2019年の春期試験(平成31年春)で、情報処理安全確保支援士試験に合格しました。
今回は、情報処理安全確保支援士(以下、SC)試験の難易度と、合格のために必要な知識と勉強法について紹介したいと思います。
この記事の概要と想定する読者層
- 情報処理安全確保支援士試験に合格したよ
- この試験はこんな方におすすめ
- おすすめの勉強法方と勉強時間の目安
- 必要な知識を簡単に
- 情報処理安全確保支援士の難易度を知りたい
- これから情報処理試験の高度区分に初挑戦したい
- SEとして箔の付く資格が欲しい
- 合格するために必要な知識や勉強法を知りたい
管理人Shinのスペック
- 工業高校卒の高卒
- SIerのSE(ネットワーク系)
- 基本・応用情報持ち
- IT業界歴7年、SE歴3年
- ネスペ2回落ち
管理人Shinの結果
午前1試験は応用情報持ちのため免除。SCは一発合格です。
午前2、午後1、午後2の全てで60点以上を取れれば合格となるため、割と余裕を持って合格できていることになります。
午後1が少々難しいなと思ったものの、全体的には過去問とそれほどは変わらない内容であったため無事に合格できました。
SCの難易度は?どれくらいのレベルで合格できる?
ここが一番気になるところかと思います。
個人的には、基本情報技術者と応用情報技術者にはそれほど難易度の開きがなく、応用情報技術者とSCの間には少し難易度に開きがあります。
このような感じです。
何が難しいかというと、基本情報は全て記号での回答、応用情報も6割ぐらいは記号での回答だったのに対し、SCは9割以上記述で回答する問題がほとんどであるため、しっかりとした知識が必要となります。
基本情報か応用情報のどちらかは合格した状態で受験することが望ましいです。ネットワークスペシャリストやデータベーススペシャリストなどの高度試験と比べると、難易度はやや低めです。
LPICやCCNAなどのベンダー資格と比べると、覚えるべき項目が多いため難易度はやや高くなります。
SC合格に必要な知識
暗号化方式・暗号化アルゴリズムについて
情報セキュリティにおいては基本中の基本である暗号化方式と暗号化アルゴリズム。
公開鍵暗号方式と、共通鍵暗号方式の暗号化・復号化の流れを理解するのは必須です。
加えて、TLS接続を行う際のシーケンスについてもしっかりと理解しておきましょう。
こちらのサイトに詳しく記載されています。
CRYPTREC暗号リスト(電子政府推奨暗号リスト)に含まれる暗号化アルゴリズムについては、今回の試験でも過去問でも出題されていたので暗記すると良いと思います。
あと、過去問にも出題された、GDPR(EU一般データ保護規則)の概要についても説明できると良いです。
● GDPR(General Data Protection Regulation)とは
FW・DNS・プロキシ
午後試験には、上記のような構成図が必ず出てきます。
構成図に出てくるFW(ファイアウォール)やDNSサーバがどのような役割を果たすもので、どのような設定が必要になるかは理解しておく必要があります。
具体的には、外部からキャッシュDNSサーバにアクセスできないようにFWのフィルタリングルールを入れたり、なりすましメールの判定を行うためにDNSサーバにSPFレコードを登録するなどの設定です。
プロキシサーバについてはリバースプロキシとフォワードプロキシの違い、CONNECTメソッドのシーケンス、プロキシ認証を行なった場合のログ等の違い、コンテンツフィルタリングでできること、SSL終端した場合の挙動などをしっかりと押さえておきましょう。
構成図を見て設計を理解して、どのような設定が必要かまで頭で思い描くことができる必要があります。
ネットワークスペシャリストと比べると他のネットワーク機器の詳細な設定内容まで問われないため、DNS、FW、プロキシの設定内容をきちんと回答できれば問題ないかと思います。
ネットワークの知識
ルーティングについて問われる問題は過去問では少なかったような気がします。
必須の知識として、サブネットマスク・VLANで論理的にセグメントを分けることがセキュリティを高める上で基本となりますので、確実に押さえておきましょう。
また、ルータとL2スイッチ、L3スイッチがどういう役割を果たすものか、VRRPなどの冗長化の仕組みについても概要だけでいいので理解しておくのも必須です。
VPN
外部ネットワークからプライベートネットワークに接続するためのVPN(VertualPrivateNetwork)
トンネルモード・トランスポートモードの違いと、「場合によってどちらのモードを使用するか?」は押さえておきましょう。
あと、IPSecとSSL-VPNの違いについても押さえておくのは必須です。
ネットワークスペシャリストほど、各モードでのヘッダーの内容や鍵交換についての詳細は問われないので、概要をしっかり理解しておけば大丈夫ですが、今後の仕事に活かすためにも、どのような仕組みでヘッダーがついて暗号化されるかは理解しておくといいです。
運用について
セキュリティを上げるための運用についての問題もよく出題されます。
具体的には、
- 不審なメールを受信したら添付ファイルを開かず管理者にすぐ連絡する
- PCがマルウエアに感染したらネットワークから切り離し、シャットダウンせず保全する
- VPN接続用のトークンを無くしたら、ユーザーIDを利用停止にする
などです。
この辺りは、実務の知識を元にある程度回答できる方が多いかと思います。
セキュアプログラミング
午後1の3問のうち、1問出題されるセキュアプログラミング。
私は飛ばしましたが、プログラマの方はこちらを選択すると得点を上げられそうです。
私のようにプログラミングをしないSEの方は、「セキュアプログラミング以外の2問を選択する」方針で午後1問題を選ぶことで問題を選ぶ時間を短縮できます。
SCおすすめ勉強法
私が実践したおすすめの勉強方法を紹介します。
私の場合は、普段からネットワーク系の仕事をしている+ネットワークスペシャリスト試験も受けているので、初学の方より経験者向けの勉強方法となります。
使用した問題集、参考書は以下の2冊です。
後ほど勉強時間の項目でも紹介しますが、過去10年分の全ての午後問題を1周して、さらに直近の5年分の問題をもう1周しました。
時間を計りながら問題を解いて、解説を読んでわからなかったり間違えた部分を復習する形で勉強しました。
問題集は、過去2年分の過去問が解説付きで載っているほか、PDFでもさらに過去の問題を演習できるためアウトプット学習はこちらで十分です。
私はiPadにPDFの過去問をダウンロードして、仕事帰りにカフェなどでの勉強に活用してました。
ポケットスタディは電車の中でインプット学習をするのに便利です。
午後問題の回答テクニックなど非常に参考になります。
午前1,2試験対策について
午前試験は4択問題のため、ひたすら過去問を繰り返すしかないです。こちらの過去問道場がオススメです。
試験前の一週間は、電車で過去問道場を繰り返していました。慣れれば9割以上は取れます。
本当は内容もきっちりと理解することが望ましいですが、試験では過去の問題も選択肢や問題の数値が変わらず出るため、暗記してしまっても良いです。何度もやってると覚えます。
午前対策にはあまり時間を割かず、午後対策をきっちりやりましょう。
初学者の方へ
上で勉強した勉強法は、経験者向けの勉強法となります。
基本情報に合格したばかりであったり、いきなりSCを受験する場合は、教科書を用いてしっかりとインプット学習をしましょう。
また、過去問を解いてわからなかったことは、徹底的に専門サイトで調べることをおすすめします。
おすすめの教科書はこのあたりです。
SCの問題が難しすぎる場合は、先に一つ下の資格である情報セキュリティマネジメント試験(SG)を受験することをお勧めします。
SCは応用情報+αくらいの難易度で考えているとなかなか合格できないので、しっかり腰を据えてインプットすることをおすすめします。
管理人Shinの勉強時間
- 勉強開始:2019年1月中旬〜
- 勉強期間:3ヶ月
- 勉強時間:1回2時間 週4〜5日(ラスト1ヶ月の週末は1日4,5時間)
このような感じで過去問を繰り返し解いていました。(10年分の午後問題全問1周、さらに直近5年をもう1周)
最後の方にはどの過去問に当たっても8割くらいは正解できるようになり、ネットワークスペシャリストと比べて、
と確信していました。
ありがたいことに、本試験の問題も過去問からそれほどかけ離れたものでなくてよかったです。
登録セキスペについて
情報処理安全確保支援士は、試験に合格しただけでは”情報処理安全確保支援士”を名乗ることはできません。
初回約15万円、年間数万円の費用を支払って初めて支援士を名乗り仕事をすることができます。
私の場合は、特に支援士の資格は現場の業務に必要なく、ただセキュスペに受かったという知識証明のためだけに取得しているのでこちらの手続きは行なっていません。
必要になれば、会社から経費で出るので、手続きを行おうと思っています。
今の所、必要に迫られる現場ってそんなにあるのでしょうか?という印象です。
まとめ
SCはネットワーク系、セキュリティ系の知識を深めたい・証明したい方にはすごくオススメの試験です。
ネットワークスペシャリストは難しすぎるので、前段階としてSCの勉強をしてから受験するのもいいと思います。
また、情報処理技術者試験の高度区分としては(恐らく)難易度が最も低いと思うので、応用情報を取得してさらにステップアップしたい方にもオススメです。
何も知らない状態だと知識を詰め込むのが大変ですが、エンジニアとしてきっと血肉となる試験だと思います。
それでは、よいシンプルライフをお送りください^^
私は情報処理安全確保支援士の午前2問題は以下のサイトにとてもお世話になりました。
スマホからも見易くオススメです。
【情報処理安全確保支援士過去問対策.com】
https://ids.information.jp/sc/
コメントありがとうございます!
情報処理安全確保支援士の午前問題はネット上にも情報が多く、本当に助かりました。