情報処理安全情報確保支援士 受験体験記
1. はじめに
令和6年度秋期 情報処理安全情報確保支援士試験(以降、SC)に受験し、見事受かることができましたーー!
いつも試験受けて終わるだけなので、そろそろアウトプットしたいと思い、この記事を記載させていただきます。
いつも試験の際はいろんな方の体験記を参考に対策を立てているので、少しでも参考になれば幸いです。
この記事の目的
本記事では、SCに合格した私の体験をもとに、合格までの学習プロセスや当日の試験体験を共有します。特に、以下のポイントに焦点を当てています:
- 採用した教材やWebサイトの紹介とそれを活用した勉強の戦略
- 実際に受験したときに体験の共有
- 受験のためのおおまかなスケジュール
- 受験後の振り返り
- 受験者に向けたアドバイス
SC試験の合格を目指す方が、本記事を通じて自分に合った学習計画を立て、少しでも合格に近づけることを願っています。
自己紹介
遅れました、私いっちーというものでして、ソフトウェア会社に勤めているSEになります。
- ソフトウェア会社4年目
- 理系の大学、大学院を出ており、情報学科を選考
- IPAの資格はFE(基本情報技術者試験), AP(応用情報技術者試験), SG(情報セキュリティマネジメント試験), SCを取得(高度な資格は初取得です!)
- 仕事は主にAWSを用いたシステム開発に従事
- セキュリティはシステム開発でよく出てくるセキュリティチェックシートや脆弱性試験、定期的な監査などでよく戦っています笑
情報処理安全情報確保支援士試験を受けた理由
- キャリアアップのため
- 仕事のため
- 会社の報奨金を取得するため
- 後輩に「受けますよね?」と脅迫されたため笑
いくつかあるのですが、特に上二つの理由が大きかったです。私自身はシステム開発が好きで、将来的には社会や業務の課題をどんどんPoC的に作って自分のサービスで社会貢献できたらいいなと夢見ています。
しかし、システム開発をする中でセキュリティは担保しなければなりません。仕事をしていく中でもクライアントはセキュリティを強く気にかけています。セキュリティは奥が深く、私自身がセキュリティエンジニアのキャリアには興味がないのですが、ある程度勉強してその結果を残して自分の今後の人生に活かしたい、という思いで受験しました。
2. 試験概要と使用した勉強教材
ここでは簡単にSCの試験内容と私が試験に向けて採用した教材の紹介をさせていただきます。
試験概要
安全確保支援士は以下のように平成29年度春期から提供されている試験制度の中の「高度な知識・技能」の1つの試験になります。
(参考:https://www.ipa.go.jp/shiken/kubun/list.html)
IPAの試験の中でSCのみ、合格後に国家資格として情報処理安全情報確保支援士(別名、登録セキスペ)として登録が可能みたいです。へー。
ただし、登録や更新には別途お金がかかるみたいです。
初回に2万弱、3年ごとに計14万円、、、
あとは守秘義務違反のリスクが大きいみたいです、、、
セキュリティエンジニア志望ではない私には少し辛い金額と制約なので、個人では登録しないかなぁ。
(参考:https://qiita.com/Ouvill/items/8a67d29d7f22a5cab605)
試験時間・出題形式・出題数(解答数)
SC試験は以下のような時間や形式で受験することになります。
一つ前の制度では午後I・午後IIと午後が分かれていたのですが、今は1つになったみたい。
過去問で勉強する際はその点にご注意を。
| 時間 | 項目 | 出題形式 | 出題数 |
|---|---|---|---|
| 9:30~10:20(50分) | 午前Ⅰ | 多肢選択式(四肢択一) | 出題数:30問 解答数:30問 |
| 10:50~11:30(40分) | 午前Ⅱ | 多肢選択式(四肢択一) | 出題数:25問 解答数:25問 |
| 12:30~15:00(150分) | 午後 | 記述式 | 出題数:4問 解答数:2問 |
(参考:https://www.ipa.go.jp/shiken/kubun/sc.html)
なお午前Iは免除の制度があります。以下のどれかの要件を満たしかつそれが2年以内であれば、試験申込時に免除を受けることが可能です。
- 応用情報技術者試験(AP)に合格
- 情報処理技術者試験の高度試験、情報処理安全確保支援士試験のいずれかに合格
- 情報処理技術者試験の高度試験、情報処理安全確保支援士試験の午前Ⅰ試験で基準点以上の成績をとる
私は免除を受けたので、今回の試験では午前IIと午後のみを受けました。
(参考:https://www.ipa.go.jp/shiken/about/koudo_menjo.html)
合格基準は、午前I、午前II、午後の全ての教科にて100点満点中60点以上を取ることになります。
使用した参考書・教材・Webサイト
私が使用した参考書や教材、Webサイトになります。
参考にしていただけますと幸いです。
1. ゼロからスタート! 教育系YouTuberまさるの情報処理安全確保支援士1冊目の教科書
ファーストステップとして活用しました。1周読み込んで、理解がうまくできなかった箇所があったり、問題で間違えた部分について再度理解するためにも利用しました。
知っている内容もありますが、理解が浅かったり知らない単語や概念もあり、非常に参考になりました。
説明はわかりやすいのですが、知識量はこれだけでは不十分に感じました。しかし。私自身は問題を解いて知識を入れていくような勉強スタイルが好きなので、必要最低限の知識を身につける目的で読破しました。
2. 情報処理安全確保支援士過去問道場
午前IIの試験のために、過去問道場さんのアプリを活用させていただきました。
午前IIを突破することはこのアプリを利用して乗り越えようと思っていました。
基本情報も応用情報も受けたことありますが、4択問題は過去問から参照される問題も多いためです。
また、わからない概念や単語が出た場合、都度ネットや本で調べたり、複雑な内容で理解しづらい場合は流行りの生成AI、ChatGPTを使って会話をしながら理解を深めました。生成AIのエビデンスは理解を深めた後、ネットで調べることである程度確認できると思います。
午後の試験についても一部解説が載っています。
午前IIの勉強がある程度できたあとの午後の過去問でも利用させていただきました。
3. やさしいネットワークとセキュリティ
主に午後の勉強で利用しました。過去問道場さんで取り扱っていない問題で理解を深めるために利用しました。数少ないネットで午後の問題を解説してくれているサイトになります。
ここでも分からない単語があれば、ネットやChatGPTで調べて理解して、を意識して取り組みました。
午後の過去問については書籍があるので、十分な解説が欲しい場合はそちらの購入しても良いと思います。午後の過去問用の書籍を買っていないので比較はできないのですが、体感少し解説は淡白かもしれません。
私は応用情報の試験で午後について、特に本を購入することなく進めることができたので、同じ感じでいけるかなと思ってネットで情報を漁りながら進めましたが、意外と情報がないものもあり、時間短縮の観点では本を買って進めても良かったなと反省しています。
意外と高度の試験になるとネットでも情報が一気に少なくなるなという印象でした。
4. うかる! 情報処理安全確保支援士 午後問題集
午後対策として過去問しか実施していなかったので、少し怖くなって利用しました。
ただし、時間の都合上、この本は1/5ぐらいしか読みきれませんでした、、、
主に記述式の攻略方法に重点を置いた解説の本になっております。
時間があれば午後の対策としてお勧めしたいですが、用語の説明などはあまりないのである程度知識がある状態でないとうまく活用できないと思います。
是非、土台を整えた上での利用を検討してください。
3. 当日の試験体験
ここでは、試験当日の流れとその時の私の動向を簡単にお伝えします。試験当日のイメージとして参考にしていただけるとありがたいです。
午前
当日は午前IIから受けるので10時半ごろに会場入りしました。
私の割り振られた教室は午前IIからなので、先に入って勉強してました。
午前IIは4択で過去問の問題と同じような問題も多く感じました。
体感5-6割ぐらいは過去問から出題されている、、、気がします。
あとは知っている内容と知らない内容の問題でどうだろうなぁと思いながら説きました。
ただし、自信を持って答えた部分が半分もあればあとは大きく外さなければ6, 7割はいけるという謎の自身がありました笑
昼休憩
午前IIの試験後は一時間ほど昼休憩が入ります。
私はいつも試験の時はお腹いっぱいで試験中眠くならないようにカロリーメイトを2本食べて、後は試験に向けて勉強するルーティンで挑んでいます。
最後の詰め込みだと思い、4の教材を読んでいました(ただし読みきれませんでしたが泣)。
教室を出て食事する方もいましたが、中で食べる人の方が多かった印象です。
午後
午後は記述式の問題でした。いまだに覚えているのですが、解答用紙に大きな空白の欄があり、何を書く欄なのか怯えた記憶があります笑
後々分かったのですが、これは問3のWebサイトが攻撃を受けて画面が書き換えられた後の絵を描く問題でした。こんな問題もあるんだなと思いました。
午後は4問中、2問選択して解く形式です。
選択する問題が非常に重要なので、少し時間をかけても解ける問題を選ぶように強く意識して問題を見比べました。問題の種類や質問文などをある程度読んだ上で比較的解きやすそうな1と3を選びました。
午後は深い知識が必要で、セキュリティについて全ての分野を深く勉強することはかなり難しいので、私は業務でよく扱っているWebシステムに関する問題を選ぶように意識していました。DNSやメール、通信のネットワーク層などの知識は浅いので避けたいなという気持ちはありました。
選択に少し時間がかかってしまったので焦る気持ちはありましたが、問題はわかる内容だったのでなんとか解き進めていくことができました。
午後が終わった後は自信のある箇所もありましたが、これでいいのか不安な箇所もあり、合格でも不合格でも納得してしまう手応えでした。
試験後は午前IIは速報で模範解答が出回っていたので、自己採点しました。
7割は合っていたのでいけたと安心しました。
午後は後日回答も出回っていましたが、どう採点するのか判断が難しく、また別のことに時間を使いたく、後は神様にお祈りして合格発表日を待つことにしました。
4. スケジュールと合格戦略
ここでは試験に挑むために準備してきたスケジュールの共有とどのような戦略を持って試験に臨んだのかをご紹介させていただきます。
試験に向けたスケジュール
7月・8月
試験の申し込みをしました。そして、申し込んだ後にどうやって勉強しようか考えていました笑
全く計画を立てずに進んでしまったのですが、試験は準備し始めると終わらないので、覚悟を決めてまずは申し込むようにしてます。
いろんな本があったのですが、仕事上でセキュリティの知識が全くなかったわけではないので、ある程度サクッとインプットして後は試験問題ベース、アウトプット中心で進める勉強のスタイルが会っているので、そのような観点で教材を探していきました。使用した教材の1が良いボリュームだったことと評価も良さそうと思って、少しずつ読み進めていました。
後はインプットだけだと退屈なので、2のWebサイトも利用して過去問を解いていきました。
午前IIの問題を中心に解きました。
全く分からないわけでは無かったのですが、最初の方は5-6割ぐらいしか解けていけませんでした。
試験に挑むには心許ないと思いながらも解き続けると本で読んだ知識や同じような内容の問題、分からなかった問題の解説で理解した内容などが出てきて、少しづつ正答率も上がりました。
最終的には7-8割ぐらいは合っていたと思います。
8月
1の教材はほぼ読み終えており、2のWebサイトで空いている時間に過去問を解き続けました。
この時期は空いている時間は過去問解くぐらいしかしていなかった気がします。
10回分ぐらいを一通り終えて、後は間違った問題のみ2週目として解き直しました。
9月
2のサイトでは過去問でまた間違えた問題などもあり、3週目、4週目を解き続けました。
加えて午後の過去問を解き、2や3のWebサイトにて解説を読んで理解を深めました。
過去問は同じ問題を解き直す、というよりは解説を読んで理解を深めることと試験の雰囲気に慣れることを目的に進めました。
記述式であるため採点の仕方によりますが、過去問は平均して6-7割ぐらいは合っていた感じでした。
ただし、年度によって8割合っていたり、半分も合っているかなといったものもあり、不安はありました。
この時からどの問題を解くか選ぶことを重視することを意識しました。実際の過去問でも問題を選択する方法から検討し、自分の仕事に近い知識が解きやすいと思いそれを選択して解き進める練習をしました。
なお、過去問は試験制度が変わったため、午後I、IIの2種類があったのですが、全て解くように進めました。
10月
過去問を引き続き解きながら、午後の対策に不安を覚えて4の教材を購入し、空いている時間で記述式の対策を行いました。
4は全て解ききれなかったのですが、筆者の解き方の解説を理解しながら勉強を進めました。自分の回答した内容と本の解答の内容を見比べるのは少し面白かったです。セキュリティのどの点が重要なのか、どの部分を記載しなければならないのか、どのようにその内容に気づけばいいのか、本番のことを意識して取り組みました。
攻略方針
勉強の仕方は人それぞれなので、あくまで私個人の考えですが以下3点を意識して進めました。
- インプットよりもアウトプットを重視する
- 過去問ベースで勉強を進める
- どのように回答するのかプロセスまで意識する
一番上の内容は午前II(おそらく午前Iも同じであるとは思うが)で特に重要かと思っています。
本などで知識はつけますが、必ずアウトプットを重視するように意識しました。
私は全ての問題に正解するまで、なんなら問題文を覚えてしまうまで繰り返していましたが、最近の問題で8割程度すでに解けているのであれば、インプットはあまり必要ないかもしれないです。
真ん中は午前も午後も共通した内容です。
過去問をベースとした内容が本番も出てくる可能性が高いので、これに慣れるように意識することが重要だと思っています。どの試験でもだいたい通る理論だと思いますが、傾向と対策がテストの全てだと思っています。
最後は特に午後で重要な内容かと思います。問題文からどのように情報を引き出して、どのように自分の知識と照らし合わせながら回答していくかを意識することが必要だと思っています。前提として知識があることを必須です。知識がなければそもそも何を問われているのか分からないので、、、
そういった練習をしていくと問題文を読む段階でどのような問題が出てくるかなんとなく想像できて、より有利に試験に挑めると思っています。
私の場合、間違えた内容は知識不足もありましたが、それより問題文から捉える背景や記述する内容の不足が多かったので、問いの内容について簡潔にどのような内容を記載すればいいのか考えてからその内容を補足するように記載していく、という形で解くようにしました。
注意点
ここまで記載してきて申し訳ないのですが、午後の問題については正直運があると思っています。
特にどの分野のどの問題が出てくるかでその人に対しての合格できるかどうかの可能性が大きく変わります。
すでに記載していますが、私の場合、仕事でWebシステム開発を行うのでその分野では合格できる可能性が高いとは思います。一方で、DNSやメール、ネットワーク層などクラウド開発で強く意識しなくてもよい部分は合格できる可能性が低いと思います。
10回試験を実施して、10回は受からないと思います。
そういった観点でも過去問ベースで勉強して、どのような問題が出ているのか、自分はどの程度理解できるのか、自分はどの分野が強くてどの分野が弱いのかを確かめながら勉強する必要があると思います。
近年であれば、Webシステム開発やクラウド開発がテーマの問題もよく出ていた印象があるので、その傾向は私にとって好都合でした。
5. 結果発表と振り返り
ここでは合格発表とそれを受けての振り返りを行いたいと思います。
合格の連絡を受けた際の感想
とりあえずよかった、という気持ちでした笑
そりゃそうなんでしょうけど笑
ただ、もし落ちていたらおそらく午後問題が敗因になるので、記述式の対策を充実させるために4の教材を追加で勉強したり、強みの分野を増やすためにもっとしっかりしたインプット用の教材を購入して勉強しないといけないと思っていました。
これが必要無くなったので、開放感もありました笑
今回の学習・試験を通じて得たもの(スキル、考え方の変化など)
受ける際のモチベーションはセキュリティにも精通した開発エンジニアのキャリアのためでしたが、勉強していく中でセキュリティ広すぎる、という考えがどんどん強くなっていきました。
資格取得したのに全然スペシャリストを名乗りたいと思いませんでした。まだまだ未熟だ、、、
ある程度の知識はつきましたが、システム開発の上では常に問題がないかを疑い続ける姿勢を持って取り組む必要があると思っています。そのための引き出しとしての最低ラインのものが出来上がったようなイメージを持ちました。
6. 受験者へのアドバイス
ここでは私がこれから受験される方へ共有したいことを記載します。
モチベーションの確立
SCに関わらない一般的な内容だと思いますが、私が一番大事に思っていることは、なぜその資格を取るのか、といったモチベーションが重要だと思っています。私自身もよく資格取得のために勉強していますが、正直勉強が楽しいもの、という気持ちは一切ありません。
じゃあなぜ勉強するのかというと、私の場合、本記事の冒頭の通り、キャリアアップと仕事のためでした。もっとやりたいことが明確になってその道に進みたい時、おそらくシステム開発には携わっているとは思うのですが、セキュリティについても考慮して進めたいです。やりたいことでセキュリティインシデントはできるだけ避けたいですし、、、
また、直近もプロジェクトの中で、セキュリティは避けては通れないので取得した際のクライアントへの信頼にもなると思っています。そうすれば仕事もスムーズに進んでもっと別のことに時間使えるようになって、、、良いサイクルが回せるのではないかと思っています。
上記のように具体的な自分のビジョンを想像するようにしています。
これから受験される方も何のために勉強するのか、自分が取得した時の姿を想像しながらその辺りの背景を今一度考えてみてから挑むとよいのではないかと思っています。
その補強でSNSや勉強会の活用、学習記録の公開などをして継続的にモチベーションを維持するのもよいと思います。
試験の目的は合格することだけ
よく業務のために、仕事のために、知識のために資格を受ける、という方がいらっしゃいます。
これは私も同じなので共感します。
ただし、試験を受けるからには試験自体の目的は合格することのみを目指すようにしてください。
試験は残酷なことに、合格以外は残りません。
試験勉強は確かに体系的に学べますが、その学習が試験の目的にならないようにして下さい。
ですので、網羅的に勉強する、というよりは午前の範囲はカバーできるよいにして、午後は得意な分野を傾向に合わせてある程度開拓してその分野で勝負する、分からないものは分からないといった形で割り切ったスタイルがいいと思います。全て完璧にはしなくてもよいと思います。
どうせ試験が通ったところで永遠に勉強はしないといけないです。試験は合格、資格は自分のありたい姿、足りない力はその後の継続的な学習、と切り分けて考えた方がいいのではないかと思っています。
足りない力を考える
過去問を解き終わった後、採点してどのくらい合っているのかは把握するようにして下さい。
そして、もし合格ラインに立っていない場合は何が足りないのかを考えるとよいと思います。
例えば午前の問題で合格点に達していない場合、知識が足りない、というケースが多いと思っています。
よって知識を増やすインプットの工程がもっと必要だと思います。
午後の問題で合格点に達していない場合、知識が足りずに問題を理解できなかったのか、記述する観点が異なっていたか、などで次に勉強する内容が変わると思っています。
試験合格のために時間は限られているので、合格点のために今どの位置にいるのか、どの力が足りていないのか考えて、そこを補うように勉強すると効率よく進められると思います。
7. おわりに
長々とお話しさせていただきましたが、SC試験の学習法や試験体験を通じて、これから受験される方が効率よく合格に近づくためのヒントを提供させていただきました。試験勉強は決して楽ではありませんが、強い目的意識があれば乗り越えられると思っています。この記事がその一助となれば幸いです。読者の皆様の合格を心より応援しています。
Discussion