はじめに

みなさん、こんにちは。ひよこインフラエンジニアです。普段はAWSを中心に、既存システムの保守運用や新規システムの構築・テストなどのお仕事をしています。TECH PLAY女子部さんのアドベントカレンダーに参加し、「TECH PLAY女子部 Advent Calendar 2023」^[1]の24日目の記事として本記事を公開する運びとなりました。
今回、独立行政法人情報処理推進機構(IPA)の主催する情報処理安全確保支援士に何とか合格できましたので、振り返りと反省の念を込めて勉強方法を記録しておきます。

本記事では、以下について言及しています。

• 情報処理安全確保支援士試験について
• 勉強開始時の私のスペック
• どのような勉強を行ったか
• 感想

1. 情報処理安全確保支援士試験について

情報処理安全確保支援士試験(Registered Information Security Specialist Examination：以降SCと表記)は、毎年春期(4月)及び秋期(10月)の年2回実施されるIPAの試験です。対象者像は「サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者」^[2]とされています。また、支援士の業務と役割については下記のように明記されています。

情報処理安全確保支援士の業務と役割(IPA, 2023/6/30 より転載)

自身が個人としてセキュリティ業務に従事するだけではなく、セキュリティ方針や諸規定の策定といった部門・会社を対象とするような範囲の広い業務を行うこと、下位者への指導を行うことなども求められることが分かります。

さて、実際の試験についてですが、午前Ⅰ・午前Ⅱ・午後試験から成り立っています。他の高度区分と異なるのは、従来午後Ⅰ・午後Ⅱと別れていた試験が150分の午後試験に統合された点です。これは、令和5(2023)年度秋期の試験から変更されたもので、私は初めて午後試験が統一されたタイミングで受験をしたことになります。

試験時間・出題形式・出題数(解答数)(IPA, 2023/6/30 を参考に作成)

試験合格後は、所定の登録手続きを行うことで、国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。^[3]

平成29年度春期からの試験制度(IPA,2023/3/31,https://www.ipa.go.jp/shiken/kubun/list.html)

2. 勉強開始時の私のスペック

試験の準備にかかる時間や内容は受験者様固有のものだと考えますので、当時の私の知識や経験について記録しておきます。なお、私は暗記が大の苦手かつ、かなりの飽き性かつ、体力がなさすぎて出社した日は基本勉強できない性質でございます・・・。
受験時期は社会人3年目の10月であり、当時は基本情報・応用情報を取得していました。また、ベンダー資格としてAWSのソリューションアーキテクト・アソシエイトの資格を保有していました。業務では、主にAWSのインフラ領域(EC2やVPCなどのサーバー・ネットワーク周り)を担当しており、アプリケーションやセキュリティに関する知識・経験はほとんどありませんでした。具体的には、セキュリティの知識は、応用情報の勉強で身に着けたものと、所属する会社で必須研修として用意されているe-Learningで知り得たもの程度でした。

3. どのような勉強を行ったか

飽き性と体力のなさを考慮して、最初に計画を立てました。

勉強の方針

まず初めに、だいたいどれくらい勉強時間がとれるか算出し、いつまでに何を終わらせていたいかを決めることにしました。基本的には週に2~3日ほど出社、残りはテレワークで業務を行っていたので、下記のように計算しました。

テレワークの日：2時間(業務前1時間、業務後1時間)
出社の日：30分(移動、休憩中の元気な時間)
休日：3時間
さぼる日：3(回体調不良する)×5(日間ほど最大寝込む)=15日

この前提をもとに、6月から参考書を読み始めることにしました。非常に「さぼる日」が多くなっていますが、結果的にはコロナやウイルス性胃腸炎に感染して3週間ほど勉強できない期間があったので、最初から見込んでおいて良かったなと思います。
テレワークの日や休日は参考書読み/調べもの/記述が必要な過去問を実施しました。一方、出社の日は隙間に過去問道場^[4]で午前問題を解き、不明点や自身のないところは「後で調べるリスト」(JTCらしくExcelを使用しました)に追加していました。なお、今回の試験までは午前Ⅰ試験の免除が使用できたため、午前Ⅰの勉強はしませんでした。

また、あまり試験勉強のやる気がないときであっても、何かしらアンテナは立てておくようにしていました。

• 業務中発見したセキュリティ関連の知らない単語をメモして「後で調べるリスト」に追記する
• 検証用のAWSアカウントで怪しい通信があればそのプロトコルを調べる
• 社内や社外のセキュリティ情報に目を通す
• 既存のセキュリティグループやFWの設定で分からないところを調べる
• Xのフォロワーさん経由でセキュリティの情報収集をする

今思えば、自分に無理のないスケジュールで業務・プライベートで何かしらの情報が入ってくる状態にしていたのが良かったかなと思います。

使用した教材

参考書及び演習問題は、下記を利用しました。
上原 孝之『情報処理教科書 情報処理安全確保支援士 2023年版』翔泳社、2022年
https://www.shoeisha.co.jp/book/detail/9784798178127

また、勉強をする上で不明点を調査する際は、必要に応じて下記を読みました。特に、NATやIPsec、HTTP、SSL/TLS、DNS、SSHは実務でも利用するので、何回も見直しました。
みやた ひろし『図解入門TCP/IP』SBクリエイティブ株式会社、2020年
https://www.sbcr.jp/product/4815604974/

さらに、鍵や認証については下記で補強しました。
結城 浩『暗号技術入門 第3版』SBクリエイティブ株式会社、2015年
https://cr.hyuki.net/

また、午後試験の過去問は出社したタイミングで印刷し、紙ベースで解くようにしていました。

4. 感想

資格試験の勉強を通して、普段の業務では使用しないアプリケーションや、DB関連の知識を少し増やすことができました。また、日々の業務で何気なく使っていた証明書や、SSH、SSL/TLS、DNSに関する知識を得ることで、「この設定はこのためにあるんだな」「この設定がデフォルトのままだと危なそうだな」といった視点で考える機会が増えるようになりました。

とはいえ、プロトコルの詳細までは理解できていないところもあるため、次回のネットワークスペシャリストに向けて継続して学習が必要だと感じました。さらに、インシデント対応やログ調査でどのように手を動かすか、要件定義や基本設計でどのようなセキュリティ対策を考えてお客様に納得してもらえる説明ができるか、といった点はまだまだ修行が必要な状態です。資格の名称だけが一人歩きしないよう、今後も業務を通じて研鑽していきます。

最後までお読みいただきありがとうございました。
また、何かの記事やどこかの勉強会でお会いしましょう。
ひよこインフラエンジニア

脚注

1. https://adventar.org/calendars/8590 ↩︎

2. https://www.ipa.go.jp/shiken/kubun/sc.html ↩︎

3. https://www.ipa.go.jp/jinzai/riss/index.html ↩︎

4. https://www.sc-siken.com/sckakomon.php ↩︎