情報処理技術者試験の勉強法②-セキスぺ編-

　なんか文章書く”やる気”が続いているので、冷めないうちに。
「勉強法①」では情報処理試験の初級である「ITパスポート」「基本情報処理技術者」を対象に勉強法まとめたので、次は「応用情報処理技術者」を。
……と思ったがどんな勉強をしたか全然思い出せないため、次にうけた「情報セキュリティスペシャリスト(現 情報処理安全確保支援士)」の勉強のポイントについて書こうと思う。
(応用情報は本当に会場どこでうけたのかも、全然思い出せない…汗)

その1. オフェンスとディフェンス

　自分がセキスペの勉強を始めた際は、「勉強法①」で紹介した”索引勉強法”でスタートした。
　索引をざっと眺めると「○○攻撃」という単語が頻発していることに気づいた。考えてみると当たり前なのだが、「情報セキュリティ」なのだから、外部から何かしらの攻撃を想定した試験である。
そのため、最初に「○○攻撃」ほか物騒な言葉(例：○○インジェクション、セッションハイジャックなど)のみを抽出して勉強を始めた。
　ただ、あとあと午後試験の過去問を解いて気づいたのだが、当然のことながら問われるのは攻撃に対する「予防・対策」のほうであった。
そのため、セキスペの勉強で大切なのは悪意ある者による攻撃手法＋それに対する対策手法をセットで覚えることである。
　外部からの攻撃(オフェンス)とそれを防ぐ仕組み・決めごと(ディフェンス)を整理して覚えることをおススメする。

その2.実はインフラ的知識があることが大前提

　自分自身インフラ系SEで社会人を過ごしてきて受験したため、特に違和感はなかったのだが、アプリ系の方が受けるときに壁になりそうなポイントがある。
　それはネットワークやサーバ、ミドルウェアの知識があることが前提にあるという点。
　例えば、DNSキャッシュポイゾニング攻撃。DNSサーバのキャッシュにあるドメインーIPアドレスの紐づき情報を悪意あるWebサイトなどのIPアドレスに変えてしまう攻撃手法だが、この攻撃を理解するにはそもそも「DNSサーバとは？」「ドメインとは？」がわかっていないといけない。
　メールのセキュリティ対策も、そもそも「POP」「SMTP」などメールに関する知識がある前提で解説されている。
　逆に、インフラ的知識をあらかじめ持ってると、攻撃手法・防御手法を学んでいくときに「なるほど」とか「これ考えたやつずるがしこい」とか納得して進められるので、インフラエンジニアには取得をおススメする試験といえる。
(実際、ほかの高度試験にくらべて気楽に勉強できた。)

その3.午後試験はロールプレイングゲーム？

　午後試験IとⅡはとあるシステムに携わるセキュリティ担当者の物語を読んで設問に答える形式である。
　これはつまり、自分がそのシステムのセキュリティ担当者だったらどう対応すべきかを問うものであり、一種のRPGだと思っている。
　自分自身がセキュリティの担当者や責任者となって仕事することは早々ない。ずっとサーバ構築のみしてきた自分としては、午後ⅠやⅡ試験はセキュリティ関係の仕事を追体験できる貴重な機会だった。
　そのため、試験勉強はなるべく午後試験をメインに過去問をたくさん解いた方が、力として身につくと思う。

まとめ. セキュリティ知識はゲーム的

　こうして試験についてまとめてみると、この試験が一番”ゲーム的”という気がする。敵が攻略しよう攻撃してきたものを被害を出さないように守備をする。その手法を学ぶのはどことなくサッカーの戦術を学ぶことに近く、面白いなと感じた。
　なので、これから受験する方は勉強と堅苦しく考えなく、ゲームだと、ゲームの攻略方法を知るのだと、気楽に臨んでみては？

小言

　情報セキュリティスペシャリストから情報処理安全確保支援士に試験が変わり、合格者は登録すると、安全確保支援士であることが名乗れるようになった。
ただ、その資格の維持に3年で計14万円かかるといういち個人で支払うにはためらう値段設定がされている。これなら、3年に一度試験受け直した方がまだ安上がりである。(一回の受験料5700円)
　これはきっと大企業から搾取するために設定されたものだと思うが、金額負担してくれないような中小企業につとめるSEは勉強する気なくすのではと思ってしまう。
この試験が3年14万の価値があると思った時、改めて受験したいと所存だ。

ではまた。