情報処理安全確保支援士に合格しました
2023/4/16(日)に情報処理安全確保支援士の試験を受けてまいりました。
結果としては合格でホッと胸を撫で下ろしております。
ふとIPAの高度試験の資格が欲しくなったので受験することにしました。
今回の試験を通して、知識を整理できたり補強できたのは大変有意義となりました。
IPAの試験を受験するのはほぼ人生で初めてで(ITパスポートは10年以上前にある)、CBT形式のテストに慣れた私の体にはちょうどいいスパイスでした。
現地での筆記試験は、直近だと5年前くらいの英検準1級の受験時以来ですね。
私の属性
データエンジニアやプロマネ(副業、複業で)をここ7~8年くらいやっています。
過去にはWebエンジニア(Java)も9年以上前にはやっていました。
(今回9年前の知識を使うことになるとは思いもよらなかったです。)
エンジニアキャリア(マネージャ含む)は13年くらいでしょうか。
セキュリティは専門としておりません。
情報処理安全確保支援士試験とは
IPAが提供している、サイバーセキュリティの指導・助言を行う人向けの試験です。
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者
試験は4部構成になっており
午前1(応用情報技術者試験相当)
午前2(4択。専門知識確認)
午後1(穴埋め、選択、記述)
午後2(穴埋め、選択、記述)
各部で60%以上で合格の試験になっています。
合格点分類を見ると、
80%以上:難しい
70%以上:普通
60%以上:易しい
という分類にしています(個人の見解です)。
そう考えると、60%ということは結構優しそうですが、、
合格率は16~20%くらいとなっていて、比較的難しい試験に入りそうですね。簡単すぎず保有していても意味のある合格率だと思います。
受験料は7500円で、ベンダー系の資格に比べると相当お財布に優しいですね。
情報処理安全確保支援士を受けようと思ったモチベーション
登録セキスペ(RISS)という制度があったので気になったが。。
国が登録セキスペの人数をKPIとして置いているので、政府が支援している部分には乗っかっていくのが得策と判断した点が挙げられます。
そのため国際的な知名度のある、CISSPよりも今回は登録セキスペに登録可能な情報処理安全確保支援しにしました。
登録セキスペ更新費用が3年で14万近くかかるということです。高額です。
うーん。会社の補助を使えそうだがどうしよう。
セキュリティという要素
一方で、セキュリティはどの分野でも必要とされる知識ですし、これくらい知ってて当たり前だろうという程度は知識を証明しておきたかったです。
実際、勉強をしてからちょうどシステムのアーキテクトや体制を考える業務がありましたが、勉強した内容も考慮に入れられてよかったと思います。
テスト結果
午前1 からの受験でしたので、全てのスコアが採点されております
やっと高度情報技術者になれました。
これは59点で落ちるという世界線も十分にありえましたね。
勉強時間
1週間(日,月~土)&10時間ほどだったと思います。
試験の約1週間前から準備を始めまして、免除狙いで午前1だけでも受かれば良いと思って準備をしていました。
本当はもっと早く準備をしたかったのですが、、
外部での講演準備
子供にインフルエンザうつされたり
小さな子供がいる家庭だとあるあるかとは思いますが。
身内に不幸があったり
本業で、大きな意思決定をするためにもろもろ忙しかったり
副業してたり
畑のお世話していたり
子供たちと色々とお出かけしまくってたり
そもそもやる気が出なかったり
と、色々ありまして結局これくらいになってしまいました。
あと、まとまった時間がとれず、午後問題などは一問ずつ時間があるときにバラバラと行っており、全体を通した時間計測ができないまま試験に臨んだのでかなり不安でした。
とはいえ、小さなお子さんがいるご家庭はまともな学習時間を確保できないのが当たり前ですからね。それを前提に試験は考えないといけません。
午前1
時間がありませんから、以下の2点だけ高速で行い、残りは当日考えることにしました
過去問道場にて過去問に取り組んだ
だたし、計算問題は当日に頑張って計算するので飛ばす
3年分やる
テキストを一回だけ1日で回す
超速で一回以下のテキストを見直しました。計算系はとばしです。
特に最初の方にある計算理論みたいなところは飛ばしました。
それ以外は、パッと見た感じ当たり前の知識ばかりだったので「えっ。そんのが」というところだけ拾って頭に叩き込みました。
奥さんに子供を連れ出してもらい、集中できたので良かったです(ありがとうございます)。
ここだけで2日使ってしまいました。のこり5日です。
午前2
以下のテキストにしました。午後試験も同様のテキストを使っています。
いくつか候補があったのですが、、一方は情報量少なすぎ(データのフローが書いていない)、一方は情報量が多すぎとなりまして以下の本に落ち着きました。
深すぎず、浅すぎず必要なことをまとめてくれていたように思います。
利用方法はとにかく、認証や認可などの流れを把握することを徹底しました。今まで、実際の開発で使ってたけど理解していなかった部分を埋め合わせるように調整していきます。
普段の開発や個人開発でも、そこまで意識することは少ない部分もある多々あるのですが
「あんなことやってたのか」
「あれの意味は、あーだったのか」
とお恥ずかしながら思う場面が多々ありました。勉強して良かったです。
ちなみにセキュアプログラミングはJavaだけ簡単によんでそれ以外は飛ばしました。
午後1,2
一個ささっと解いてみたところ「えっそんな回答でいいのか」みたいなものが結構あったため、回答に向けて頭をチューニングしていきます。
できるところまでやって、あとは回答と問題を簡単にを眺めて
「そういう回答もありなのか」
というパターンをためていきます。
午後は、長い文章なのですが、文章にヒントが転がっているので午後は文章が読めれば行けそうと思うようになりました。
また、設問によっては文章の長さが全然違います。そのため午後は文章量の少ないものを選択すると誓いました。
そのため、午前2の勉強と並行していましたが、午後試験は勉強をするというよりどうやって攻略するかという戦略に頭を回していた気がします。
結構勉強が楽しくて、気づいたら前日になってました。
前日の過ごし方
奥さんとお菓子パーティをしながら、脳の疲労を回復させました(ちなみに前々日はジムでがっつり運動して脳みその活性化を図りました。)。
こちらの本の、巻末にある実力診断テスト午前1,2だけを解いてあとはのんびりしました(午後は心が折れてしまった。)。
全くもって使わなかったのでこの本は買わなくてもよかったなと、結果論ですが思いました。
Youtubeで知識整理の動画があったのでのんびりを眺めていたりもしましたが、子供たちがいるのであまりちゃんとは見れませんでした。
夕飯は畑で採れた野菜やふるさと納税でもらった野菜をふんだんに使って鍋パーティでした。
前日の食事は2回。17時までには食事を済ませ、食べ過ぎには注意です。
10時に寝て、翌日の8時間試験に備えます。
テスト当日
食事
当日の食事からテストは始まっています。
食べ過ぎは禁物です。
当日は、
おむすび
バナナ
コーヒーを少量
を一個づつたべ胃の負担を軽くします。
おむすびは長女ちゃんに握ってもらったのですが「がんばってね!おうえんしてるよ!」というので負けるわけにはいかなくなりました。
小さいてで握ったおにぎりはちょうどいいサイズでした。
移動
移動中は、勉強はスマホはいじらないようにしましょう。
考える量を少なくして、本番にリソースを割きます。
テスト会場が近かった&場所をある程度知っていたのも幸いしました。
移動での疲労を軽減できたためです。
重いので参考書を持っていくのは禁止です。
持って行っても、何も結果は変わりません。
午前1(共通試験)
午前1の出来次第では即帰宅もあり得るわけなので、少し緊張しました。
結果として手応えありでした。
前述の捨てた計算系は5問くらい?出ていたのですが、3問くらいはその場で考えて、計算して正解できました。
それ以外は、消去法などを使いながら解いたので今までの経験に助けられた。それだけです。
6問くらい勉強したおかげで正解できた問題もあります。
過去問は絶対にやるべきですね。
範囲も広く、一つの教科書だけを勉強していて経験も少ない人は午前1辛いだろうなと思います。
真の近道は経験を積む環境に身を置くことなのかもしれないですね。
午前2(専用試験)
18番あたりから、セキュリティあまり関係がなく支援士の試験しか準備していなかった人には苦しかったのではないでしょうか。
実務経験がない人を落とそうとする意思を感じます。
18問目くらいまではセキュリティっぽく、ドンピシャで今回参考のために購入した本に書いてあることばかりでしたが、結構深く聞かれたので経験やしっかり準備せずキーワードだけを覚えていた人にはきつかったんじゃないでしょうか。
お昼
お昼は奥さんが握ってくれたおむすび2個、バナナ1本を食べ、あとは精神統一します。
尿意を抑えるため、水分も最小限に抑えます。
少しストレッチをして体全体に血流を回します。
午後1(Java。問1)
簡単なJavaプログラムを読みつつ、脆弱なところを修正していくという設問でした。
SQLインジェクションとか同時アクセスがあった時に変数が上書きされて困るから対策しろとかJava Oracle Bronzeのレベルくらいの設問です。
最初見た時は、私自身随分とJavaからも離れているし、選択しようかどうしようか迷ったのですが他の問題に比べて文章も少なくて楽そうだったので選択しました。
Javaというものを記憶の底から引き出すのに時間がかかってしまいましたが、ある程度正解できたんじゃないでしょうか。
というくらいJavaから離れて久しい私でも簡単な設問でした。
おそらく現役のJavaエンジニアの方なら楽勝だった問題ではないでしょうか。
いや、むしろフレームワークガチガチで開発していたら分からない部分もあるのか。いやそんなことないか。
午後1(クラウドサービス利用。問3)
こちらは、支援士っぽい問題だな〜と思いながら見ていました。
といっても、セキュリティというより国語の問題な要素が強かったです。
当然プロキシだのUTMだのという単語や役割は知っていないといけないのですが、
実施しようとしていることが何なのか?
データはどのようにネットワーク上を流れるのか?
を把握できれば難しい問題ではありませんでした。
経験や知識としては
複数のクラウドサービスを利用している
ID連携している環境にいる&どのように動いているのか意識している
Allowファイル的なのをLinuxで設定したことがある(もしくは見たことある)
そんなハック好きの人ならその場で考えて回答できるものだったと思います。
午後2(クラウドサービス利用)
こちらはWebアプリケーションのフロント側についての脆弱性や問題点、解決策を指摘するような設問でした。
午前1のJavaはサーバーサイドでしたが、今回はフロントサイドですね。
こちらは支援士として助言する立場だったらどうするのか?というテクニカルな部分以外の設問もありました。
大問4については、少し視座あげたりや視野を広げた仕事についている人(PMとか)だと回答しやすい設問だったかと思います。
いかに言語化して相手に伝えるのかというのは重要な問題ですから、テクニカルなバックグラウンドがある上で、組織やチームの状況を考えながらの回答を作るのは大切ですね。
それ以外は、テクニカルな部分で運用から開発まで幅広く扱われていましたから、総合してみると一気通貫して理解していることが求められた良問だったのではないでしょうか。
難易度は、開発の経験があるという前提で普通でしょうか(別のものを受けたことがないのでなんとも言えないですが)。
試験後
子供たちも待っているので、お土産(ロールケーキ)を買ってそそくさと帰りました。
ちょうど家に着いた時に、夕ご飯を食べ始めるところだったので4人で食事を取ることができました。
奥さんが採点厨なので、当日の回答速報を見ながら午前1,2の採点をしてくれました。その時点で無事通っていることがわかったので一安心です。
午後もiTecさんから回答速報が2,3日後に出まして、それを元に(なぜか)奥さんと一緒にまるつけしました。
この時点で7割くらい採れてそうだったので、よかった〜という話をしていました。
全体的な所感
難易度はちょうどよく、問題自体も勉強になるほど良問の連続でした。
内容については受けながら思ったのですが、これはWebアプリケーションエンジニアに有利な試験内容だと最初は思いました。
他の、インフラエンジニアの方などにとっては、私が選択した問題以外を選択していると思うのですがそれはどれも文章量が1.5倍くらい多かったです。
しかし途中から、むしろ、いろんなことを知っていないとダメだぞというIPAからのメッセージなのかもと思い始めました。
Webアプリだけなら午後1で蹴落とされる(Javaだけしか選択できないから)。
インフラなら午後1,2は文章量多くて難しそうだけどもどっちも突破できる。どっちも経験や知識があればいいとこ取りできるが午後2はマネジメント的な要素も必要
試験の要項に「支援または助言できること」みたいな文言があったので、私のようなテクニカルな下地がある前提で、フラットな立ち位置の人に向けた試験なのかと思いました。
あとはやはり経験者向けの試験ですね。本だけで学習や経験が浅い人は結構勉強しても当落線上になるくらいの点数になりそうな予感で、どんなに本だけで勉強してもそれ以上は点数上がりにくいのではないかと思います。
情報処理安全確保支援士試験に求めたいこと
試験内容的な観点で
午後問題はデータ活用の文脈などで、データレイクやAIモデルなどと組み合わせたセキュリティについても今後は問題を増やしても良いのではないでしょうか。
特に私が現在やっているようなデータ系のお仕事であるのは、最初からデータ活用とか分析しているキャリアを進んでいる人がいます。
そういう人には、今の出題範囲だとマッチしない部分があるんじゃないかな〜と思います。
とはいえ、おそらく多くの脅威は今回試験で出たような内容からくるのでしょうしテストにする優先度は低そうですが、これからはAIやデータ活用周りのセキュリティはより重要になりそうですし、プライバシー部分も含めてテストに入れてもいいような気がします。
試験後のサポート的な観点で
正直RISSに登録後3年間で14万円は高いですね。
企業に勤めていて、セキュリティを仕事にしている人で会社が全額負担してくれる人向けの金額になっているのかと思いますが、試験自体がもっと門戸が広く設けられていることを考えるともう少し更新の手続きや金額については考慮する必要あるかと思います。
また、毎年2万円のオンライン講習も一定の基準をみたいしている企業にいればオンライン講習不要などの対処があると良いかと思います。
セキスペの登録数を増やすには試験の回数を増やしただけでは厳しいんじゃないでしょうか。
一応、費用を補填する方法として、登録セキスペが実施できるマネジメント指導というのがありまして登録セキスペに登録した場合はこういった活動を通して副業的に維持費を稼いでいくのも一つの手ですね(ただし2021年以降は開催されていない)。
https://www.ipa.go.jp/archive/security/sme/management2020.html
CISSPとの差が縮まりつつある?
クレジットカード業界の国際セキュリティ基準ですが、そのセキュリティ基準をチェックできる職員は今までCISSP保有者などに限定されRISSは対象外でした。しかし、日本限定ですがついにRISS保有者が追加されました。
国も力を入れていますし、誰かが頑張ってくれたのかもしれないですね(真相は謎です)。
国際的な知名度が上がれば試験の保有者としては嬉しい限りですね。
今後の話
あくまで資格です。多くの人にとっては通過点です。
私はWebアプリの開発を行う場面は正直ないのですが、データ活用文脈でこの資格を見た時に足りなそうなのは、法律含めたプライバシーについてもある程度理解はしておく必要がありそうですね。そういった部分の知識補充や実務経験を継続理解していこうと思っています。
あと、プロダクト作りにおいては「セキュリティ懸念があるからダメ」みたいに呪文を唱えてくる人に対して問い返せるくらい言語化できたんじゃないでしょうか。
現時点での資格のポートフォリオ
資格もなんでもかんでも取ればいいというものではない派の人間なので取得するのはなるべく少なくしていきたいと思います。
資格なくても仕事できるので、あまり意味はないですが。ご参考程度に私が考えている資格のポートフォリオです。
エンジニア系の資格(達成済み)
基本的な資格(LNUCとかJavaの資格とか)
クラウドの資格(AWSとか)
IPA(セキュリティ) <-New!
英語(達成済み)
仕事で使うのはTOIEC 900 とか 英検準1くらいあれば十分です
企画・財務(未達)
ITストラテジスト取ろうかな?最近こっちに近い仕事も増えてきたし
マネジメント(未達)
経験はあるけど資格はなし。PMP取ろうかな?
受けるなら、次はITストラテジストを機会があれば受けてみようかと思います。ちなみに、PMは迷いましたが、受けるなら国際的に知名度のあるPMPでよいと考えました(しばらく受験は考えていませんが。。)。
資格は受け出すと集めたくなっちゃうのですが、コスパの良さそうな資格(受けた後の更新とかコミュニティとかがあるものが優先。維持費が高すぎたり、維持の条件が厳しいものはNG)だけに絞って沼にハマらぬよう資格は資格で、あとは実践あるのみですね。
この記事が気に入ったらサポートをしてみませんか?