2016秋」タグアーカイブ

2016秋 情報セキュリティスペシャリスト試験に合格しました!

この記事は【2016年12月16日】と作成から2年以上経っているため、記事の内容が古い可能性があります。最新の情報を合わせてご確認されることを推奨いたします。

H28秋期の情報処理試験で『情報セキュリティスペシャリスト(SC)』を受験し、なんとか1回目の受験で本当にぎりぎり「合格」できました(特に午後II)。試験対策というほどの大それた綿密な勉強計画を立てて学習した訳ではなかったのですが、参考書など受験を予定されている方のご参考になればと思い、以下私の勉強法をまとめてみました。

試験の統計

IPAの統計情報をグラフにしてみたのが以下です。セキュリティへの関心の高さかSCとしての最後の試験なのか不明ですが、統計によると受験者数は近年で最も多かったようです。

https://www.jitec.ipa.go.jp/1_07toukei/_index_toukei.html

私のスペック

・Webアプリケーションエンジニア9年目
・普段はJavaでWebアプリケーションの開発がメイン
(サーバ設定やネットワーク機器を触ったりすることは普段ほとんどありません)

基本的なWebアプリケーションの脆弱性を突いた攻撃(セッション固定化攻撃、SQLインジェクション、XSS、CSRF、OSコマンドインジェクション、ディレクトリトラバーサルなどなど)についての知識は人並み程度にあリます。

試験対策

メインで使った参考書と問題集

情報処理教科書 情報セキュリティスペシャリスト 2016年版
上原 孝之
翔泳社
売り上げランキング: 70,044

午前・午後を通して共通で使用したのが上記参考書です。ネット上での評価も高いようで、実際に読んでみると幅広く体系的にまとめられておりとても分かりやすかったです。本書をじっくり繰り返し読むことで、午前・午後の基礎力は身につくと思います。

私の場合は、本書を繰り返し読みつつ、関連知識として合わせて覚えておきたい内容を参考書に書き込んで教科書兼ノートとして使用しました。本書を実際に手に取ると分かりますが、本書は分厚く情報量も多いため、学習用に別途ノートを用意するよりも、本書に追加で情報を書き込んでいき一冊でほとんどの情報をすぐに参照できるようにした方が効果的だろうと感じました。通勤や移動の時間を利用して、とかく本書を繰り返し読みインプットしていきました。家に帰ってからは過去問中心に対策を立てていきます。

実は、本テキストですが2年前に試験を受けようと購入しつつそのまま本棚に眠っていました。。新しい方が良いとは思いますが、やや古くてもテキストとして十分活用できました。

平成28年度【秋期】情報セキュリティスペシャリスト パーフェクトラーニング過去問題集 (情報処理技術者試験)
エディフィストラーニング株式会社
技術評論社
売り上げランキング: 115,939

直近の過去問題の対策として本書を使用しました。過去4回分の過去問題が掲載されています。その他、PDFで10回分程度の過去問題をダウンロードできます。午前問題が学習しやすい紙面構成(見開き、左ページに問題、右ページに解答)となっているのが特徴的です。

本書の過去4回分を解きつつ、その先は後述の午前・午後のやり方で学習をしていきました。

午前対策

今回、私の場合は午前I・IIと両方とも受験したので、朝一からの試験でした。午前対策は、過去問題集を数年分解きまくるです。

情報セキュリティスペシャリストドットコム[1]http://www.sc-siken.comというWebサイトでとても分かりやすく情報をまとめてくださっている方がいらっしゃいますが、そのWebサイトで利用できる過去問道場をひたすら繰り返します。問題と解答のほか学習記録も取ることができ、午前はほぼココのみの対策で臨みました。問題文を見て瞬間的に解答を選べるようになるまで、毎日1回分の午前I・IIを解き、次の日は前回の1回分と新しい1回分という感じで繰り返し学習しました。過去数年分の問題を解きました。

午後対策

午後IIについては、ほとんど対策していませんでした。というのは、問題文が非常に長く難しそうに見えますが、問題文の意味をしっかり理解し読み進めれば解答できるというようなことが参考書にも書いてあったからです。実際に過去問を眺めてみると、問題文は各セクションで独立して解答できるような構成になっているようでした。その代わりに午後Iについてはなるべく数年分の過去問を解くようにしました。

2016 情報セキュリティスペシャリスト 「専門知識+午後問題」の重点対策 (午後対策シリーズ)
ITのプロ46 三好康之 大谷將 具志強 早坂一希
アイテック (2015-11-27)
売り上げランキング: 9,971

午後対策として本書をメインに学習しました。本書は、学習項目ごとに章が分けられており、章ごとに知識を整理しながら集中的に学習を進めることができ、また要点も整理されているためとても分かりやすかったです。本書には各章に演習問題が用意されており、問題は過去問がベースとなっています。演習問題の数は各章1問と少なく思えますが、章の学習項目に関連する出題が過去問でいつの年度のどの箇所で出題されているか、また目を通しておいた方がいい過去の問題をピックアップしてくれていますので、演習問題に加えてこれらの参考問題をIPAの過去問集ページからダウンロードし印刷して問題・解答・講評を眺めることで、類似の問題を効率的に学習していくことができます。この一冊と過去問をじっくり学習することで、午後の部を何とか合格レベルまで持っていけるのではと思います。

IPAセキュアプログミング講座

http://www.ipa.go.jp/security/awareness/vendor/programming/

特に午後試験のセキュアプログラミングに関する問題で有効かと思います。Webアプリケーション、C/C++でのソフトウェア開発など出題されそうなトピックをカバーしているので軽く目を通しておいた方が良いかもしれません。特にプログラミングに関する問題を選択される方は是非目を通された方が良いと思います。

安全なWebサイトの作り方

Webアプリケーションの開発で代表的な攻撃に対する説明、それに対する対策がわかりやすくまとめられています。ソースコードの修正例も掲載されており、セキュアプログラミング問題対策として活用できる資料だと思います。

http://www.ipa.go.jp/security/vuln/websecurity.html

情報セキュリティ白書 情報セキュリティ10大脅威

https://www.ipa.go.jp/security/vuln/index.html

こちらは毎年IPAから発表されているようで、近年どのような脆弱性をついた攻撃が行われているのか最新のトレンドを知ることができます。標的型攻撃やランサムウェアなど、攻撃の特徴、対策についてまとめられているので一回は目を通しておくと良いかもしれません。特に、攻撃手法ランキングで近年いつも上位にランクしている標的型攻撃ランサムウェアに関しては、是非目を通しておいた方が良いと思います。

その他参考書

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)
村山 直紀
秀和システム
売り上げランキング: 13,653

こちらはコンパクトで持ち運びしやすく、試験対策に特化した参考書でした。特に午後I・IIの記述問題対策がかなり凝ってます。こう問われたら、こう答えるのような解答パターンが筆者の経験から詳細に分析されています。ただ、メインで使う参考書としては毛色が異なっている感じで、午後問題を過去数年分くらい解いた後で見ると効果がありそうでした。私は午後対策が不十分だったので、本書が手元にあったものの十分に活かせませんでした。。

事例から学ぶ情報セキュリティ――基礎と対策と脅威のしくみ (Software Design plus)
中村 行宏 横田 翔
技術評論社
売り上げランキング: 178,821

たまたま本屋で見かけたので購入した本です。最近の脆弱性をついた攻撃事例が載っていました。OpenSSLの脆弱性に関するHeartbleed、bashの脆弱性に関するShellShockの事例も載っていたので目を通しておくと参考になるかもしれません。

試験直前〜試験

試験直前は、引っ越しなど家事情も重なり十分に学習ができず、午前対策についてはスマフォがあれば過去問道場で学習できるのでそれを気が向いたら解きつつ、午後対策は重点対策シリーズを時間を見つけて眺める感じでした。

午後問題は、普段プログラミングがメイン業務なので、セキュアプログラミングに関する問題をなるべく選択するようにと決めていました。普段の業務で使っているJavaとは毛色が異なりますが、午後Iの問2のBOFなんかは過去にもよく出題される問題なので、なんとなく解答できそうということで選択。午後IIは、問2がBash脆弱性・Shellshockに関する問題でしたが、問題文を読めば理解できるものでWebアプリケーションも絡めた問題だったので、ある程度解答できそうかもということで選択。

結局、結果を見ると自分のメイン業務部分に近いセキュアプログラミング部分で点を稼げていた事で合格できたという感じでした。

その他参考になった本

今回の学習用に購入したものではないですが、個人的に持っていて参考になった本です。

暗号技術入門 第3版 秘密の国のアリス
結城 浩
SBクリエイティブ
売り上げランキング: 8,672
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

上記の体系的に・・・のタイトルはWebアプリケーション開発に関わるならば、テストを受けなくとも是非読んでおいた方が良いと思います。

情報処理安全確保支援士に対応した参考書

情報処理教科書 情報処理安全確保支援士 2017年版
上原 孝之
翔泳社
売り上げランキング: 3,823
2017 情報処理安全確保支援士「専門知識+午後問題」の重点対策 (午後対策シリーズ)
ITのプロ46代表 三好 康之
アイテック (2016-09-26)
売り上げランキング: 24,333

試験名は変われど、情報処理安全確保支援士の試験は従来のセキュリティスペシャリストを踏襲していますので、従来のセキュリティスペシャリストの参考書も役に立つと思います。

情報処理安全確保支援士に関する情報

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-11-28-18-27-06

画像:IPA情報処理安全確保支援士のチラシより(http://www.ipa.go.jp/siensi/index.html)

IPAのサイトでもアナウンスされているとおり、”情報処理安全確保支援士試験の出題内容・範囲は情報セキュリティスペシャリスト(SC)試験と変わらない”とされています。今までやってきたSC試験対策がそのまま活かせるので、参考書や対策ノートなど同様に流用できるものと思われます。詳細は以下をご参照ください。

『情報処理安全確保支援士』と名乗るには登録が必要

「情報処理安全確保支援士」と公的に名称を利用するには、IPAに支援士としての登録が必要となります。すでに第一回目の登録申請が始まっていますので、まだの方は以下のページの登録の手引きを参考にしながら手続きを行ないましょう。色々と提出書類が必要なので、締め切り直前にならないよう余裕を持って準備をした方がよさそうです。

http://www.ipa.go.jp/siensi/index.html

初回登録期間は、平成28年10月24日(月)〜 平成29年1月31日(火)消印有効となっているようです。(※年に2回登録申請期間が設けられます)

「情報セキュリティスペシャリスト」または「テクニカルエンジニア」合格者の方が対象となっています。

また情報処理安全確保支援士になってからは定期的に講習を受ける必要がありますが、講習費がそれなりにかかってきますので、事前にそこも合わせて確認する必要があるでしょう。維持費がそれなりにかかってきます。

http://www.ipa.go.jp/siensi/koshu.html

脚注

H28秋期で最後となる情報セキュリティスペシャリスト(SC)試験を受験してきた

この記事は【2016年10月16日】と作成から2年以上経っているため、記事の内容が古い可能性があります。最新の情報を合わせてご確認されることを推奨いたします。

平成28年度秋期10月16日(日)、IPA情報処理技術者試験の情報セキュリティスペシャリスト(SC)試験を受験してきました。IPAから発表されている情報処理技術者試験の統計情報[1]https://www.jitec.ipa.go.jp/1_07toukei/_index_toukei.htmlによると、SC試験の応募者は32,492人(前同期比14.9%増)とH27秋期からやや増えているようです。微増の要因が、新しい試験制度に変わる前の対策を立てやすいSC試験を受けておこうという理由からなのか、政府が力を入れているホワイトハッカー[2]http://www.nikkei.com/article/DGXLASFS21H17_R20C15A2PE8000/養成プロジェクトにより関心や重要性が高まっているという理由なのか、詳細は分かりませんが、ITに高度に依存した社会において情報セキュリティは今後益々重要となってくるのではないでしょうか。

SC試験としてはH28秋期で最後!

unadjustednonraw_thumb_1d

今回の試験でSCとしての試験は最後となり、次回からは「情報処理安全確保支援士[3]http://www.ipa.go.jp/about/press/20160627.html」という新しい試験制度に変わるようです。試験制度は新設されるものの(SC試験をベースに実施されるらしい)、情報セキュリティスペシャリスト試験(SC)の合格者は、「”情報処理安全確保支援士”となる資格を有する者(予定)」と発表されており、SC試験の合格者は”情報処理安全確保支援士”として名簿登録することができるようです。登録後、公式に「情報処理安全確保支援士」という肩書きで活動を続けていくためには、定期的に定められた講習を受講する義務秘密保持の義務信用失墜行為の禁止といったルールを守ることとなっているようです[4]http://www.ipa.go.jp/about/press/20160627.html。これらの全体像から、主観ですが新試験制度は資格取得後も資格保持者が最新の技術に追従できるような運用体制を整備・維持し、情報セキュリティ技術者全体のレベルの底上げを目指しているのではないでしょうか。

いざ試験会場へ

私の受験会場は大学構内でした。駅から臨時バスが出ており、バスに乗ること30分程度で試験会場に到着。気温はやや肌寒い感じでしたが、花粉症に悩まされる春期に比べれば秋期の方が私にとっては好都合。会場もトイレも綺麗で助かった!(お腹弱いので特にトイレが)

教室に入ると、いつものことながら空席がちらほら。私の受験した教室では2〜3割くらいが空席でした。午前試験免除の方達かとも思いましたが、午後になってもさほど人が増えた印象はなかったので、やはり事情があって来れない方が一定数いらっしゃるのだと思います。

また年齢層ですが30〜40代の方が多数かなと。ある程度実務経験を積まれた方達が受験されている印象でした。SC試験では、特に午後試験が実務経験ありの方のほうが有利な気がするので、年齢層も比較的高めになってくるのかなと思います。

試験スタート

tsuruetoushi5_tp_v

私の場合は午前Iから午後IIまでのフルコースだったので、午前9:30から午後16:30までの長期戦でした。

午前I・IIは、過去に出題された問題も数問出題されていました。過去問中心に試験対策をしていた甲斐もあって、数問悩んだものの合格圏にはもっていけたかなという手応えで午前は終了。

午後1は、問2・3を選択

午後Iは、問1が「組み込み機器を利用したシステムのセキュリティ対策」に関してディジタル署名を絡めた問題、問2が「ソフトウェア開発における脆弱性対策」に関してヒープベースBOF脆弱性を中心とした問題、問3は「マルウェア対策」に関して情報セキュリティインシデントの発生と対応、マルウェア対策としてプロキシやURLフィルタリング周りの設定を絡めた問題といった構成でした。普段の業務ドメインがWebアプリケーション開発なので、とっつきにくそうな問1は避けて、問2・3を選択。問2は普段C/C++で開発している人にとっては解答しやすそうな問題かもしれませんが私はやや苦戦してしまった。。問3は、過去にも似たような問題が出題されており、マルウェア対策や標的型攻撃、インシデント対応あたりの過去問を試験までに何度か見直していたこともあって、私としては比較的取り組みやすい問題でした。が、問2・3、いずれも一部自信のない解答部分があり、結果としてはやや微妙な感じで午後Iを終了。

午後IIは、問2を選択

そして強敵午後Ⅱ。問1は「ICカードを用いた認証システム」に関する問題、問2は「脆弱性対策」に関する問題といった構成でした。ICカード・・・ぐっ、普段慣れないシステムなので迷わず問2を選択。少し前に話題になったbashの脆弱性に関する問題が出題されていた。いわゆるShellShock[5]https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html。しまった、しっかり内容確認しておくべきだった。。が問題文を読めば大体は理解できそう。勉強不足感は否めないが、とにかく解答用紙を全て埋められるように制限時間内に必死こいて答を絞り出す。試験ギリギリまで粘ったが、微妙な手応えのまま午後IIを終了。。

やっとこさ試験終了。午前問題は調子が良かったものの、やはり肝心の午後I・IIがイマイチな感じで終わってしまった。。合格は微妙・・・なので次に向けて気持ちを切り替えよう。。

ShellShockの確認

午後IIの問2で出てきたBashの脆弱性を復習を兼ねて再現してみました。Vagrantでサクッと環境を構築します。boxは自分で作ってもいいですが、boxの更新日が2014年以前あたりの古いものであれば、おそらくパッチのあたっていないものだと思いますので、探してくるのが早いでしょう。

適当にboxを探して環境を構築しBashのバージョンを確認してみたところ、パッチのあたっていないバージョンだろうということが確認できます。

脆弱性を確認するための攻撃コマンドを実行してみます。以下では、vulnerableと表示されると脆弱性があることになります。

上記コマンドを実行したところ脆弱性があることを確認することができました。試験では、「WebサーバがWebアプリケーションを起動しBashが起動された時に攻撃を受ける」という場面を想定した題材でしたが、基本的な原理は確認できました。

もう少し具体的なデモを公開されている方がいました、こちらの方がより具体的でイメージが湧きやすいかと思います。

試験解答

  • IPA
    • https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28.html
  • iTAC
    • http://www.itac.gr.jp
  • iTEC
    • https://www.itec.co.jp/auto_mark/
  • 大原
    • http://www.o-hara.ac.jp/best/jyoho/sokuhou/
  • TAC
    • http://www.tac-school.co.jp/kouza_joho/sokuhou.html

合格発表日

成績照会:2016年12月16日(金)正午予定

参考リンク

  1. IPA発表による試験の統計情報
    1. https://www.jitec.ipa.go.jp/1_07toukei/_index_toukei.html
  2.  情報処理安全確保支援士制度
    1. http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/shiken_wg/pdf/001_04_00.pdf
    2. http://www.ipa.go.jp/about/press/20160627.html
    3. http://www.meti.go.jp/press/2016/04/20160427006/20160427006.html
  3. 情報セキュリティスペシャリスト(SC)試験
    1. https://thinkit.co.jp/article/10453
  4. Bashの脆弱性
    1. http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004410.html
    2. https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

おすすめ参考書

情報処理教科書 情報処理安全確保支援士 2017年版
上原 孝之
翔泳社
売り上げランキング: 1,033