情報処理安全確保支援士の試験対策

【アイテックに寄せられた合格体験記：平均学習時間"283"時間】

• ITの基礎知識をお持ちの方：目安の勉強時間"145"時間
• ITの基礎知識から勉強を予定の方：目安の勉強時間"185"時間

丸暗記ではなくしっかり知識の定着、意味を理解まで到達する

出題分野は，テクノロジ系（基礎理論，コンピュータシステム，技術要素，開発技術），マネジメント系（プロジェクトマネジメント，サービスマネジメント），ストラテジ系（システム戦略，経営戦略，企業と法務）の全分野にわたるので，幅広い分野に関する知識が要求されます。日ごろから情報処理技術全般に関する知識を習得するとともに，関連する過去問題を多く解いておくようにしましょう。また，午前Ⅰで出題される30問は，応用情報技術者試験で出題される問題の中から抽出されるようになっています。なお，午前Ⅰの出題分野の全分野に関し時間を費やしていくことは，あまりお勧めできません。例えば，論理回路の問題などは，考え方を理解するのに少し時間がかかります。こうした問題に時間をかけても意味がありません。捨てる分野の問題を決めながら，効率的に学習していくとよいでしょう。

午後試験対策も兼ねて専門分野の知識の習得を

出題の重点分野は，技術要素のうち，セキュリティとネットワークです。この他には，技術要素のデータベース，開発技術のうち，システム開発技術とソフトウェア開発管理技術，サービスマネジメントのうち，サービスマネジメントとシステム監査の分野からも出題されます。令和4年度春期試験の出題数は，技術要素が21問，開発技術とサービスマネジメントが，それぞれ2問ずつで，ここ数回の試験とも同じです。なお，技術要素のうち，セキュリティとネットワークの出題数は，どちらの技術に分類しても差し支えない問題（例えば，TLSやIPsec，DNS，電子メールのセキュリティなど）があるので，セキュリティが17問，ネットワークが3問という比率で定着していると考えて問題ありません。難易度についてはレベル4の問題も出題されますが，セキュリティとネットワークに関する午前Ⅱ試験の問題は，午後試験対策を十分に実施していけば，ほぼ全問正解できるレベルになってきます。したがって，午前Ⅱ試験は，特別な対策を実施する必要はなく，午後対策に必要な技術知識を十分に身に付けていくとよいでしょう。

過去に出題された試験問題の出題分野とテーマはしっかり確認を

令和4年度春期試験では，3問のうち，2問がWeb関連のセキュリティ問題になっていました。このように，2問ともWeb関連の問題になると，必ず1問を選択せざるを得ません。そこで，IPAが公表している「安全なウェブサイトの作り方」などの資料を事前に学習し，HTMLのコードのほか，HTTPのヘッダ情報やクッキー属性などについては，十分に理解しておくことが必要です。なお，午後Ⅰ，午後Ⅱの試験問題の選択に当たっては，個々の受験者が持ち合わせている技術知識などの差に依存しますので，できるだけ自分自身の得意とする分野の問題を選択していくようにしましょう。また，一度選択した問題については，最後までやり抜くようにすることも必要です。それは，問題文をよく読んでいけば，問題の中にヒントが記述されていることが多く，それらを手掛かりにして正解を導いていくことが可能だからです。しかし，ヒントを見つけることができるかどうかについては，各自が持ち合わせている知識が多いか少ないかなどの差によって決まります。そこで，試験を受験するに当たっては，できるだけ知識レベルを向上させておくことが必要です。 例えば，セキュリティ技術分野では，Webアプリケーションに対する様々な攻撃とその対策，迷惑メール対策や標的型攻撃に関する対策，IoT機器に関連するセキュリティ問題，クラウドサービスの利用と認証連携，電子証明書の検証方法，メッセージ認証，本人認証，ディジタル署名，暗号化技術，セキュリティプロトコル，VPN技術，ファイアウォールの設定，IDSやIPSなど，多くの技術知識を吸収していくことが必要です。また，Webアプリケーションなどに対するセキュアプログラミングの問題では，C/C++やJava，ECMAScript（JavaScript）をはじめ，HTMLなどの知識が要求されます。この他，ネットワーク技術分野では，TCP/IP（HTTP，HTTPS，IPsec，TLSなど），インターネット利用・接続技術，DNSの仕組み，電子メールの配送の仕組みなど，データベース技術分野では，データベースへのアクセス権限，SQL文の読み方，ログ管理など，幅広い技術知識を習得していくことが必要です。さらに，情報セキュリティポリシやリスク分析などのマネジメント系 の問題に加えて，フィッシングやフォレンジックスなど最新のトピックも含めて出題されるので，幅広く知識を吸収していくことが必要です。また，JIS Q 27001やJIS X 5070などの標準化動向の把握も忘れないようにしましょう。

問題文の読解力も十分に鍛えよう

午後Ⅱ問題は，特に図表類が多いので，最初から図表類を含め，詳細に読んでいくと問題の全体像が把握できなくなります。そこで，問題の全体像や，何がポイントになっているかなどをつかむためには，問題文を最初から最後まで読み通してみることも有効であると思われます。そして，設問で問われていることを確認し，該当箇所の問題文や図表の中身をチェックしながら解答を作成していけばよいのではないでしょうか。いずれにしても，午後Ⅱの試験問題に取り組んでいく際には，問題の記述内容のほか，図表類の条件を十分に把握しながら，解答を導いていくことが基本です。しかし，このような動作が着実にできるようになるには，まず，情報セキュリティに関する総合的な知識を十分に身に付けておかなければなりません。そして，午後Ⅱ試験は問題が長文になることから，「あわてず，あせらず，あきらめず」という精神で臨むことも必要です。 午後問題の特徴は，出題内容が一つの技術に絞ったものよりも，複合的な観点から出題されます。この傾向は，午後Ⅱ問題では特に顕著になります。そこで，セキュリティとネットワークの相互に関連した総合問題に対応できる技術力を養っていくことが必要になります。しかし，幅広いこれらの技術を十分に習得するには，かなりの時間が必要です。試験の直前になってあせらないように，あらかじめ多くの学習時間を見込んでおき，計画的に学習していくことが必要です。また，一度，理解しても繰り返し知識をインプットしていかないと，すぐに忘れてしまいます。工夫をしながら継続的に学習していく姿勢を確立しましょう。なお，試験問題では，単なる技術的な知識から解答する問題はそれほど多くありません。問題文に記述された内容に従って解答する問題の方が多いので，問題で記述された内容を正しく理解し，その条件内で考えていくようにしましょう。そのためには，問題文に記述された内容を理解できるだけの基本的な技術力をまず身に付けておくことが必要です。また，午後試験は数十字程度の記述式で解答する小問がほとんどです。記述内容については，考え方や根拠を明確に示すほか，キーワードをしっかりと押さえた解答を作成するようにしましょう。