Zenn
📝

[受験記] 250420 令和7年度春期 情報処理安全確保支援士試験

に公開
Security
情報処理技術者試験
IPA
資格試験
情報処理安全確保支援士
idea

はじめに

2025/4/20の「令和7年度春期 情報処理安全確保支援士試験」を受験してきた。
自己採点はまだだが、結果を確定させる前に感想を先に書き残したくて、受験記録を書くことにした。
感触的にはおそらく午前Iで足切りをくらっていると思うので、秋期も受ける前提で本記事を書いている。

本日夜時点で、午前の問題・解答例と、午後問題の内容が公表されている。内容が気になる方はぜひ目を通していただきたい。
https://www.ipa.go.jp/shiken/mondai-kaiotu/2025r07.html

前提

筆者の情報は以下。

  • 社会人5年目(Web脆弱性診断3年、開発2年目)
  • セキュリティが好き。
  • IPA試験は2019年秋の基本情報合格以来。実に6年のブランク。
  • SC初受験。今年のお正月休み期間中に、受験を決意した。
  • 対策: 午前IIは比較的やったが、午前Iをほぼやらずに当日迎えた。
    • 午前I:参考書1周半と章末問題1周半。あと過去問道場1年分解答。
    • 午前II: 参考書1周と副読本数冊。あと過去問道場はH30秋-R5秋の10回分解答。
    • 午後:午後I時代の過去問を3問解いた程度。

試験について

当日の試験内容について感想を書きつつ振り返る。

午前I

50分間で4択式。全30問回答。

直後の感想

  • 生成AI多いな??となった。4問くらい出ていた。
    • 最終問題の画像生成AIと著作権は「まあ現状の解はこれやろ」解釈で選択した。
    • おそらく生成AI関連の問題は新規だと思う。30問中4問は意外と無視できない割合。
  • LRUと可用性計算は、わりかし根拠をもって回答できた。計算問題は味方になると強い。
    • 逆にいうとそれ以外の計算は4択だった。。類似問題は過去問にあったように思うので、単純に演習不足。
    • 可用性は100%を考えた後、割り算ですぐ求められるのでラッキーだった。
  • CRYPTRECが午前Iで出るんや...となった。推奨候補暗号リストと電子政府推奨暗号リストの説明の2択でかなり悩みながら、電子政府の方の説明を回答した。
  • OSコマンドインジェクションもここで出るんだ...となった。
  • SBOMも午前Iで出た。後述の午後でもメインテーマだったので、今回はSBOM推しがいらっしゃったのかもしれない。
    • 新しい技術が台頭してから2~3年ほどで出題される感じかなと勝手に思った。
    • MCPは当然今回出題されなかったし、SAMMが出るとしても、もう少し先になりそう。
  • L2TPは3層より上か下かどっちだっけ...となった。調べると2層が正解だった(´;ω;`)
    • Layer 2 Tunneling Protocolの略なので、L2と来ている時点で気づくべきではあった。略称ではなく正式名称も把握しておくの大事。
    • ちなみにL2TPはVPN接続関連で、2層で仮想トンネルを作成するプロトコル。
    • https://www.openupitengineer.co.jp/column/it-technology/3413

午前II

40分間で4択式。全25問回答。

直後の感想

  • SonarQubeが出た!普段開発でお世話になっています...と思いながら回答した。
  • Mirai久々に見た。なんかニュースあったっけなと思いながら選択していた。
  • OAuthとSAML出た。定義を問うのは過去問でおなじみ。
  • OP25Bも出た。あれ4択だと毎回迷う。メール技術の本の内容を必死に思い出しながら選択した。
  • 可用性の計算が午前Iと連続して出た。ラッキー。
  • 銀行のトランザクション認証系や、監査で指摘事項選ぶ系も見かけなかった。
    • ついでに、IPSecやRADIUSなどのネットワークセキュリティ系も見なかったように思う。
    • Webセキュリティ系もGET/POSTの選択くらいだった気がする。
  • IoC(Indicator of Compromise)のCompromiseは「侵害」だから...と勘なりに考えて選んだ。
  • 「ISMAP クラウドだけど どっちやろ」 となっていた。演習の記憶が飛んでた。
  • SHA512/256は、さすがに演算を512回もしないはず...となっていた。

午後

150分間で記述式。全4問中2問を選択して回答の形式。思ったより解答用紙が大きかった。
大問2から解き始めた。大問1と3どちらを選ぶかでしばらく迷っていたが、大問3のTLSハンドシェイク選択肢を選べる自信がなかったので、大問1を選んだ。

2問とも、解いててかなり面白い問題だった。診断員時代の記憶と開発1年間分の浅い経験を掘り起こしながら回答するのはとても楽しかった。
150分は長いと思っていたが、解いているとあっという間だった。ゆっくり解きつつ130分辺りで2問回答完了したので、残りの時間は見直しと解答を問題用紙に転記する時間にあてていた。

総じて複合的な問題が多いと思った。以前の午後Iみたいに「認証/ネットワーク/セキュアプログラミングetc」と分野がはっきり分かれているというより、「脆弱性の話の中にTLSハンドシェイクの話が出てくる」など、要素が混じりあった状態で出題されているように感じた。

以下から大問別に感想を述べていく。前述したが、正答を保証するものではないことを改めて申し上げておく。

大問1 SBOM文章題

終始ガイドラインを作って運用する話だった。SBOM,SAST,CI/CDパイプラインなどの見知ったワードがでてきて「解いてみたい」と初手で思った。問題文をぱっと見だと、即答が難しそうだったので後回しにしていたが、結局2問目として解くことにした。問題文の中盤以降は、落ち着いて読むと文章内にヒントがあるタイプの、国語系問題になっていた。

途中の、過去脆弱性回想ターンでは、「侵害されたサーバTにスクリプトPを配置していたからですかね(知らんけど)」や、「スクリプトPの使用やめて参照しないようにしたんじゃないですかね(知らんけど)」といった感じで、語尾に知らんけどをつけつつ、適当な解釈で回答していた。

ガイドラインと図のサービス概要からヒアリング前の論点整理をする箇所は、文中に答えがあるのでラッキー問題だった。
項番2に対して「共用アカウント使っているけど、利用記録簿の運用次第では利用者の特定が可能な説あるで!」と小文字で書いたり、「問題なし。」をデカい文字で書いたりと、内容によって情報量が異なる解答欄になっていた。

終盤、SBOMといえば依存関係ということで、「依存関係含むライブラリのバージョン情報把握できるからいいよね!」となったり、「ガイドライン案の項番どこ修正かけたかわからんな...3?8?いっそ1にするかぁ...1しか変更内容の説明思いつかんしな」と成り行きで解答したり、知識というより文中から考えを組み立てることの方が多かった。

大問2 PF&Web診断 ~EPSSを添えて~

副題は適当につけたが、前半がPF診断・Web診断の話だった。後半がEPSSとCVSSによる脆弱性評価と脆弱性対応の優先度を決定する話だった。SQLiの脆弱性から始まり、診断を再度行った結果をもとに、評価基準を用いて脆弱性対応の優先度を決定する流れだった。

最初のSQLiのSyntax Errorは、徳丸本のBadTodoを思い出しながら回答していた。

途中の「診断員の技術差はなく、開発側も初回診断以降にアップデート等対応は何もしていないのに、初回リリース時と再診断時点で診断結果に差異がでたのはなぜか?理由2つを回答せよ(意訳)」は、かなり考え込んで回答した。
現実的には、診断員の技術差による検知漏れがあり得そうでは...となりつつ、

  • 「初回リリース時点では未知の脆弱性だった」
    • 当時は発表されていない脆弱性とか、EOL迎えてなかったとかありそうやなーと
  • 「初回診断時と再診断実施時点で診断項目の指摘内容が変わった」
    • ツールをアップデートしてより精度の高い検知が...とか、診断項目を改訂した結果差異が生じた...云々の文言が思い浮かんだ。完全に診断員目線。

の2つを解答した。脳内にメーラーを立てて「ご連絡ありがとうございます。お問合せいただきました内容について、以下インラインでの回答失礼します...」の文面を勝手に思い浮かべながら回答文案を作っていた。この辺は他の診断員の方々の見解を聞いてみたいところ。

CVSSv4の話がタイムラインを賑やかしており、大問2で見落としたかな?と思ってたが、大問4で出てたとのこと。ACを記述する問題には特に関係なかった。

最後のEPSSしきい値とCVSSv3環境値から評価結果を求める問題は、最初Web診断側を「EPSS対象外やから、全部Cの優先度低やな!」と解答していた。
ただ終盤20分で見直していた時に、「いや待て、なんでOSコマンドインジェクション(CVSSv3基本値9.8)が優先度低やねん...おかしいやろがい」と気づいたので、評価を見直して事なきを得た。本文中に「Web診断の結果は領域I,IIIが妥当」と言及していたのに気づけて良かった。

その他試験当日のまとめ

当日実際に受験して、分かったことを中心に記載。

基本は30分前行動

開場9:00、開始9:30と記載されているが、15分前から問題用紙配布の準備に入るので、実質15分前行動が必須になっている。受験票にも、15分前着席の旨が記載されている。
余裕をもって30分前に試験会場入口に着くようにして、ちょうどよいくらいだった。

食事はしっかりめに摂る

特に朝食は摂った方がいいと感じた。朝が早起きなので、時短でインスタント味噌汁とカロリーメイトを食べたが、午前中の集中力が持続した。
お昼ごはんは今回会場近くのコンビニに行って調達したが、現地のコンビニだとおにぎりやパンが売り切れ多めだったので、できれば自宅から近くの方で買っていった方が安心かなと思った。

たまたま売っていた「牛カルビ&ねぎ塩豚カルビ弁当」を美味しく食べたが、午後試験はこれくらいしっかり目にとっておくので丁度良かったかもしれない。
午後試験準備開始時に栄養ドリンクを飲み干すことで、しっかり食べても眠くならずに集中できた。

https://www.sej.co.jp/products/a/item/046206/

持ち物について

あってよかったものや、今度持っていきたいものをリスト化しておく。

  • HB鉛筆
    • 午前のマークは鉛筆、午後の筆記はシャーペンでの回答がちょうどよかった
    • 午前は塗りつぶしやすいこと重視で、午後はよく消せることを重視すればよいと感じた
  • 腕時計
    • アナログ一択、直感的にわかりやすい時計がよさそう
    • ソーラーパネル形式は肝心な時に時刻がずれているので、電池式がいいかも
    • 午前は忘れても何とかなるが、午後は150分2問回答なので、時間配分を考えるためにあった方が良い
  • クリアファイル
    • 問題用紙を持って帰るときに、皺になりがち
    • 参考書が分厚くて思ったより圧がかかるので、薄いクリアファイルよりも、厚手のファイルの方がいいかもしれない
  • ノート
    • 参考書全種持ち運びは重たいので、要点やよく間違える問題をまとめた試験前に見れるノートがあればいいなと思った
  • 自立するかばん
    • かばんは床置きなので、リュックでよかった
  • 目薬
    • 目がさえるタイプのを試験前に打つのがよかった
  • 飲料水
    • TOEICとは異なり試験時間中は飲めない
    • 好きな栄養ドリンクを午後試験前に飲み干すと、午後試験も集中できた

最後まで受験する

正直会場入りを見送ったり、午前Iで帰ることが何度も頭をよぎった。しかし「次に活かすためにも今回一通り受けてみよう」の気持ちで最後まで解答した。結果としては最後まで通しで受験してよかったと思う。午後問題は面白かったし、問題冊子・解答用紙のサイズ感や、時間内での解き方など、本番ならではの感覚を経験できたのが大きかった。(受験料も高いので、不戦敗はもったいないという気持ちもだいぶあったが...)

意外なことに、通しで受けることで「秋も頑張ろう」と、試験へのモチベーションがあがった。このモチベが消え切らないうちから対策を始めていきたい。

当日に問題と解答速報がIPAから公表されることがわかったので、次回も試験中に自己採点などせず、公式解答を待ってから採点したいと思う。

次の試験に向けて

試験当月の対策は中々モチベ的に難しいとわかった。あと春先は花粉や寒暖差で何かと体調を崩しやすく、弱りやすい時期に対策を詰め込む計画は計画倒れしやすい。3か月スパンが難しかったので、6か月スパンで少しずつ、継続的に試験勉強をしていきたい。

午前I

特に時間を割いて対策する。次の秋期で午前Iがダメなら、応用情報の対策に専念する。
新形式の問題も出るが、だからこそ過去問の演習で取れる問題は押さえておくべきだと実感した。
過去問丸暗記というより、解き方を理解したか?類似形式の問題でも解けるか?が重要になりそうだと今回受験して思った。

午前II

自信のない問題を減らす。午前午後通してだが、ガイドラインや不安な用語を別スクラップにてメモとっていく。

午後

演習量を増やしつつ、関連知識を復習する。過去問は独立した分野での出題が多いが、複合した知識が問われる中で正答を述べるには、以前のシンプルな形式の過去問で演習しておく重要性は変わらないと勝手に思っている。

Discussion