令和7年度春期の情報処理安全確保支援士試験を受験しました。
この記事では、勉強方法や勉強にかけた時間、そして試験を受けての所感を振り返っていきます。
※試験制度や出題範囲など、情報処理安全確保支援士の詳細については、IPA公式サイトをご参照ください。
基本情報技術者試験(FE)
まずは試験を受けた率直な感想です。
試験結果は7月に公開されますが、正直なところ「これは落ちたな」というのが自己評価です。
わたしは午前Ⅰ試験の免除対象ではなかったため、全セクション(午前Ⅰ・午前Ⅱ・午後)を受験しました。
各試験の印象をざっくり表すと、以下のような感じでした:
という感じで、大敗を喫しました。
ここからはわたしが実施した勉強法をまとめます。
本格的に試験対策を始めたのは 2月中旬 からです。
それまでは Python3エンジニア認定試験 の勉強をしていたため、スタートは遅めでした。
期間が短めだったため全く勉強しない日はありませんでした。
勉強時間 約80時間
開始時期 2月中旬
正直1番大変でした。範囲が広く、情報処理安全確保支援士の試験内容に応用が効くものも少ないためです。
午前Ⅰ試験の内容は同日に実施される応用情報技術者試験の午前問題80問の内30問から出題されます。
合格された方の情報によると、応用情報技術者試験(直近2回を除く)過去6回分を正答、誤答の内容を理解すれば問題なしという記事を多く見かけたので、それを参考に勉強しました。過去問は皆さんおなじみのを利用しました。
基本情報技術者試験で見かけたことがあるものはあったので、そこはアドバンテージがありました。
過去問道場には「チェック機能」があり添付ファイルのようにチェックがつけられます。
わたしの利用方法としては以下のように分けました。
再度解くべき問題が170問残っていましたが、時間がなく、最後まで取り組むことができませんでした。
その影響で、一度は理解していたはずの内容も定着しきれず、本試験では正確に回答できない場面が多くありました。
勉強時間 約100時間
開始時期 2月中旬
午前Ⅰと同様過去問を中心に勉強を実施しました。
午前Ⅱは1回あたりの問題数が25問と少ないので、令和元年まで実施しました。
どの年も似たような問題が出ているので、本試験でもスムーズに回答することができました。
午後対策の勉強も兼ねるために基礎知識を身につける以下の参考書やサイトで学習しました。
いずれも理解しやすい内容でした。試験を受けないけれど、セキュリティの基礎知識は身につけたい方にもおすすめです。
家事や通勤中(歩いているときなど)で手を動かせない場面では、YouTubeでセキュリティの基礎知識や過去問の解説動画を流し聞きしていました。
情報処理安全確保支援士試験用の参考書も購入しましたが、分厚くて完読する時間は取れなかったため、過去問で理解できなかった箇所を調べる“辞書代わり”として活用していました。参考書はさまざまな種類がありますが、書店で立ち読みした限りでは、大きな違いは感じませんでした。
勉強時間 約100時間
開始時期 3月初旬
午後は午前の4択とは異なり、筆記試験になります。
率直にいって、あと1ヶ月あればとうのが正直な感想です。
午後の主な分野として下記テーマが出題されます。
時間が足りず、各テーマの対策が出来ませんでした。
| 項番 | カテゴリ | 主な出題テーマ |
|---|---|---|
| 1 | ネットワーク・プロトコル | ・ネットワーク構成図の読み取り ・FW/ルータ設定 ・通信ログ/パケット解析 ・ARP/IPスプーフィング ・VLAN構成/セグメント分離 ・VPN、DoS/DDoS対策 |
| 2 | 認証・アクセス制御 | ・パスワード/OTP/証明書 ・RADIUS/Kerberos/OAuthなど ・MFA、IDaaS、SSO |
| 3 | システム構成・脆弱性管理 | ・OS/ミドルウェアの脆弱性 ・WAF/IDS/IPSの導入 ・セキュリティパッチ運用 ・デフォルト設定の危険性 |
| 4 | アプリケーションの脆弱性 | ・XSS、SQLインジェクション ・CSRF、CSP対策 ・Cookie/セッション管理 ・パラメータ改ざん |
| 5 | ログ分析・インシデント対応 | ・Web/メール/プロキシログ ・C&C通信検出、感染端末特定 ・初動対応、SIEM活用 |
| 6 | 組織的対策・管理策 | ・ISMS/情報資産管理 ・セキュリティポリシ策定 ・RBAC、内部不正対策 |
| 7 | 法律・制度・規格 | ・不正アクセス禁止法、個人情報保護法、著作権法など ・電子署名法、サイバー犯罪条約 ・JIS Q 27000シリーズ、ISO27001など |
| 8 | デジタルフォレンジック | ・証拠保全→解析→報告の流れ ・マルウェアのレジストリ・ログ解析 ・ハッシュ値による改ざん検出 |
| 9 | メールセキュリティ | ・フィッシングメールの見抜き方 ・添付ファイル/リンクの危険性 ・SPF/DKIM/DMARCの効果 |
| 10 | クラウド・ゼロトラスト | ・IaaS/PaaS/SaaSのセキュリティ ・CASB、IDaaS ・ゼロトラストモデル |
| 11 | 脅威分析・攻撃手法 | ・MITRE ATT&CK、NIST SP800 ・STRIDE脅威モデリング ・攻撃ライフサイクルの分析 |
| 12 | インシデント報告・文書作成 | ・セキュリティ報告書/構成図読解 ・証言/ヒアリング内容の分析 |
業務ではWebシステムの開発に携わっているため、「認証・アクセス制御」「アプリケーションの脆弱性」「クラウド」といった分野には比較的取り組みやすさを感じていました。
実際、過去問の傾向からも認証やクラウド関連の出題が多く見受けられたため、それらを中心に学習を進めました。
これらの分野については、初見の問題でもおおよそ70点程度を安定して取れるレベルに達しており、合格圏内に入っていると感じていました。
しかし本試験では、対策していた分野の出題はほとんどなく(正確にはわたしが選択した問題)、予想外にも「システム構成・脆弱性管理」の問題が中心となってしまいました。その結果、十分な得点を取ることができず、悔いの残る結果となりました。
1年分の解説しか乗っていませんが、抑えるべきポイントや回答方法など詳細に記載されており、初めて午後問題を解く方にはとっつきやすい書籍です。
こちらは午後対策の定番の書籍ですが、各テーマ別に幅広く過去問の解説がされています。
午前の勉強法も記載されているので、人によっては試験対策はこちらの参考書だけでもいいかもしれません。
悔しい結果となってしまった最大の要因は、試験対策のスタートが遅れてしまったことにあります。
3月中旬以降は「最後の追い込み」として特に力を入れて勉強した期間でしたが、焦りから午前Ⅰ対策と午後試験対策のどちらも中途半端な状態に終わってしまいました。
また、限られた時間の中で常にインプット中心の学習となってしまい、知識としては身についたものの、それを「知恵」として定着させるには至りませんでした。
そのため、応用力が求められる午後試験では、十分に対応することができなかったのも敗因の一つです。
しかし、セキュリティの基礎知識を得る良い機会とはなりました。
Be the first to comment
