情報処理安全確保支援士の勉強方法・過去問分析 一発合格への道!

情報処理安全確保支援士 合格発表

情報処理安全確保支援士に一発合格しました! 
f:id:riki12342000:20181224150944j:plain

受験を目指される方のために、勉強方法、おすすめテキスト・問題集 過去問対策のまとめたいと思います。
※「情報処理安全確保支援士」(旧名:情報セキュリティスペシャリスト 別名:登録セキスペ)

詳しくはこちら

今回の合格率

18.5%(例年16~17%なので若干高め)

合格率の推移【合格率の推移】

開催年度受験者数合格者数合格率
30年秋期15,257人2,818人18.50%
30年春期15,379人2,596人16.90%
29年秋期16,218人2,767人17.10%
29年春期17,266人2,822人16.30%
28年秋期22,171人3,004人13.50%
28年春期18,143人2,988人16.50%
27年秋期18,930人3,141人16.60%
27年春期18,052人2,623人14.50%
26年秋期18,460人2,528人13.70%
26年春期17,644人2,543人14.40%
25年秋期17,892人2,657人14.90%
25年春期19,013人2,490人13.10%
24年秋期19,381人2,700人13.90%
24年春期19,711人2,707人13.70%
23年秋期17,753人2,398人13.50%
23年特別19,445人2,712人13.90%
22年秋期19,391人2,759人14.20%
22年春期19,951人3,045人15.30%
21年秋期17,980人3,326人18.50%
21年春期16,094人2,580人16.00%

受験対象者像・役割と業務 ※IPA

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者 

 (1)情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する。
 (2)情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する。
 (3)セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する。
 (4)情報セキュリティポリシの作成、利用者教育などに関して、情報セキュリティ管理部門を支援する。

受験日

2018/10/21(日)

学習期間

5ヵ月間
 ※2018/5月~10月半ば 
 ※約250時間(ベースの知識が乏しく、覚えることが非常に多く、過去の試験の中で一番勉強した感があります)

受験動機と事前知識

業務に特化したアプリケーション設計ばかりしていて、ミドルウェア、ネットワーク系の実務経験がかなり乏しいため、業務の幅を広げるためです。
  また、4月に受験したデータベーススペシャリストが
 午前2 92点 午後1 80点と 上位5%でしたが、午後2が51点(体力が持たず試験中気を失いそうになる)と悔しい思いをしました。

 DBは年1回のため、試験感覚を落とさない為、スペシャリスト系で直近で受けられる「情報処理安全確保支援士」を選択しました。

受験前の保有資格

  • プロジェクトマネージャ試験
  • システムアーキテクト試験
  • ソフトウェア開発技術者
  • 基本情報技術者試験

高度試験 論文系とスペシャリスト系の違い

高度系試験は試験時間は 午前1:50分 午前2:40分 午後1:90分(2問) 午後2:120分(1問)と時間は共通ですが
論文系とスペシャリスト系で午後2が大きく違います。

 ・プロジェクトマネージャ試験、システムアーキテクト試験など(論文系)
  →午後2が論文 約2500字~3000字を2時間なので 常に手を動かしてないと間に合わないレベル
   初めの15分程度で骨子作成(書くことを決める)をしっかりすれば、あとはあまり考えずに手にお任せ状態

 ・その他スペシャリスト系(データベース、安全確保等)
  10ページ以上の長文を読みながら問題を解き進めるので、常に集中力を保たないと前の文書の内容を忘れてしまう
  集中力(体力)が切れた時点でOUT
  今回はDB試験の反省点をいかして、午後2に入る前にオロナミンC、水500ML、きのこの山大量摂取しました。

試験までに解いた過去問題

午後1 平成17年~平成30年の春、秋試験 セキュアプログラミング以外 手に入る問題全て×2周 
 午後2 平成21年~平成30年の春、秋試験 全部×1周

午後1の選択問題でJAVAかC言語のプログラミング言語の問題(セキュアプログラミング)もありますが
専門性が高い(設計ばかりでプログラム経験はほとんどない)為、勉強対象から外しました。
10年前基本情報はJAVAで取りましたが、もう覚えてないです。

HTMLとJavascriptの基礎は身につけておいた方がいいです(避けては通れません)。

おすすめ講座・教科書(テキスト)

情報処理安全確保支援士『七つの突破口』動画講義

http://toppakou.com/SC/
情報処理安全確保支援士
動画講座なのに1万しないという、超お手頃価格です!

☆セキュリティ技術の教科書 (専門分野シリーズ)  ★超おすすめ

セキュリティ技術の教科書 (専門分野シリーズ) 4,536円Amazon

→値段は4536円と高いですが要点がまとまってて非常にわかりやすい

 図を駆使していて流れがわかりやすい
 昨年発売された本でまだマイナーですが、これのお陰で合格できたと思います。

 500ページ 10 回以上は読みました。(読みすぎて最後は1時間で500ページの要点を確認できるレベル)


情報処理教科書 情報処理安全確保支援士

情報処理教科書 情報処理安全確保支援士 2019年版 3,110円Amazon

→定番書 700ページ 試験に出ない知識も多いイメージ 2回流し読み

ポケットスタディ 情報処理安全確保支援士

ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験) 1,620円Amazon

→持ち運びに便利だが読みずらい 結局半分読んだ程度で挫折

TCP/IP 最強の指南書(日経ネットワークのムック本)

TCP/IP 最強の指南書(日経ITエンジニアスクール) 2,592円Amazon

→ネットワークスペシャリスト向けですが、要点の基礎だけをざっくり読み

具体的な勉強方法

通勤電車(座れる区間)の40分で午後1問題を1問解くことをノルマとしてました。
 →印刷した問題、Amazonキンドル(答えの解説)、スマホ(用語チェック) 両手にやってました

 その他の区間は座れないので、午前2対策としてスマホアプリで応用情報と高度区分の午前の過去問の答えだけ暗記。
 応用情報の午前問題からもかなりの割合で出題されているので、応用情報午前の復習は必須です。

  午後2は1問解くのに1時間以上は集中しないといけないので、土曜日に1問ずつ家で解いた感じです。
 あとは、休みの日に家でテキストベースにインプット

 用語の暗記(理解)だけではなく、とにかく流れを理解するのが大変です

 例えば「SPF」の仕組みと言われたら以下のような内容を即イメージできるレベルが必要です。
 ※よく「このメールはなりすましの可能性があります」って警告がでるのに使われる技術

 例)メールのドメイン認証のSPFの仕組み
  送信されたメールになりすましがないかを確認するため
  メールのエンベロープ部に記載された送信元IPアドレスとドメインを確認
  ↓
  当該ドメインのDNSサーバのゾーン情報を取得する 
  ※DNSサーバのゾーン情報のTXT(SPF)レコードにドメインに紐づくIPアドレスを定義しておく
   example.jp.   IN TXT “v=spf1 +ip4:192.168.100.0/24 -all”
    →192.168.100.0以外からexample.jpドメインのメールが送信されることはないという意味
  ↓
  取得したTXT(SPF)レコードのIPアドレスとメールのエンベロープ部に記載されているIPアドレスが一致すればOK 不一致ならNGとする。

 基本情報や応用情報ならSPF=送信元IPアドレスがDNSに定義されているものと一致するくらいの理解でいいのですが、
高度試験になるとこのレベルが求められます

 この試験受けた後に今年の応用情報のセキュリティ分野を確認すると(問題が素直なので)スラスラ解けます

 この区分の場合は、午後1対策をきちんと理解すれば、ある程度午前2が解けるようになります。
 また、午後2も午後1の問題が複雑になって、文章量が2倍になった感じです。

習得しなければならない知識

以下のような内容が複雑に絡み合ったものが物語(セキュリティインシデント)形式で出題されます。

   ・暗号技術 共通鍵暗号方式 公開鍵暗号方式の詳細な仕組み
 ・ネットワーク全般の基礎(サーバ構成)
 ・ハッシュ関数
 ・ディジタル署名 
 ・認証方式
 ・通信制御技術(ファイアーウォール、プロキシ、IDS,IPS、WAF・・・)
 ・WEB技術(HTTP、Cookieの仕組み)HTTPSの具体的な仕組み(ハイブリッド暗号方式)を具体的に理解しておく必要があります。
 ・システムセキュリティ
 ・セキュリティマネジメント(ISMS、インシデント対応など)→ISMSは覚えることが多いので超さらっと
 ・セキュアプロトコル(TLS、SSH、IPsec、IEEE802.1X、無線LAN、SAML VPN全般 など)
 ・TCP/IP 
 ・電子メールセキュリティ(SPF、DKIM、攻撃手法など)
  メールのオープンリレー時に付与されるメール送信のエンベロープの内容を確実に把握しておく必要があります。
 ・攻撃手法の詳細(仕組み)
  セッションハイジャック、SQLインジェクション、XSS、CSRF、クリックジャッキング、〇〇インジェクション
 ・マルウェア(コンピュータウィルス全般)

 覚えることがめちゃめちゃ多いですが、単語覚えただけでは午後試験は対応できず
 いろんな技術要素を体系的に組み合わせて長文問題を読解する力が求められる感じです。

受験した感想

午後1は技術的な要素が多くネットワーク分野の内容が多かったです。
 午後2問1は技術的な要素が少なく、4割はクラウド移行に関する国語力の問題でした。
 日本語が非常に難しく始め40分悩んだ挙句、問2に方向転換。しかし、30分あせって解いて頭に入ってこなくて、また、問1に戻るという状態 でした。

ショボーン


 残りの6割が割と素直な問題だったので、その部分を落とさずに回答できたので合格できた感じです。

 直近で成果を感じたのは、現場のPM(高度区分ほぼ制覇)がサーバ証明書申請してた時のメールに
 AES、SHA256、EV証明書、オレオレ証明書、CSRなどの言葉を使ってましたが全て理解できました。

 時間があれば、サーバー構築して対応するミドルウェアでトレースするのが一番いいのですが、そこまで時間がとれず。
 今のところは座学での基礎知識だけ身につけた感じなので、今後実務に活かせるように継続していきたいです。

http://toppakou.com/SC/

午前2対策

午前2に関してはセキュリティ用語をできるだけ多く暗記する必要があるため過去問題から

以下のような、「単語帳」を作成しました。
説明文から用語を即答できるレベル。

問題文解答
Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃。クロスサイトスクリプティング
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする攻撃。クラッキング
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる攻撃。バッファオーバフロー
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする攻撃。ディレクトリトラバーサル
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
基本評価基準
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
攻撃される可能性,利用可能な対策のレベル,脆弱性情報の信頼性など,評価時点における脆弱性の特性を評価する。
現状評価基準
CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準があるが以下はどれか。
利用者のシステムやネットワークにおける情報セキュリティ対策など,攻撃の難易度や攻撃による影響度を再評価し,脆弱性の最終的な深刻度を評価する。
環境評価基準

★情報セキュリティの3要素

情報セキュリティの3要素は当試験を受けるうえでの基盤になります。

「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3つの要素
企業の情報システムを取り巻くさまざまな脅威から、
情報資産を機密性・完全性・可用性(3要素)の確保を行いつつ、正常に維持することです。

機密性 情報漏えい防止、アクセス権の設定、暗号の利用などの対策 
完全性 改ざん防止、検出などの対策
可用性 使いたいときに使えるシステム。電源対策、システムの二重化、バックアップ、災害復旧計画などの対策

◇参考サイト(経済産業省 JNSA)  
https://www.jnsa.org/ikusei/01/02-01.html   
◆問題
情報セキュリティの3要素の内どれに該当するか

EシステムはQ社の販売チャネルの大部分を担っており、保守の為の時間を除き常時稼働している。


Fシステムは投資家等に対する、財務情報を提供している。


Bシステムは大量の個人情報と販売前の情報を扱っている。

◇答え
EシステムはQ社の販売チャネルの大部分を担っており、保守の為の時間を除き常時稼働している。
⇒可用性

Fシステムは投資家等に対する、財務情報を提供している。
⇒完全性

Bシステムは大量の個人情報と販売前の情報を扱っている。
⇒機密性

上記のような感じで問題文の一部として扱われます(空欄になってたりします)

不正競争防止法

※不正競争防止法
 公正な競争と国際約束の的確な実施を確保するため、不正競争の防止を目的として設けられた、日本の法律である。

 不正競争防止法に定められた営業秘密の3要素とはなにか

◇答え
秘密として管理されている事
有用な情報であること
公然と知られていないこと

ユーザーID管理に関する頻出事項

◆問題
ログインIDを共用されていた為、ユーザ毎にログインIDを分けるようにした。
そうした場合に、運用上注意すべき点を述べよ。

◇答え
個人IDが本人以外に使われる恐れが無いように管理している事。

◆問題
不正な行為は、監視されているということを周知することで、どのような効果が生まれるか。

◇答え
抑止効果

情報漏洩対策

a に当てはまる語句
①の具体的な対策

空欄以外も非常に大切な知識が含まれています

◇答え
a暗号化
①移動中は肌身離さず持つ

HTTPに関する知識

情報処理安全確保支援士を受けるうえで、HTTPのログの味方、HTMLのGET,POSTなどは絶対に習得しておく必要があります。

情報処理安全確保支援士『7つの突破口』

以下の講座では、情報処理安全確保支援士合格な必要なメソッドを過去15年分の問題を分析し提供しています。

今すぐアクセス

ハッシュ関数

 INPUT → OUTPUT
 abc → XXXXEFE
aafefaefefa →XDEDDEE
  得られた値をハッシュ値という
※INPUTが同じならOUTPUTは同じなる
※OUTPUTからINPUTを推測することが困難

政府推奨ハッシュ関数:SHA-2
SHA-2 のハッシュ値は、224ビット、256ビット、384ビット、512ビットがある。
それぞれビット長に合わせて、SHA-224、SHA-256、SHA-384、SHA-512 と呼ばれている。
これらを総称して SHA-2 という。

INPUTが何文字でも SHA256の場合は、OUTPUTは256ビットになる

動画演習講座

やっぱり書籍のみの勉強だと理解に苦しむ部分があります。

だれか、口頭で図示しながら教えてくれたらいいのに!!と思う方必見!

以下の講座で動画でわかりやすく教えてくれます。

情報処理安全確保支援士 7つの突破口 動画講座
情報処理安全確保支援士 七つの突破口

なんと、15年分の過去問題を徹底分析したようです。

時短演習したい方にはおすすめ。

コメント