テクニカルエンジニア(情報セキュリティ)持ちだけど情報処理安全確保支援士試験に合格ってみた

2023年12月25日 16:13

桜は散ったが、紅葉は華やかに色付いた

「⑤だめだったのでリベンジしよう」でも書きましたが、令和5年度春試験で情報処理安全確保支援士を受けたところ、午後II試験で50点しかとれず不合格となりました。
秋試験でリベンジとしたところ、午後試験はギリギリ61点となり、合格しました。

ということで、今回の受験のまとめです。

午後I・IIから午後試験へ

春試験後から秋試験を見据えた試験勉強を再開しました。
ところで、この令和5年度秋期から、午後I・IIという区分はなくなり一括して午後試験となりました。

午後I 90分・3問中2問選択、午後II 120分・2問中1問選択→午後 150分、4問中2問選択ということで、個人的には負荷は減ったと感じました。
ただ、かけられる時間は正味減っています。
春試験では午後Iは45分で1問、午後IIは120分で1問として、計165分の戦いでした。秋試験は1問あたり75分、2問で150分です。
問題のページ数(ボリューム)も丁度あいだをとったような感じです。春試験の午後Iで5ページ前後、午後IIで11、2ページあったのが、秋試験の午後は問題によって5～9ページとなりました。午後Iよりは読まねばならないけど午後IIほどではない、というラインでしょう。

午後試験の問題

問2,4を選択しました。

問2を選んだのは、ログ追い掛け系とかフィルタリングルール展開系は好みで手が付けやすいという理由です。
問4を選んだのは問1のプログラミング問題を外した結果、問3と比較して答えが構築しやすそうだったからです。

問4は多くの人が見開きの表4と、設問2(1)「おまえの知見を示してみよ！」にとまどったことでしょう。
しかし、知見を示せといいつつ、ほぼ一定の回答を書かせようとしていることは見えていました。
その一定の回答とは、①なんらかの手法でマルウェアに感染させられ、②Z情報を第三者が入手する、です。

本文に示した状況設定に沿うとは

高度試験や行政書士試験などでもよく言われますが、事例問題では試験問題の誘導に上手くのるべきだと考えました。
では今回の誘導……とくに問4の知見問題での誘導……とは何か。

本文の「リスクアセスメントの開始」において、ランサムウェアによる"二重の脅迫"が社会問題化したことをきっかけにリスクアセスメントを始めています。
しかし、リスクアセスメントの結果である表4には、ランサムウェアによる事象が明示されていません。
また状況設定にでてくる登録セキュスペのTさんは、Z情報の機密性に限定してリスクアセスメントを進めています。
その手順に従うと、Z情報の機密性への影響によって被害の大きさランクが大・中・小と分けられます。これも大きな目安となりました。
なぜなら、○○という事象によりZ情報の機密性が保てなくなる、という書き方ができると、リスクアセスメントの手順に従ったと言えるからです。逆に言うと、リスクアセスメントの結果を埋めるにはZ情報の漏洩への評価が必須なので、Z情報の機密性を損う何かを書かなければなりません。
つまり、知見を示せといいつつ、実際はほぼマルウェアによるZ情報の窃取を見抜けという内容にちかいのです。

そこで私は、ランサムウェアによる①不正な暗号化と、②配送先の住所・氏名・電話番号といった個人情報を含むZ情報の漏洩が鍵だろうと判断しました。

問題に提示されているリスクアセスメントの手順にしたがうなら、私が書いた不正な暗号化は余事記載になるはずです。なぜなら不正な暗号化はZ情報の機密性には関係ないからです。
(可用性には影響あります)
そして、私は見落としていましたが、Z情報の可用性や完全性のリスクアセスメントは後でやったと書いてあるのです。つまり、不正な暗号化は後日のリスクアセスメントの内容なのです。

まとめ

偉そうに書きましたが、61点でスライディング合格した身です。本当はもっと高得点を狙いたかったところです。
なにせ、このシリーズの最初にも書きましたが、16年前にこの試験の前身(の前身)であるテクニカルエンジニア(情報セキュリティ)に合格しているのです。つまり、既に合格した試験の再受験です。

今回は解答を問題用紙に書き写しきれなかったので、近いうちに午後試験の解答用紙を開示してもらって、実際どう書いたかを公開したいとおもいます。
次に受験される方の参考になれば幸いと思います。

まとめ②

情報処理安全確保支援士に合格したことで、いくつかの資格試験の試験一部免除を得られるようになりました。例えば、弁理士の論文式試験の選択科目や、技術士一次試験の専門分野(情報工学部門)ですね。
第二種電気主任技術者の免状やテクニカルエンジニア(情報セキュリティ)があれば弁理士の専門分野が免除されます。
技術士一次試験はテクニカルエンジニアでも、第二種電気主任技術者でも専門分野が免除されないため、その点では今回の合格は次のステップに役立ちます。

シリーズ最初にも書きましたが、情報処理安全確保支援士として登録するか？と言われれば、多分個人ではしないでしょう。御布施が高すぎてメリットがないからです。

この記事が気に入ったらサポートをしてみませんか？