電磁波に撃たれて眠りたい!

今日も電磁波浴びまくりのIT業界で働く@mamohacyがガジェット/クラウド/IT業界を語ってくブログ

情報処理安全確保支援士試験に2回落ちてから受かった私が語る「合格のための勉強法」

先日受験した2017年秋のIPA試験にて、情報処理安全確保支援士(SC試験)に合格いたしました!

f:id:mamoahcy:20180208083536p:plain

ええ、ギリギリですが何か?(苦笑)

実は過去2回試験に落ちており、かなり心が折られていて今回落ちたら次は辞退しようと考えていたくらいです。

過去2回は失意のあまり成績紹介の記録を残していなかったのですが、記憶ではいずれもたしか午後でヤラれていて点数も40点程度だったはずです。集中力がもたなかったというよりも、やはり「答え方」のコツを掴んでいなかったというのが正直なところだと思います。

合計3回の受験を経て、何をどう勉強すればSC試験は受かるのか?がだいたい掴めたと感じています。 このノウハウはこれからSC試験に挑戦される方にとって少しでもプラスになるではないか?と思い、せっかくなのでシェアしてみたいと思います。

■ SC試験を受けるための心構えについて

情報処理安全確保支援士試験(以下SC試験)、特に鬼門となる午後問題は、ひとことで言ってしまえば「日本語の問題」です。

たとえデファクトスタンダードである製品のコマンドや設定方法がわかったとしても、問題文に書いてないものは絶対に正解になりません。 また質問内容に対して、どのような語尾で返すべきなのかという「定石」も存在します。 文字数に制約があるために、文面の作り方についてのコツも存在します。 さらにSC用語と呼ばれる独特の言い回しもあります。

私が「日本語の問題」と書いたのはまさにここで、たとえセキュリティに関する知識や業務経験があったとしても、SC試験独特の文化を学ばなければ、決して合格はできません。過去にSC試験にヤラれてきた人にはきっとこの感覚はわかってもらえると思います。

ここから先に記載する試験方法では、このあたりにフォーカスし、最も短時間で試験をクリアする方法を例示していきます。

■ 前提となる予備知識

SC試験を受ける人で、IT業界にまったく関与していない人は居ないと思いますが、まず最低限のIT業界用語は把握している必要があります。ここは特に言及しませんが、午前I対策に書かれている勉強法をやりながら足りないところを別の参考書で保管していくのがベターです。今はネット上の情報がかなり抱負になっているので、わからない内容はネットで調べるほうが早いかもしれません。

またセキュリティに関しての一般的な知識を体系的に学びたいのであれば、下記の書籍を通読されることをオススメします。

情報処理安全確保支援士 合格テキスト 2018年度 (情報処理安全確保支援士試験対策)

情報処理安全確保支援士 合格テキスト 2018年度 (情報処理安全確保支援士試験対策)

■ セッション別勉強法

SC試験試験は丸一日かけて試験が行われ、午前I、午前II、午後I、午後IIと、全部で4セッションもある長丁場です。 ここからは各セッション毎の勉強のコツを書いてみます。

□ 午前I対策

午前問題はすべて知識問題でしかも回答は選択式なので、とにかく過去問をひたすらやって知識をためていくのが重要になります。SC試験における午前Iの試験範囲は、応用情報試験(AP試験)の午前と丸かぶりなので、ここをターゲットとして勉強していきます。

この応用情報の午前試験対策ですが、ありがたいことに「過去問道場」という無料のWebサイトがあり、このサイトを使うことで効率的に過去問を学んでいくことができます。このサイトがまじでスゴイ!

応用情報技術者過去問道場|応用情報技術者試験.com

  • ユーザー登録すると過去の成績なども保管できる
  • 期ごとの成績表、苦手分野の把握、全体としてのカバー率なども見れる
  • 選択肢の順番入替え(選択肢の位置で覚えてしまうのを防止)、計算問題の除外やそれだけ出すもできる
  • 2回連続間違えた問題だけ出す、指定した期でランダムに出題して模試っぽく試験などもできる
  • 回答ページにそれぞれの問題の解説とその選択肢がなぜ間違っているかの説明まで付いてる、
  • スマホサイトもあり、電車内でも問題なく勉強できる。

正直行って、午前問題はもうここだけで十分といって良いくらいです。

午前I試験ではこの過去問がそのまま、または少し加工した問題が全体の半分以上出題されるので、90点以上とれるようになっていればほぼ間違いなくパスできるでしょう。もちろん意味がわからない状態で回答だけ覚えても仕方ないので、わからない問題は調べて内容を把握して下さい。

□ 午前II対策

午前IIに関してもSC試験専用の過去問道場があるので、まったく同じやりかたでひたすらやります。 過去5年10期分を90点以上を目指しましょう。

http://www.sc-siken.com/sckakomon.php

午前対策は通勤電車内でもやれますし、ながら勉強をうまく使って長時間に平たくやっていくことで知識が補完されていきます。 感覚的なものもありますが、本格的な午後対策に入る前にウォームアップとして、すこし早めに開始しておくのが吉です。

□ 午後I対策

ここが一番の鬼門です。心してかかりましょう。

まず時間が全然足りません。

午後Iは試験時間が90分で、3問中2問を選択して解く必要があるのですが、問題文が異常に長いのでどの問題を選ぶか?だけでだいたい15分程度要してしまいます。

その後、見直しなどを含めて15分程度残すとすると、1問を30分程度で解く必要があります。

上記を加味した上で、まず過去問を1問30分くらいで解く練習を何回かやります。 タイマーを仕掛けてまず3回分くらいやってみてください。

このハードルがいかに高いかがわかります。

おそらくですがSC試験が初めての人は殆どの場合時間切れになるか、間に合っても回答例を見て絶望すると思います。

「こんなの・・・本当に受かるのか・・・」

はい、そのとおりです。

先程も書いたとおり、SC試験には非常に強いクセがあるので、それに慣れる必要があります。 何日かに分かれてもいいので、そのままタイマーをかけて解説まで全て読む、を繰り返してみて下さい。

すると、だいたい5〜6問目くらいで、下記に列記するような「独特なSC文化」が見えてくるはずです。

  • 問題文を簡略化するためにリモート接続用PCをRPCとしたり、やたら普段使いなれない略語が使われまくる
  • 問題は必ず「ストーリー仕立て」で展開されてる(後述)
  • 「〜はなぜか?」と聞かれたら「〜だから」と答えるとか、「答え方の暗黙のルール」が存在しそう
  • そもそもこの短い文字数制限に回答を収めるための方法がありそう

そうなんです。

これこそが、SC試験は日本語の試験だと私が断言するゆえんでもあります。

このあたりはどうやって練習したらいいのか全然わからなかったのですが、色々ネットで調べていくうちに下記の本にたどりつきました。 実際に私は2期に渡り購入したのですが、回答のコツという意味ではものすごいノウハウが凝縮されています。

これをレファレンスとして使うのは正しいとは思えませんが、私と同じように「こんなの受かるわけ無いだろ!」と思った人にとってはオススメです。

ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験)

ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験)

□ 午後II対策

最後の試験セッションである午後IIですが、個人的には対策というのは殆ど不要だと思います。 というのも回答のためのコツや要素はすべて午後Iに集約されているからです。 時間的な余裕も午後IIにはあるので、そのあたりも考慮不要といっていいです。

ただ、午後IIに関しては「気が遠くなるほどに長い問題文」がネックで、設問に問われている内容を見つけ出すのに苦労します。 なので時間配分に関しては問題ないですが、2、3回ほど過去問を使って、その壮絶さを体験しておくと良いでしょう。

私も3回めの受験では午後2対策は一切やりませんでした。

■ その他のよくある疑問

私も試験対策中に色々調べたり聞いたりしながら学んだものをノウハウとして残してみます。


Q1 .設問のどこを見ていきますか?
A1. ストーリー仕立てのセクション毎に注目ポイントがあります。


午後に絞りますが、ポイントはいくつかあります。

まず殆どの場合で、午後の問題は下記のプロットに従った「ストーリー仕立て」で問題が進行します。

(1) 現行システムの説明
(2) インシデントの発生
(3) 情シス部門による一次対応
(4) セキュリティ専門会社が登場
(5) インシデント分析・原因究明・対策
(6) 更なるセキュリティ強化のための追加措置

まずこの展開に慣れる必要があります。

過去問を解き慣れていると、(1)でどの辺がヤバそうかが見え、(2)で起きたインシデントが何かを見抜くことができ、(5)や(6)の対策として何が必要なのかがだいたい見えます。

題材として扱われるインシデントはある程度決まっているのですが、その原因となるものが直近で話題になった脆弱性や攻撃手法になることがたまにあり、過去問をひたすらやっているだけではクリアできません。つまり、IPAのページ等で、最新のセキュリティ情報などを追っておく必要がある、ということです。 名前などを直接問われることもありますし、名前を問われなくても「あ、あれだ」という出題が結構出ます。 IPAの他の資格に比べるとSCはアップデートがかなり早いとも言えます。

次に各ストーリープロットごとのチェックポイントです。

(1) 現行システムの説明
  • システム構成図の略語にヤラれるので注意
  • 右端や欄外に書いてある但し書きは絶対に読むこと。ここを条件とした引っ掛け問題がかなり出ます。
  • 場合によっては問題用紙の別の場所に自分で書き直してもいいと思います。  設問と問題文の最初を行ったり来たりすると面倒なのと、頭に入りにくいからです。
(2) インシデントの発生
  • 発生した内容が淡々と書かれるのですが、ところどころに重要な動作などが含まれます。
  • 引っかかる言動にはマークしておくといいです。
(3) 情シス部門による一次対応
  • だいたいこの対策は一時しのぎであり、効果が薄い
  • 午後2ではここから2次被害が発生することも!
  • (1)の現行システムの、どの部分に対して対策をとったのかをマークしておくといい(後述)
(4) セキュリティ専門会社が登場

午後試験では必ずといっていいほどこの「凄腕のセキュリティスペシャリスト」が登場します。
未来の自分を重ねながら、この人になり切って自分ならどうするか考えます。
問題文は客観的に書かれているので、彼ならどうするか?を考えられるようになるのもポイントです。

(5)インシデント分析・原因究明・対策

(1)でチェックした欄外の条件、(2)のマーク、(3)の図につけた印などを見ながら、出て来る分析内容を当て込んでいきます。
ここで予備知識や流行りの攻撃手法などの知見が効いてきます。

(6)更なるセキュリティ強化のための追加措置

この追加対策は(3)の一次対応の不足であったり、(5)の対策後に「追加調査」を行った結果発見された問題点を塞ぐ目的で実施されます。
(3)の対策でおや?と思ったトコロだったり、(1)の現行システムの説明で危なさそうなポイントをだいたい狙ってきます。


Q2. 問題用紙では設問から見るべき?それとも問題文から見るべき?
A2. 私は設問からみていました。


これに関しては様々な意見がありますが、私は最初のシステム説明を読み、その後いったん最後にある設問を呼んでから問題文の続きを見る、というやり方で解いていました。

理由は問題文中に下線がやたら引かれるのですが、それに関しての問いを後から知るとまた問題文まで戻ってという振り返りのための時間が取られるからです。特に時間のない午後Iではちょっとの時間が致命的になるので、時間短縮の目的からこのような方法をとっていました。

また問題選択のために設問内容を見ておき、配点がでかそうな文章問題をとても答えられそうになかったら選択対象から外すという判断を早めるためにもこの方法は良いと私は感じています。

いずれにしても、よほどの理由がなければ設問から先に見ることにデメリットはないと思います。


Q3. 実際の勉強時間や実施方法はどうやったの?
A3. 全部スマホでできるよう準備して通勤時間のみで対策しました


私はIT業界に携わって20年ですが、ここから一般的なIT用語以外のセキュリティ知識ほぼゼロの状態で挑むとして、期間でいえば3ヶ月、時間で言うと150時間くらいは必要になるのではないかと思います。

下準備としてまずはスマホで全ての勉強が出来るようにして、ほぼ通勤時間のみで予備学習を終えました。 これは私が通勤時間が長く、電車に乗っている時間だけで往復2時間半近くあることを逆手に取った方法です。

具体的にどうやっていたのかというと、通勤時間は乗り物ごとに

在来線15分 + 新幹線55分

だったので、在来線15分は行きも帰りもひたすら「過去問道場」のクリアに充て、新幹線55分では、このような順序で勉強を徐々に移行していきました。

  1. 予備知識の本をスマホで読みまくった
  2. 自分で電子書籍化した午後問題を解いた
  3. ポケットスタディを読みまくった
  4. もう一度午後問題を解いてみる(同じ問題+別の問題)

2.の電子書籍化ですが、裁断機とスキャナなんて高度なモノは持ってないので、CamScannerというアプリで直接アナログの本を撮影してPDF化してました。 タブレット持ってる人はほぼ本物サイズになるのでいいかもしれませんね。

CamScanner

CamScanner

  • INTSIG Information Co.,Ltd
  • 仕事効率化
  • 無料

1.と2.で予備知識のインストールと「SC試験の流儀」を叩き込んだら、3.で「回答のための流儀」を学びます。 この順番で行かずにいきなり3.にいってもまったく効果がないので注意してください。 そして4.で、これまで私が書いてきた「感覚」が見えてきたら、そろそろ合格が近いと思います。 回答はスマホのメモ帳に記入してやってました。

通勤時間が短い人は、昼休みを使うとか、帰り際に45分だけカフェによってやるとかがいいと思います。 問題を解く30分と答え合わせの15分は別枠にしてしまうってのもアリかもしれません。

そしてここが最も重要なポイントです。

試験が近くなったら、必ず本番と同じ解答用紙を使って、鉛筆と消しゴムで過去問に挑んで下さい。 やってみるとわかりますが、スマホでやれていたことが手書きになるととたんにできなくなります。 漢字がでてこないとか字数調整が難しいとか、書いたものを消すのにDELキーじゃなく消しゴムを使う必要があるなど、考える以外の作業にも実は手間と時間が取られるということを痛感するために必ず必要な儀式です。

私はこれをやらずに1回めに挑んでしまったがためにまったく時間が足りなくなってしまい、間に合わせでマスを埋めるしかなかったという最悪の事態に陥りました。

1日通しでやるリハは要りませんが、とにかく午後の2つはリハーサルのつもりで、紙の問題用紙と紙の解答用紙、本番で使う鉛筆やシャーペン、消しゴムを用意してトライしてみてください。

■ さいごに

IPAの上位資格はみなそうですが試験時間がとにかく長くてイライラするんで、3回も受けるのはほんとに心が折れそうでした。

結果、期間としては14ヶ月以上使って勉強していたのに後半2回の勉強においては知識レベルの上昇は殆どなく、時間配分やテクニック、暗黙のルールなどを学ぶことにほぼ費やしたかたちです。応用力や創造力などは必要なく、持てる知識を使い設問に合わせてSCルールに則って日本語の構成をアジャストしていく。

これが「ザ・SC試験」です。

逆に言うとそれなりに基礎固めさえしていれば、SC試験はほぼ一発で受かることができる、ともいえます。

幸い過去問は解説を除けば無料で手に入れることができますし、学んだ知識ではなくテクニックを実証するためにひたすら過去問を説いていくという王道のやりかたが、結局は合格のための最短ルートだった、と言えると思います。

受験生の皆様、大変だと思いますが、がんばってください!

■ (Appendix)参考書籍

受験にあたり購入した書籍にコメントをつけて載せておきます。 参考書は好みがあり、見え方はひとぞれぞれなので、必ず書店で中身を確認してから購入されることをオススメします。 (Amazonで直購入して失敗したものもいくつかあります・・・)

情報処理安全確保支援士 合格テキスト 2018年度 (情報処理安全確保支援士試験対策)

情報処理安全確保支援士 合格テキスト 2018年度 (情報処理安全確保支援士試験対策)

  • 全体を体系立てて勉強したい人むけ
  • ちょっと冗長で読むのが疲れるかもしれないけどまったく知らない人はここから入るべき
  • 情報はアプデされていくので高くても最新版がオススメ

2018 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (専門分野シリーズ)

2018 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (専門分野シリーズ)

* 2回めの試験のときに購入 * 過去のデータから出題予想をし可能性が高いもののみを重点的に解説 * SC試験範囲全体を勉強するのには向いてない。 * 出題傾向把握や午後問題などで何が問われるのかを知るのには向いている。 * 漫然と勉強するのが苦手な人向き

↓※ブログカードがでないのでコチラで。

  • iTECからでている過去問題集
  • 解説がしっかりしているのでこれを使って過去問実施すると楽
  • 3期分しか収録されていないので、古本などでもっと古い年のものも買うとベター

SSL/TLSを理解する ~共通鍵暗号・公開鍵暗号・ハッシュ関数・電子署名・証明書~

SSL/TLSを理解する ~共通鍵暗号・公開鍵暗号・ハッシュ関数・電子署名・証明書~

* SSL/TLSの基本を理解するのに購入 * SSL/TLSはSC試験には必ず出てくるのと、理解が難しいので頭に叩き込むといい

ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験)

ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験)

  • 合格のコツを掴むため「だけ」に特化したキワモノ本
  • 記憶のいい人やよっぽど隅々まで覚えるのが好きな人でないかぎり、これを買わないと合格は難しい
  • 電子書籍もあるが絶対に物理本で買ったほうがいい(いったり来たりしやすい)
  • サイズが小さいので通勤時間中の勉強にも最適