発合格した際にやったことでした。

  1. 現状を理解し (As Is)
  2. ゴールを決め (To Be)
  3. 現実的な計画を立て (Plan)
  4. 最適な方法で実行していく (Execute)

今後情報セキュリティスペシャリスト試験を受験される方の参考になればと思います。

(追記)情報処理安全確保支援士について

2017年度より、情報セキュリティスペシャリスト試験は情報処理安全確保支援士試験へ移管されます。

【セキュリティ ニュース】2017年度に「情報処理安全確保支援士試験」が開始 - セスペ合格者は試験免除(1ページ目 / 全1ページ):Security NEXT

本試験はこれまでの情報セキュリティスペシャリストとは異なり、定期的な更新が必要な資格です。

なお、すでに情報セキュリティスペシャリスト資格を持っているなど、一定のレベルを認められる場合は試験が免除されるとのこと。(資格更改に10,700円かかるそうです。高い・・・)

さて、肝心の出題範囲や出題形式ですが、情報セキュリティスペシャリスト試験のものから大きく変わることはないと予測します。

その理由は以下。

  • 資格試験名が変わっても、情報セキュリティそのものは変わらない
  • 情報セキュリティスペシャリスト試験セキュリティ知識を非常にうまく網羅している
  • そのため、わざわざすべてを刷新するのは無駄でしかない

資格試験の制度や名称に振り回されず、情報セキュリティを修めるにあたって身につけるべきな本質的な知識は何かを理解することが、最も重要です。

本質さえ体得すれば、情報処理安全確保支援士でもCISSPでも合格することは可能なはず。

がんばりましょう!

おまけ

資格取得が目的の方、最小の労力で60%得点ギリギリを目指している方はこちらの書籍がおすすめです。

関連記事

スポンサーリンク