テクニカルエンジニア(情報セキュリティ)持ちだけど情報処理安全確保支援士試験を受けてみた ⑤だめだったのでリベンジしよう

このシリーズは過去に合格した試験(の後継試験)をあえて再度受けてみた訳のわからない話。今回は春試験で落ちたので、次回に向けて計画をたてる話。

不合格でした

自己採点では午前Iは22/30(66点)、午前IIは22/25(88点)、午後は採点していませんでしたが、ふたを開けると……

なぜか、午前Iの点数が自己採点より高い

ということで、午後IIで合格に届かずでした。実に悔しいです。

採点結果と仮の点数配分

午後IIの解答はつぎの通りでした。なお、採点表は公開されていませんが、点数配分を考えないと対策が立てられないので仮に点数を付けてみました。

午後II 問2
設問1 a:○ b:× c:×
         d:○ e:○ f:×
         g:○ h:○ i:○
⇒ここは正解でした。(1箇所2点と計算。18点)

設問2
(1) j:イ k:エ l:ア
⇒jはウ、lはイでした。(1箇所2点と計算。2点)

(2) {
      "system":"4000",
      "account":"11[1-9][0-9]",
      "service":"オブジェクトストレージサービス",
      "event":"オブジェクトの削除"
     }
   * 手を付けたら簡単。
⇒正解でした。
おそらくですが、
1. JSON形式通りか(ダブルクォーテーション、カンマの有無) 3点
2. 正規表現が使えているか 3点
3. 正しい要素が拾えているか 各々1点、4点
だと思います。
(解答例と同じで10点と計算。10点)

設問3
(1) m:新日記サービス n,o:サービスT
⇒正解でした。(1箇所2点と計算で6点)

(2) p:2 g:8
⇒p:3 g:7でした。(1箇所2点と計算。0点)

(3) ウ、エ
⇒正解でした。(全部正解で6点と計算。6点)

設問4
(1) 「有効なクライアントIDが判らずclient_idの値を設定することができないから」(40文字) *この辺りから疲れが見えてくる。
⇒理想の解答例は「アクセストークン要求に必要な code パラメータを不正に取得できないから」でした。
「アクセストークン」、「codeパラメータ」、「不正に取得できない」、の3つが必須でしょう。私の解答では単語が拾えていないです。
(解答例と同じで10点と計算で。0点)

(2) 「認可サーバ側でチャレンジコードのSHA256ハッシュ値をbase64エンコードした値を求め、検証コードパラメータと一致するか確認する。」(67文字) *どう答えてほしいのか判らなかった。ここで脳味噌のエネルギーを大分消費した。
⇒「検証コードの SHA-256 によるハッシュ値を base64url エンコードした値と，チャレンジコードの値との一致を確認する。」でした。SHA-256ハッシュ値を取得する対象がちがうのでアウト。あと、「SHA-256による」と文言指定されていたのに書けていないのも痛いです。
「検証コードのSHA-256～」と、「チャレンジコードの値との一致」の2つですね。
(解答例と同じで10点と計算。0点)

設問5
(1) 「ソースコードの変更履歴からファイルZが削除される前の差分をダウンロードする。」(38文字)
⇒「OSS リポジトリのファイル Z の変更履歴から削除前のファイルを取得する。」でした。変更履歴から、削除前のファイルを取得することだけはわかっていましたが、私の書き方だとソースコードそのものの変更履歴であって、ファイルZの変更履歴ではないとも言えます。
「ファイルZの変更履歴」と、「削除前のファイル」2つが評価対象でしょう。
(解答例と同じで10点と計算。5点？)

(2) 「OSSリポジトリの利用者認証を要に設定しソースコードのダウンロード権限を設定する利用者を限定する。」(49文字) *アップロード権限や承認権限の話だったのに、完全にファイルZをダウンロードさせないことに意識が集中した。
⇒「アップロードされたソースコードを承認する承認権限は，開発リーダーだけに与えるようにする。」でした。前回の記事でも記載していたとおり、承認権限の話だったのに、ファイルZをダウンロードさせないことに意識を集中させていました。
「ソースコードを承認する(承認)権限」、「開発リーダーだけ」の2つが評価対象でしょう。
(解答例と同じで10点と計算。0点)

(3) 「Xトークンにはアップロードされたソースコードの承認権限を付与しない。」(34文字) *おそらく「開発リーダにのみ承認権限を付与する」とかの方が適切なのだろう。しかし、「Xトークンが漏えい」したとして、それを不正に利用できないようにする、そのためにXトークンへの設定はどうあるべきか…と考えた。その結果、上記のように記述した。
⇒「X トークンには，ソースコードのダウンロード権限だけを付与する」でした。
「Xトークン」と「ダウンロード権限だけ」が評価対象でしょう。
(解答例と同じで10点と計算。3点？)

敗因分析

やはり記述がのきなみはずれているのが敗因でしょう。
外れ方は3つあって、

1. 知識不足(設問4の(1),(2))

2. 答えの方向を間違えている(設問5の(2))

3. 知識は足り、答えの方向も大外れではないが答えの組立が外れた(設問5の(1),(3))

でした。1.と2.は部分点すら付きません。その意味で1.も2.も大差はないです。
ここで30点分おとしているのなら合格は無理でしょう。せめて3.までもっていけるようにしなければなりません。

1.の知識不足について

午後Iまでである程度点数取れているのに、午後IIの解答で知識が不足しているということは覚えた技術の実際の使われかたを理解できていないのでしょう。
言葉だけの記憶になっていたり、言葉の意味の記憶すらあやふやなときがあり、使われ方がイメージできていないのも要因でしょう。
正確な用語理解と事例の把握を心掛けます。

2.の答えの方向性について

「これが答えだ！」と思ったら他の要素を検討していないからでしょう。これは行政書士試験のときでもありました。
それっぽい答えに気付くとそれしか考えないのは悪癖です。
とは言え、試験時間中は時間はともかく気持に余裕がないので、まずは気付いた答えを埋めておくしかないかもしれません。
(過去の資格試験で一度書いた答えを見直しの時に書き直し、結果最初の答えが正しかったという失敗を何度かしているので、最初の答えを改めるのは怖いです)
このあたり、最後は決心でしかないのです。

3.の答えの組立が外れたパターンについて

徹底した文章理解と構成力が必要です。
複数の意味に読みとれる書き方は外れます。だから、どう読んでも答えが一点に収束するような解答でなければならないのでしょう。
「ソースコードの変更履歴」から取得できる差分はファイルZそのものではありません。
「承認権限を付与しない。」だと、「じゃあ他の権限はどうする？」となります。
こういう答え方をすると、採点表の単語を落とすのでしょう。言いたいことはわかるけどー、ってやつです。
エンジニアを対象とする試験なのであいまいな表現や他の意味を持ちそうな答えは排除するようにします。

今後の計画

秋試験はPMを受けようと思っていましたが、SCを再受験することにしました。
PMの学習が進まなかったこと、SCは合格まであと一歩というところまできたこと、今年中に現行の高度試験に合格しておきたい理由があるからです。
敗因分析をもとに弱点を潰して、次回こそ合格してやります。
そのときは、「テクニカルエンジニア(情報セキュリティ)持ちだけど情報処理安全確保支援士試験に合格ってみた」と書くのです。