アホヲタ元法学部生の日常

アニメを見て法律を思い、法律を見てアニメを思う法アニクラスタ、ronnorのブログ。頻繁にツイッター(@ahowota)に出没しております。メールはronnor1あっとgmail.comへ。BLJにて「企業法務系ブロガー」として書評連載中。 #新人法務パーソンへ #オタク流勉強法 #明認方法 「アホヲタ元法学部生の日常」(ブログ)、「これからの契約の話をしよう」(同人誌)、『アニメキャラが行列を作る法律相談所』(総合科学出版)等。

知識0からの情報セキュリティスペシャリスト3ヶ月合格法

情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版

情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版


改訂について:
当記事をご愛顧いただき、ありがとうございました。古い本を最新版に変更する改訂をしました。そこで、現在の記事で紹介されている本の1〜3世代前が実際に使った本とご理解いただければ幸甚です。


なお、平成23年春季特別試験プロジェクトマネージャにも合格しましたので、体験記をアップしております。
PM未経験者のプロジェクトマネージャ試験(情報処理技術者試験)1ヶ月合格体験記 - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常


本日は、平成22年春期情報処理技術者試験の合格発表の日。
幸いにも、今年の4月に行われた情報セキュリティスペシャリスト試験(SC*1に合格することができた*2
今年1月*3の受験勉強開始時には知識はほぼ0で、

TCP/IP?
なにそれ? 美味しいの?

という感じであった*4ことから、独学で、知識0から3ヶ月半の勉強で情報セキュリティスペシャリスト試験に合格したことになる。
2010年度秋期試験ないし2011年度春期試験に向けて勉強されている皆様の勉強の際に、少しでも参考になればと思い、やや長文になってしまうが、この3ヶ月間どのような勉強法をとってきたかを紹介させていただきたい。


1.情報セキュリティスペシャリスト試験とは
 IPA情報処理技術者試験のうち、応用情報技術者試験の上の「高度試験」に位置づけられる試験。昔のセキュアド*5、テクニカルエンジニア(セキュリティ)に相当*6
 基本情報・応用情報との最大の違いは「プログラミング・アルゴリズムの知識がほとんどなくとも合格できること」である。基本情報・応用情報の午後の問題は、プログラミング・アルゴリズムの比率が相当あり*7、回避して合格することは相当困難といえよう。これに対し、情報セキュリティスペシャリストでは、一部セキュアプログラミング等の問題は出題されるものの、問題の選択によっては、プログラミング・アルゴリズムを回避しても合格できる。この点は、文系に優しい試験と言えよう。
 なお、午前Iの問題は応用情報の午前と同じ*8であり、応用情報に合格することにより、午前Iの免除が可能である*9。午後IIは、専門知識の4択問題、午後Iと午後IIが記述式問題となっている。


2.戦略立案
 法学部卒、仕事持ち(法律系)のため、仕事やこれまでの経験が試験に生かせず、しかも、勉強に使えるのは休日と通勤時間くらいしかない
そこで、最小限の時間の勉強で最大限の効果を立てるため、合格のために以下の3点の戦略を練った。


1.基本→応用→高度と徐々にステップアップ
 情報処理技術者試験のよいところは、試験のレベルが階段状になっていることである。それを最大限利用して、最初は基本情報技術者試験*10の勉強をし、ある程度身についたところで、応用情報技術者試験*11の勉強をし、その上で、情報セキュリティスペシャリストの勉強へと移行した。


2.アウトプット中心勉強
 いくら知識を詰め込んでも、結局、試験当日に解答できなければ意味がない。イメージとしてはインプット2対アウトプット8の割合で勉強時間を使った。


3.6割クリアのためだけの勉強をする
 高度試験は、満点を目指そうとすると猛烈な勉強が必要になる。例えば、スペシャリスト系試験の午後を完璧にしようとすると、まさに基本知識から最新知識まで網羅的に勉強する必要がある。しかし、IPAの出している合格基準によれば、素点で60%を獲得すれば必ず合格する試験である。そこで、あくまでも60点クリア*12だけのための勉強をすることにした。つまり、「60点」のクリアのために必要な過去問プラスアルファだけの勉強をして、それ以外の雑誌の最新知識等は捨てたのである。


3.各時期の勉強内容
(1)年末年始の休暇で基本情報技術者レベルを仕上げる
 年末年始は3ヶ月半の勉強期間で唯一まとめて勉強できる時期。これを利用して、基本情報技術者午前レベルを固めることにした。
 具体的には、帰省先*13行きの新幹線で

を読んだ*14。ITパスポートレベルの内容からわかりやすく解説しており、何もシステムのことを知らない人が理解するにはもってこいだと思う*15
 その後、の22期分(当時)の過去問を、1日当たり3年分のペースで午前だけを解いた*16最初は正解率が20〜30%*17だったが、過去問の使い回しがものすごいというのが、情報処理技術者試験である。10期分くらいを行うと、ここでみた、あそこでみたという問題がほとんどになり、21期分を終わらせた時には、過去問の使い回し問題だけは完璧になった。実際には、過去問使い回しの割合が8割くらいなので、いつの間にか基本情報の午前は8割取れるようになっていた*18
解き方としては、問題と選択肢を読む→当然分からないので解説を読む→なるほど→次の問題へという方法であり、最初は見直しにかなりの時間がかかったが後の方ではかなり速く解けるようになった。


(2)1月に応用情報技術者試験を仕上げる
高度試験の午前I対策として、

2013 応用情報・高度共通午前試験対策 (情報処理技術者試験対策書)

2013 応用情報・高度共通午前試験対策 (情報処理技術者試験対策書)

を3回解いた*19
 基本情報技術者試験の午前レベルだけの理解でどこまで対応できるのか、試しに問題を解いてみたところ、間違える問題も多いが、間違えた問題でも解説が理解できる。これは、基本情報技術者試験の過去問を何度も繰り返して、その解説を読んで、どうしてこれが正解になるかを考えたことの効果だと思う。おかげで、問題集を3回解いた時には、安定して7割正解できるようになっていた。


(3)2〜4月の専門知識対策
 上記のような応用情報レベルの知識を前提に、2月からは専門の勉強を始めた。
 まず、重要事項を知ろうと、

を読んだ*20。この本は「はじめに」に「低空飛行型合格本」と書いているように、かなり情報量が限定されているが、非常に重要な基本事項をわかりやすく解説しているので、基礎固めにはもってこいである。
 その後で、
情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版

情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版

の問題を解こうとした*21。しかし、同書は、「本番レベル問題」が詰まっており、かなりレベルが高く、当時の生半可な知識では、これらの問題を解こうにも、まったく歯が立たなかった。もっとも、解説は充実していてわかりやすいので、問題と解説を「読んだ」。すると、3回目くらいから、やっと問題をみて「あれ、ここは、S/MIMEだっけ、それともSMTP-AUTHだっけ?」等と悩める程度*22まで、おぼろげに知識が入ってきた。そこで、3回目と4回目は解答を予想してから正答例を見るようにした*23
 *24素人が情報セキュリティスペシャリストを受験する際の一番の壁は「用語」だと思われる。個人的な経験でも、MACアドレスをやっと覚えて、MACだったらみんなMACアドレスのことだと思ったら、Message Authentication Codeの意味だったりして混乱した経験や、TLSトランスポートレイヤーセキュリティの略語だから、トランスポート層のものだと思ったら、セッション層だったりした経験がある。こういうややこしい用語は、数をこなして慣れ、「お友達」になるしかない*25情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版を繰り返し読むことで、ややっこしい用語とお友達になったのが、情報セキュリティスペシャリストの合格にとってはかなり重要だと思う。

情報セキュリティスペシャリスト[午後]オリジナル問題集2010年度版 (Shuwa SuperBooK Series)の勉強は2月で一段落ついた。
その上で、最後の1月半を、徹底的な問題演習に宛てた。使ったのは、

2015春 徹底解説情報セキュリティスペシャリスト本試験問題 (本試験問題シリーズ)

2015春 徹底解説情報セキュリティスペシャリスト本試験問題 (本試験問題シリーズ)

2015 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策 (専門分野シリーズ)

2015 情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策 (専門分野シリーズ)

情報セキュリティスペシャリスト分野別予想問題集 第2版 (予想問題シリーズ)

情報セキュリティスペシャリスト分野別予想問題集 第2版 (予想問題シリーズ)

というiTECの情報セキュリティスペシャリスト本シリーズの三冊である*26。使った順番は、本試験問題→「専門知識+午後問題」の重点対策→予想問題である。基本的には、過去問が一番重要で、それを踏まえて、予想問題で過去問の知識と情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版で問題が解けることを確認した*27
 個人的に一番感動したのが、「専門知識+午後問題」の重点対策の「OSI参照モデル7層とプロトコル・回線中継装置の関係」をわかりやすくまとめた図である。ずっと欲しかったのになかった図だったので、とても便利であった*28
 恥ずかしながら、専門知識をなかなか覚えられず、同じ間違い*29ばかりしてしまっていたので、2回目*30を一通り解いた後に、カンニングブックを作成した。要するに、当日現場でこれを覚えていれば合格するという知識をまとめたワードファイルを作成したのである。過去問で自分が解けなかった問題のうち「知識があれば解けていた」部分の知識を箇条書きにし、その部分に関連する「情報セキュリティスペシャリスト「午後」オリジナル問題集」の知識のうち重要そうなものを盛り込んだものである*31。以下に、その一部を引用する。

・ハーフコネクションはTCPコネクションのSYNとSYN/ACKのやりとりが終わった段階をいう。
DoS攻撃により、DoS攻撃を受けているサーバの資源が占有され、閲覧者はWWWに接続できなくなったり、接続に時間がかかるようになる。
・SYNFlood攻撃に対向するため、WWWのTCP制御プログラムにおける設定変更としては、ハーフコネクション用のバッファサイズを大きくする(バッファあふれが遅くなる)、応答時間監視タイマのタイムアウト時間を短くする等の対策が考えられる。
タイムアウト時間を短くすると、すぐにハーフオープンが無効になり、資源占有状態が終了
・ハーフオープンになっている接続開始処理と同じ送信元IPアドレスからの接続開始要求を拒否しても、SYNFlood攻撃の対策としては不十分である
→同じ送信元IPアドレスを使って接続要求するとは限らない


 通勤時間中は、このカンニングブックをひたすら読み込み、土日で繰り返し上記の3冊*32の問題を解いた。あてずっぽではなく正解した問題はパスしたので、正確な繰り返し数はわからないが、合計5回は繰り返したと思う。最初の3回はかなり正答率が低かったが、平日に読んだカンニングブックの知識が土日に生きるので、4月になってからの最後の2回はかなりスムーズに問題を解くことができるようになっていた*33


(4)模擬試験としての過去問演習
 試験前日の土曜日に、模擬試験代わりに2008 徹底解説 テクニカルエンジニア情報セキュリティ 本試験問題 (情報処理技術者試験対策書)を解いた。要するに、「使ってた問題集に収録される前の古い過去問」である。時間を測ることで、「午後の問題は意外と時間に余裕があるが、問題の選択を誤るときつい*34等、本番の模擬体験ができた*35。なお、前日夜の風呂に入っている時に、最後に残っていた基本情報技術者試験の直近の過去問(午前)を解き、いわゆる「午前?」の勘を復活させた*36


4.当日の「問題の解き方」のポイント
 (1)問題選択がキモ
 高度情報の午後*37問題選択で決まるといっても過言ではない。合格レベルの人でも、午後Iの4問全部について確実に6割正解できる人は少ないだろう。これに対し、過去問と「情報セキュリティスペシャリスト「午後」オリジナル問題集」の知識さえがあれば、2問くらいは6割正解できそうな問題があるはずである*38
 問題選択の方法として個人的に採用した方法は、問題が配られたら最初に4問をざっと見て、きっとこれならいけるという2問*39を決め、1問10分*40の制限時間で解答をパパっと問題用紙にメモして、「本当にこの解答で6割行けそうか」を自問し、行けそうなら解答を解答用紙に書き、行けなそうなら別の問題を選択するというものである。10分という制限時間があるので、仮に一度解いた後で*41その問題を放棄したとしても最小限のダメージで済む*42
 午後IIについては、少し時間が余る感じだと思われるので、どちらも同様の難易度であれば、2問とも解いてベターな方を選ぶということもあり得るだろう。


 (2)知識問題だと思う前に、読解問題であることを疑う
 情報セキュリティスペシャリストは国語だけでは受からないが、問題文のどこかに解答が書いている問題が非常に多い。
 例えば、午後IIの問3では、パスワード忘れの場合の本人確認方法の問題であったが、本文の「なお、初期パスワードの通知書は、パスワードを変更した後も、各利用者が保管するようにP社*43からお願いしている」という問題に使う以外に何ら記載する必要性がなさそうな一文に目を付けていたので、この点を記載*44したら正解となった。
 特に出題されやすいポイントとしては、IDの共用ログを失敗時だけ取っている*45であり、こういう事項が問題文にあったら絶対にマークをしておくべきであろう。また、情報セキュリティポリシーが問題文にあれば、ポリシーの該当部分を引用するとそのまま解答になる問題が出る可能性が高い*46。また、上記のような「なお」といった特別な接続詞も要チェックである。
 国語が得意な人もそうでない人も、こういう出題されやすいポイントを意識すると、より迅速に解答を見つけられるのではないか。


 (3)絶対に空欄を埋める
 意外とわからない問題があると、解答欄を空欄のままにして提出する人が多い*47が、「間違っても0点になるだけで、更にマイナスにはならない」ことから、空欄は何かかにか埋めておいた方がよい。
 午後IIの問1ではDNSのセキュリティの拡張方式の名前が聞かれたが、覚えていないものは覚えていない*48。ただ、ここで何も書かなければこの問題について得られる点数の期待値は0点である。なんとか、0.1点でも期待値を上げたい。そこで、IPを安全にしたのがIPsecなら、DNSをより安全にしたのはDNSSECではないか?という超安直な発想でDNSSECと入れ、正解となった。
 わからなくとも、何か適当に書けば、*49期待値は0ではなくなる。特に、「(必要)最小限の権限」「責務の分割」といった過去問頻出ワードを入れておくと、正解率が上がったりする。なお、「どういう被害か」と聞かれれば「〜という被害。」というように、質問にキッカリ対応した解答をすることも重要である*50

まとめ
 セキュアプログラミングを捨て、アウトプット中心で勉強すれば、文系の仕事持ちが、3ヶ月で知識0から情報セキュリティスペシャリストに合格することも可能である。その際には、「徐々にステップアップ」「アウトプット中心」「6割クリアのためだけの勉強」という3つの戦略が有効である
最後に、参考にさせていただいた本の著者の皆様やホームページの作成者の方に謝意を表させていただきたい。本当にありがとうございました*51

IT関連エントリ
知識0からの情報セキュリティスペシャリスト3ヶ月合格法 - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常
なれるSEと法務〜リスキーな対応を強要するユーザとトラブった場合の法的判断 - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常
なれる! SEと法律〜中小企業の法律理解が浮かび上がる - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常
ほむほむのプロジェクト・マネジメント〜ぷろ☆マネ!? - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常

*1:セクスペという言い方は個人的にはあんまり使いません。

*2:平成22年度 春期   情報セキュリティスペシャリスト試験  成績照会
受験番号  SC***-**** の方は,   合格   です
|午前I 得点|91.80点|
|午前II得点|84.00点|
|午後I 得点| 80 点   |
|午後II得点| 90 点   |

*3:正確には昨年末です。

*4:ほぼ全分野、全partの知識が0。ただ、正確には「企業と法務」のうちの「法律」だけは特に勉強する必要はありませんでした。

*5:情報セキュリティアドミニストレータ

*6:IPAによれば「高度 IT 人材として確立した専門分野をもち,情報システムの企画・要件定義・開発・運用・保守において,情報セキュリティポリシに準拠してセキュリティ機能の実現を支援し,又は情報システム基盤を整備し,情報セキュリティ技術の専門家として情報セキュリティ管理を支援する者」だそうです。といっても、IPAが7レベルに区分したIT人材のレベルでいえば真ん中の4番目に過ぎない(それ以上は試験では判定できない)のですが...。

*7:最近はだいぶプログラム・アルゴリズムの比重が減ったといわれますが、他で満点を取れる人でなければ、無視できる比重ではないです。また、仮に表計算を一種のプログラム・アルゴリズムに入れれば、いまだに相当比重が高いといってもよさそうです。

*8:一部抜粋

*9:これは他の高度試験も同じ

*10:午前

*11:午前

*12:合格最低ラインクリア

*13:実家

*14:正確には、上記の本の数世代前の平成21年度[春期] イメージ&クレバー方式でよくわかる 栢木先生の初級シスアド教室。ただ、現在こちらはは絶版

*15:イメージ&クレバー方式というらしいが、図解とわかりやすい説明があいまって理解が進む。栢木先生のシリーズはお勧めである。

*16:当時は過去問CD付基本情報技術者スーパー合格本過去問題集2010春基本情報技術者スーパー合格本過去問題集の解説が簡潔という批判はあるが、栢木先生シリーズでざっと知識をいれておけばそこまで不親切ではないと思う。むしろ、収録されている解説付きの過去問の量の割りに値段が安いので、たくさん問題を解きたい人にとっては費用対効果が高いといえよう。なお、CDに入っている過去問を印刷したら分量が半端ないことになったので注意。両面印刷の上、1頁2枚割付を推奨。

*17:ちなみに、選択肢は4択。ランダムに回答した場合と同じ正解率。

*18:最近は新傾向問題もあるようである。

*19:当時はASIN:487268799X

*20:当時は、ASIN:4532406013。「1週間で分かる 情報セキュリティスペシャリスト集中ゼミ」は、表紙のデザインは好き嫌いがあると思われるものの、そこで買い控えると損をする本である。

*21:当時は情報セキュリティスペシャリスト[午後]オリジナル問題集2010年度版 (Shuwa SuperBooK Series)。最新版はアマゾンで中古しか買えないが、旧版は買えるようなので、いずれかを使われることをお勧めする。

*22:これで悩んでいたという時点でかなりレベルが低い...

*23:もちろん、正解率はボロボロである。

*24:実務経験豊富な人はともかく

*25:これは、法律も同じである。「瑕疵担保責任」とか、「囲繞地」とかは、ややっこしいが、慣れれば当たり前に使えるようになる。

*26:当時の徹底解説情報セキュリティスペシャリスト本試験問題〈2010春〉 (徹底解説本試験問題シリーズ)情報セキュリティスペシャリスト 「専門知識+午後問題」の重点対策〈2010〉 (情報処理技術者試験対策書)情報セキュリティスペシャリスト予想問題集〈2010〉 (情報処理技術者試験対策書)

*27:もっとも、まだ過去問や「情報セキュリティスペシャリスト「午後」オリジナル問題集」の知識の定着が不十分であったので、「あ、これは〜〜にあった。でも忘れてる!」という問題が多かったのですが...

*28:要するに、「ネットワーク層ならプロトコルがIPで機器がルータ」といったものが、OSI参照モデルの7層分まとまっている図。

*29:上記3冊には、同じ問題が出題されている部分がかなりあります

*30:午前の問題は1回だけしかといていない。

*31:最初は「情報セキュリティスペシャリスト「午後」オリジナル問題集」の知識を全部盛り込もうとしたが、時間もないので重要そうなものに限定した。

*32:「徹底解説情報セキュリティスペシャリスト本試験問題」「情報セキュリティスペシャリスト予想問題集」「情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策」

*33:よいか悪いかは別として、繰り返し問題を解いたため、問題によっては、ほぼ覚えてしまったものもあった。

*34:個人的には、セキュリティプログラミングは選択したら必ず沈没。これに対し、DNSとかメールとかPKI関係はある程度いけるという印象を持った。

*35:セキュアドは結構問題傾向が違うので、過去問を模擬試験替わりに使うのであれば、テクニカルエンジニア(情報セキュリティ)の問題がおすすめである

*36:これは、応用情報の問題でもよいと思う。単に、基本情報の方が正答率が高まり「気分的にいける気がする」というだけの理由で基本情報を選んだというだけである。

*37:どこまで一般化できるかは、SC以外は合格していないので明確なことはいえないものの

*38:極論を言えば、1問が4割、もう1問が8割でもよい。ただし、試験会場での「正解感覚」は外れることが多いので、4割の問題は可能な限り捨て、他の2問に5割や5割5分正解できる問題がないか探すべきだろう。

*39:午後IIなら2問をざっと見て1問

*40:午後IIなら20分

*41:予想される正解率が低いために

*42:実際、何を間違ったのか午後Iの問2を「行けそう」と誤って思ってしまい、10分の解答の途中で6割行かないことを確信し、別の問題に進んだ。なお、この問題に関しては後にいわゆる「書留厨」と言われる人々が出てきて大きな議論を巻き起こした「いわくつき」の問題であった。

*43:注:問題となっているシステムのある会社。残念ながらP部長はいない。

*44:本人確認のためパスワード再設定ページにおいて初期パスワードを入力させる

*45:あとは、成功か失敗かのログだけをとっていて、何をしたのかがログからはわからない等も頻出。

*46:「なぜO主任は、××を否定したのか」といった問題が出され、解答が「情報セキュリティポリシーの●●に違反しているから」であることが多い

*47:解答用紙回収の際にそれとなく周りを見ると、そういう人がまま存在した

*48:最新知識を捨てたのだから、ある意味知らなくて当たり前である。

*49:試験官に笑われるかもしれないが

*50:これは、分からない問題だけではなく、わかる問題にもあてはまる

*51:参考にさせていただいたホームページは多数あるが、tek_kok様の「一週間で応用情報技術者試験に受かった方法」や、わくわくスタディーワールド様の「わく☆すたブログ」は特に参考になりました。ありがとうございます。