情報処理安全確保支援士(登録セキスペ)に独学で合格する勉強法

セキュリティ向けのアイキャッチ画像 エンジニアコラム
Security concept - Locks on digital screen

はじめに

 今回はIPAが主催している情報処理技術者試験のレベル4の高度試験として位置付けられている、安全確保支援士の合格のための勉強法について説明したいと思います。
 ちなみに私は2020年12月に合格しました!! 下記が私の点数です!

安全確保支援士の結果

安全確保支援士とは

 安全確保支援士について

 まず安全確保支援士についての説明ですが、IPAの公式ホームページを見てみると、下記とされています。

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者

引用 : https://www.jitec.ipa.go.jp/1_11seido/sc.html

 

 噛み砕いて言うとセキュリティのスペシャリストとして、助言を行う知識や経験を有しているかを評価するための試験となります。またこの試験に合格した方は国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者になることができます。

資格の位置付け

 続いて資格の位置付けですが、情報処理試験には全13の試験が用意されており、いずれも分野やレベルによって分けられています。下記の図がIPAの公式ホームページに掲載されている体系図です。
 その中でも安全確保支援士は「高度な知能・技能」を持つ方が受験する試験になります

情報処理試験の体系図
引用 : https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html

 一方、左側には情報セキュリティマネジメントという試験も用意されており、安全確保支援士はセキュリティ技術の要素が強い試験ですが、情報セキリュティマネジメントは情報を安全に利活用するための知識を問う試験となっています。中小企業などでITを活用する会社では、安全確保支援士よりも情報セキュティマネジメントでも事足りるかと思います。

試験内容

 続いて試験内容ですが、シラバスによると、下記項目が出題されます。

  1. 情報セキュリティマネジメントの推進または支援
  2. 情報システムの企画・設計・開発・運用でのセキュリティ確保の推進または支援
  3. 情報及び情報システムの利用におけるセキュリティ対策の適用の推進または支援
  4. 情報セキュリティインシデントの管理の推進または支援

 これを見てお気づきの方がいらっしゃるかもしれませんが、全ての項目が「推進や支援」という内容になっています。ですので、実際にセキュリティシステムを構築したり、セキュリティの試験の実施を行うことがこの資格の目的ではなく、あくまで支援が出来るレベルの知識を持っていることを示すための資格です。例としてはハッカーの攻撃を防ぐようなウイルス対策ソフトが作れるようになることではなく、それらを活用してどう守るべきかを指南するのです。

 また、試験としては午前I、午前II、午後I、午後IIと分かれており、合計4つの試験に合格して始めて、安全確保支援士の試験に合格となります。試験時間は下記表となっています。

安全確保支援士の試験内容
引用 : https://www.jitec.ipa.go.jp/1_11seido/sc.html

 

難易度

 安全確保支援士の難易度についてですが、様々な資格と比較してもかなり難しい部類に入る試験になります。偏差値としては65~67となっています。ただIT系の資格なので、通常の司法試験や公認会計士のような資格と違って、普段IT業務をしている方であればバックグラウンドがあるため、比較的取り組みやすい資格だと思います。

 また、下記画像の高度情報処理試験の中で比べてみますと、セキュリティ分野ということで他分野との単純な比較は難しいですが、後述する合格率を比べてみても、プロジェクトマネージャーやITストラテジストのような論文形式の資格と比べると易しいといった印象です。

情報処理試験の体系図
引用 : https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html

合格率

 勉強法に行く前に合格率を見てみましょう。IPA公式のホームページを見ると令和2年度10月の試験での、安全確保支援士の合格率は19.4%となっています。受験した人の中で5人1人が受かるという状況です。

安全確保支援士の合格率
引用 : https://www.jitec.ipa.go.jp/1_00topic/topic_20201225.html

 一方他の高度情報処理試験についても見てみましょう。応用情報処理技術者試験は覗いて、他の資格を見てみると15%前後になっていることが分かると思います。それを比較すると安全確保支援士は他の高度情報処理試験よりは受かりやすい試験となっていることが分かると思います。
 これはセキュリティというのは国家単位で重要な項目であり、あらゆる情報システムに対して考慮すべき事項であるため、意図的にセキュリティに皆さんが関わっていただくために、合格率が高めに設定されていると思われます。

高度情報処理試験の合格率
引用 : https://www.jitec.ipa.go.jp/1_00topic/topic_20201225.html

勉強法

 ここでは実際に私が合格した際の勉強法をご紹介します。

勉強スケジュールを立てる

 まずは資格を取得する際にやることは、勉強のスケジュールを立てるということです。仕事をしている方や学業の方では時間の使い方が違うと思いますので、それぞれ使える時間を考えながらスケジュールを立てましょう

 私の場合には平日の日中は仕事がありましたので、平日仕事から帰宅後2時間、休日6時間程度を目処にスケジュールを立てることにしました。また、応用情報技術者試験を持っていましたので、ある程度の基礎的な情報工学の知識を有していたため、大体300時間を目処にスケジュールを立て勉強していました。では、実際のスケジュールを見ていきましょう。

【試験3ヶ月前】

①参考書を読み込む
②午前の問題を解きまくる

【試験2ヶ月前】

午後の過去問を時間を掛けて解く(3年分)
Youtubeや参考書で分からない分野を学ぶ

【試験1ヶ月前】

過去問ひたすら解きまくる(午前・午後)

 私の場合は月100時間近く勉強できましたので、これで合計300時間分ぐらいになります。
では1つ1つどのように学習していくか見ていきましょう。

①参考書を読み込む

 まずセキュリティについて全体像を知る必要があるため、安全確保支援士の参考書を2冊使いました。1冊目に利用したのは、「ALL IN ONE パーフェクトマスター 情報処理安全確保支援士」という本で、全領域をサラッと確認することが出来る参考書です。どちらかというとこれ単体で、セキュリティの深い部分まで知るのは難しいですが、試験内でしょっちゅう出てくる単語を知るという意味では、有効です。

 続いて、2冊めとして利用したのは、「情報処理安全確保支援士「専門知識+午後問題」の重点対策」という本です。こちらは1冊目で安全確保支援士についての大枠を掴んだ後に、午後対策として各項目を重点的に学び、より深い知識を得るためにこちらを利用しました。

 参考書はたくさん見てもインプット量だけが増えてしまい、アウトプットの時間が無くなってしまいますので、2冊ぐらいで大丈夫です。

②午前の問題解きまくる

 続いて、参考書である程度の知識がついたら、実際に問題を解いてみます。まず安全確保支援士は午前と午後に試験が分かれていますが、午前試験は過去問を周回すれば必ず通過しますので、とにかく過去問を解きます。

 午前の試験は午前Iと午前IIに分かれており、午前Iは情報処理の共通問題、午前IIはセキュリティに関する共通問題となっています。
 午前Iについては、応用情報処理技術者試験の問題の中から選出して出題されますので、下記サイトで過去問を解きまくりましょう。

応用情報技術者過去問道場🥋

 続いて、午前IIについては安全確保支援士の午前IIの過去問サイトがありますので、こちらで解きましょう。

情報処理安全確保支援士過去問道場🥋

 どちらも8割ぐらい安定的に取れるようになっておきましょう。
※ここで6割ぐらいしか取れない状態で、②へ進んでしまうと試験直前に午後問題に時間がかけられなくなりますので、必ず8割取れるようになっておきましょう。

③午後の過去問を時間を掛けて解く(3年分)

 午前問題が8割近く取れるようになったら、次は午後問題に挑戦していきます。といっても午後問題を初めて解くときは慣れない問題の構成や、記述式問題で中々上手く答えられないと思います。ですので、まずは3年分やってみて時間を掛けて良いので、解いた後IPAが出している答えと照らし合わせてみます。
※2年分でもいいです。

旧URLからのリダイレクト終了のお知らせ

 3年分解いたら、苦手な分野、理解しきれていない分野を洗い出しておきます。理解できていない分野や知らなかったごとについては、必ず復習する必要があるからです。
 またこの時点で答えが全く合っていなくても問題なく、まずは午後試験がどんなものかを理解できれば十分です。

④参考書やYoutubeで分からない分野を学ぶ

 ③が終わりましたら、苦手な分野、理解できていない分野に対して再度復習を行います。使用している参考書や、Youtubeなどでも分かりやすく解説している方もいらっしゃいますので、自ら理解できるまで復習を行ってください。
 理想としては、それぞれの項目について説明できるレベルまでなることで、例えば「TLS1.2の仕組みを教えて」と言われたら、TLSが利用する鍵交換方式や共通鍵と公開鍵の使われ方、クライアントとの通信の流れなどを答えられるようにしておくことです。
 

⑤過去問ひたすら解きまくる(午前・午後)

  ④である程度、自らの知識が付きましたら、最後に試験までの期間でひたすら問題を解きまくります。まず午前問題についてですが、こちらは既にある程度解いた経験があると思いますので、1日15分で午前IとIIの問題を解くようにしましょう。これで十分です。

 続いて鬼門の午後問題ですが、こちらは③と違い、時間を測りながら問題を解くようにします。午後IIは比較的時間が余ると思いますが、午後Iは時間が少なくて終わらないということがないように、必ず時間内に解けるようにしておきます。
 午後問題は基本的に記述式がメインになりますので、1回1回答え合わせをした後に、必ずIPAの公式が出している解答を読みましょう。IPAが解説は出してはいないんですが、解答を見ればIPAがどのような答えを望んでいるのか分かると思います。IPAの解答と自分の解答を照らし合わせ、ニュアンスが合っていれば満点でなくても点数がもらえますし、的はずれな回答をしていれば0点です。
 ※解答は言葉を一字一句合わせる必要は全くなく、セキュリティ対策の方法としての答えがあっているかどうかです


 最初は中々、解答に合うような記述ができないと思いますが、慣れていくと「この問題なら、こういう答え方をするだろうな」というのがわかってくると思いますので、そうなってくるとIPAが出してくる解答に自ずと合うようになっていきます。また、もちろん全く理解できない分野があれば④に戻って復習をしてもよいです。

 ちなみに私の場合は、午後Iと午後IIの合計10年分を2週やりました。時間が足りない方はまず10年分をやった後、苦手だと思う分野についての回をやってみてください。

解答の仕方をとにかく意識する

まとめ

 今回は情報処理試験の安全確保支援士について説明しました。たかが資格、されど資格で、ITをエンジニアは中々自らの能力やスキルを、過去行っていたプロジェクトや経験からしか判断することができません。しかもその場合ですら、相手が技術を理解できない場合や、説明が下手な場合は伝わりません。そんな時に資格を持つだけで、ある程度相手が持つ知識レベルを伝えることができるので、とても有効な手段と言えます。

 また、自らの知識を深めたり、新しい知識を積極的に得ることはエンジニアとしては、とても大事なことになりますので、ぜひ資格に挑戦してみてください。

エンジニアを1から学びたい方は、【CodeCampGATE】もオススメです!

コメント