2016秋情報セキュリティスペシャリスト試験に合格しました！

H28秋期の情報処理試験で『情報セキュリティスペシャリスト（SC）』を受験し、なんとか１回目の受験で本当にぎりぎり「合格」できました（特に午後II）。試験対策というほどの大それた綿密な勉強計画を立てて学習した訳ではなかったのですが、参考書など受験を予定されている方のご参考になればと思い、以下私の勉強法をまとめてみました。

試験の統計
私のスペック
試験対策
試験直前〜試験
その他参考になった本
情報処理安全確保支援士に対応した参考書
情報処理安全確保支援士に関する情報
『情報処理安全確保支援士』と名乗るには登録が必要

試験の統計

IPAの統計情報をグラフにしてみたのが以下です。セキュリティへの関心の高さかSCとしての最後の試験なのか不明ですが、統計によると受験者数は近年で最も多かったようです。

https://www.jitec.ipa.go.jp/1_07toukei/_index_toukei.html

私のスペック

・Webアプリケーションエンジニア９年目
・普段はJavaでWebアプリケーションの開発がメイン
（サーバ設定やネットワーク機器を触ったりすることは普段ほとんどありません）

基本的なWebアプリケーションの脆弱性を突いた攻撃（セッション固定化攻撃、SQLインジェクション、XSS、CSRF、OSコマンドインジェクション、ディレクトリトラバーサルなどなど）についての知識は人並み程度にあリます。

試験対策

メインで使った参考書と問題集

情報処理教科書情報セキュリティスペシャリスト 2016年版

posted with amazlet at 16.10.10

上原孝之
翔泳社
売り上げランキング: 70,044

Amazon.co.jpで詳細を見る

午前・午後を通して共通で使用したのが上記参考書です。ネット上での評価も高いようで、実際に読んでみると幅広く体系的にまとめられておりとても分かりやすかったです。本書をじっくり繰り返し読むことで、午前・午後の基礎力は身につくと思います。

私の場合は、本書を繰り返し読みつつ、関連知識として合わせて覚えておきたい内容を参考書に書き込んで教科書兼ノートとして使用しました。本書を実際に手に取ると分かりますが、本書は分厚く情報量も多いため、学習用に別途ノートを用意するよりも、本書に追加で情報を書き込んでいき一冊でほとんどの情報をすぐに参照できるようにした方が効果的だろうと感じました。通勤や移動の時間を利用して、とかく本書を繰り返し読みインプットしていきました。家に帰ってからは過去問中心に対策を立てていきます。

実は、本テキストですが２年前に試験を受けようと購入しつつそのまま本棚に眠っていました。。新しい方が良いとは思いますが、やや古くてもテキストとして十分活用できました。

平成28年度【秋期】情報セキュリティスペシャリストパーフェクトラーニング過去問題集 (情報処理技術者試験)

posted with amazlet at 16.10.10

エディフィストラーニング株式会社
技術評論社
売り上げランキング: 115,939

Amazon.co.jpで詳細を見る

直近の過去問題の対策として本書を使用しました。過去4回分の過去問題が掲載されています。その他、PDFで10回分程度の過去問題をダウンロードできます。午前問題が学習しやすい紙面構成（見開き、左ページに問題、右ページに解答）となっているのが特徴的です。

本書の過去4回分を解きつつ、その先は後述の午前・午後のやり方で学習をしていきました。

午前対策

今回、私の場合は午前I・IIと両方とも受験したので、朝一からの試験でした。午前対策は、過去問題集を数年分解きまくるです。

情報セキュリティスペシャリストドットコム^[1]http://www.sc-siken.comというWebサイトでとても分かりやすく情報をまとめてくださっている方がいらっしゃいますが、そのWebサイトで利用できる過去問道場をひたすら繰り返します。問題と解答のほか学習記録も取ることができ、午前はほぼココのみの対策で臨みました。問題文を見て瞬間的に解答を選べるようになるまで、毎日1回分の午前I・IIを解き、次の日は前回の１回分と新しい１回分という感じで繰り返し学習しました。過去数年分の問題を解きました。

午後対策

午後IIについては、ほとんど対策していませんでした。というのは、問題文が非常に長く難しそうに見えますが、問題文の意味をしっかり理解し読み進めれば解答できるというようなことが参考書にも書いてあったからです。実際に過去問を眺めてみると、問題文は各セクションで独立して解答できるような構成になっているようでした。その代わりに午後Iについてはなるべく数年分の過去問を解くようにしました。

2016 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策 (午後対策シリーズ)

posted with amazlet at 16.10.09

ITのプロ46 三好康之大谷將具志強早坂一希
アイテック (2015-11-27)
売り上げランキング: 9,971

Amazon.co.jpで詳細を見る

午後対策として本書をメインに学習しました。本書は、学習項目ごとに章が分けられており、章ごとに知識を整理しながら集中的に学習を進めることができ、また要点も整理されているためとても分かりやすかったです。本書には各章に演習問題が用意されており、問題は過去問がベースとなっています。演習問題の数は各章１問と少なく思えますが、章の学習項目に関連する出題が過去問でいつの年度のどの箇所で出題されているか、また目を通しておいた方がいい過去の問題をピックアップしてくれていますので、演習問題に加えてこれらの参考問題をIPAの過去問集ページからダウンロードし印刷して問題・解答・講評を眺めることで、類似の問題を効率的に学習していくことができます。この一冊と過去問をじっくり学習することで、午後の部を何とか合格レベルまで持っていけるのではと思います。

IPAセキュアプログミング講座

IPAセキュア・プログラミング講座 | アーカイブ | IPA 独立行政法人情報処理推進機構

情報処理推進機構（IPA）の「IPAセキュア・プログラミング講座」に関する情報です。

特に午後試験のセキュアプログラミングに関する問題で有効かと思います。Webアプリケーション、C/C++でのソフトウェア開発など出題されそうなトピックをカバーしているので軽く目を通しておいた方が良いかもしれません。特にプログラミングに関する問題を選択される方は是非目を通された方が良いと思います。

安全なWebサイトの作り方

Webアプリケーションの開発で代表的な攻撃に対する説明、それに対する対策がわかりやすくまとめられています。ソースコードの修正例も掲載されており、セキュアプログラミング問題対策として活用できる資料だと思います。

安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

情報処理推進機構（IPA）の「安全なウェブサイトの作り方」に関する情報です。

情報セキュリティ白書　情報セキュリティ10大脅威

脆弱性対策情報 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

情報処理推進機構（IPA）の「脆弱性対策情報」に関する情報です。

こちらは毎年IPAから発表されているようで、近年どのような脆弱性をついた攻撃が行われているのか最新のトレンドを知ることができます。標的型攻撃やランサムウェアなど、攻撃の特徴、対策についてまとめられているので一回は目を通しておくと良いかもしれません。特に、攻撃手法ランキングで近年いつも上位にランクしている標的型攻撃とランサムウェアに関しては、是非目を通しておいた方が良いと思います。

その他参考書

ポケットスタディ情報セキュリティスペシャリスト第2版 (情報処理技術者試験)

posted with amazlet at 16.10.17

村山直紀
秀和システム
売り上げランキング: 13,653

Amazon.co.jpで詳細を見る

こちらはコンパクトで持ち運びしやすく、試験対策に特化した参考書でした。特に午後I・IIの記述問題対策がかなり凝ってます。こう問われたら、こう答えるのような解答パターンが筆者の経験から詳細に分析されています。ただ、メインで使う参考書としては毛色が異なっている感じで、午後問題を過去数年分くらい解いた後で見ると効果がありそうでした。私は午後対策が不十分だったので、本書が手元にあったものの十分に活かせませんでした。。

事例から学ぶ情報セキュリティ――基礎と対策と脅威のしくみ (Software Design plus)

posted with amazlet at 16.10.17

中村行宏横田翔
技術評論社
売り上げランキング: 178,821

Amazon.co.jpで詳細を見る

たまたま本屋で見かけたので購入した本です。最近の脆弱性をついた攻撃事例が載っていました。OpenSSLの脆弱性に関するHeartbleed、bashの脆弱性に関するShellShockの事例も載っていたので目を通しておくと参考になるかもしれません。

試験直前〜試験

試験直前は、引っ越しなど家事情も重なり十分に学習ができず、午前対策についてはスマフォがあれば過去問道場で学習できるのでそれを気が向いたら解きつつ、午後対策は重点対策シリーズを時間を見つけて眺める感じでした。

午後問題は、普段プログラミングがメイン業務なので、セキュアプログラミングに関する問題をなるべく選択するようにと決めていました。普段の業務で使っているJavaとは毛色が異なりますが、午後Iの問２のBOFなんかは過去にもよく出題される問題なので、なんとなく解答できそうということで選択。午後IIは、問２がBash脆弱性・Shellshockに関する問題でしたが、問題文を読めば理解できるものでWebアプリケーションも絡めた問題だったので、ある程度解答できそうかもということで選択。

結局、結果を見ると自分のメイン業務部分に近いセキュアプログラミング部分で点を稼げていた事で合格できたという感じでした。

その他参考になった本

今回の学習用に購入したものではないですが、個人的に持っていて参考になった本です。

暗号技術入門第3版秘密の国のアリス

posted with amazlet at 16.10.27

結城浩
SBクリエイティブ
売り上げランキング: 8,672

Amazon.co.jpで詳細を見る

体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践

posted with amazlet at 16.10.27

徳丸浩
SBクリエイティブ
売り上げランキング: 11,920

Amazon.co.jpで詳細を見る

上記の体系的に・・・のタイトルはWebアプリケーション開発に関わるならば、テストを受けなくとも是非読んでおいた方が良いと思います。

情報処理安全確保支援士に対応した参考書

情報処理教科書情報処理安全確保支援士 2017年版

posted with amazlet at 16.11.04

上原孝之
翔泳社
売り上げランキング: 3,823

Amazon.co.jpで詳細を見る

2017 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (午後対策シリーズ)

posted with amazlet at 16.11.04

ITのプロ46代表三好康之
アイテック (2016-09-26)
売り上げランキング: 24,333

Amazon.co.jpで詳細を見る

試験名は変われど、情報処理安全確保支援士の試験は従来のセキュリティスペシャリストを踏襲していますので、従来のセキュリティスペシャリストの参考書も役に立つと思います。

情報処理安全確保支援士に関する情報

画像：IPA情報処理安全確保支援士のチラシより（http://www.ipa.go.jp/siensi/index.html）

IPAのサイトでもアナウンスされているとおり、”情報処理安全確保支援士試験の出題内容・範囲は情報セキュリティスペシャリスト（SC）試験と変わらない”とされています。今までやってきたSC試験対策がそのまま活かせるので、参考書や対策ノートなど同様に流用できるものと思われます。詳細は以下をご参照ください。

IPA 国家資格「情報処理安全確保支援士」について – 2016/10/27
- http://www.ipa.go.jp/siensi/index.html
IPA 試験要綱
- https://www.jitec.ipa.go.jp/1_13download/youkou_ver3_0_sc_bassui.pdf

『情報処理安全確保支援士』と名乗るには登録が必要

「情報処理安全確保支援士」と公的に名称を利用するには、IPAに支援士としての登録が必要となります。すでに第一回目の登録申請が始まっていますので、まだの方は以下のページの登録の手引きを参考にしながら手続きを行ないましょう。色々と提出書類が必要なので、締め切り直前にならないよう余裕を持って準備をした方がよさそうです。

情報処理安全確保支援士（登録セキスペ） | デジタル人材の育成 | IPA 独立行政法人情報処理推進機構

情報処理推進機構（IPA）の「情報処理安全確保支援士（登録セキスペ）」に関する情報です。

初回登録期間は、平成28年10月24日（月）〜平成29年1月31日（火）消印有効となっているようです。（※年に２回登録申請期間が設けられます）

「情報セキュリティスペシャリスト」または「テクニカルエンジニア」合格者の方が対象となっています。

また情報処理安全確保支援士になってからは定期的に講習を受ける必要がありますが、講習費がそれなりにかかってきますので、事前にそこも合わせて確認する必要があるでしょう。維持費がそれなりにかかってきます。

301 Moved Permanently

脚注[+]

脚注
↑1	http://www.sc-siken.com