【挑戦】情報処理安全確保支援士



出題傾向は情報セキュリティスペシャリストと変化なし
2017年度から開始された情報処理安全確保支援士試験を受験しました。
IPA(情報処理推進機構)公認の試験で、国家資格試験になります。
情報セキュリティ分野では、レベル4区分に相当し、国会資格の中では最高レベルになります。

今回の受験者数は全国で約25000人(IPA公表値)です。
前身の情報セキュリティスペシャリスト試験と比較すると、新名称試験にも関わらず、受験者数が減りました。
これについては、受験者側から見た時にうまみがないから致し方ないのかな…と思う部分もあります。

昨今のIT業界は、ITバブルが弾けた状況になってしまっています。
情報セキュリティは守られて当たり前の状況になってしまったため、問題が起こらなければ需要がありません。
つまり、この資格は持っているだけではお金にならない資格、ということです。

司法や税理士の資格は、持っているだけでお金になります。そもそも就業するために必要な資格だからです。
そのため、司法や税理士のような国家試験は、『落とす』ための試験という側面を持ちます。

これらの資格は基本的には数年単位で毎日猛勉強をしなければ取得困難な資格です。
持っているだけで、過去に相当な勉強努力を積み上げてきた証拠でもあります。持っている方はとても優秀な方です。
資格取得が困難なこともあり、これらの職は年収も高い傾向があります。

一方で、勉強の期間は仕事をしていない人も多いため、生涯年収を考えた時、どうなんだろう?というのはあります。
高い給料を得るためには、何かを犠牲にしなければいけません。
しかし、不景気に強いため、将来のリスク管理を考えた時、専門職の資格は大いに魅力があります。

IPAの各種資格は、『受からせる』ための試験という側面があります。
国にIPA資格取得者を増やそうという意向があるため、人数確保を優先し、採点も多少甘めになりやすくなります。
IPAの資格を持っていないと就業できない仕事はないのですが、公官庁、金融企業だと仕事は得られやすいかもしれません。

ただ、実際に自社に雇うかどうかと言われると別だと思います。
他社からSEとして人材を安く確保できれば、自社で人を確保するよりコスト面で安上がりだからです。
自社の場合は雇い続けなければいけないため、SEは仕事がなくなったら契約を切りやすく、低リスクと言えます。

したがって、IPAの資格を推奨する企業は、SE業務を行っている会社が多くなります。
私の会社のビジネスの大半は、B to Bです。ものが売れなくなってきているため、今後SEの割合は社内でも増え続けると予想します。

正直なところ、現在のIT業界は弱い立場と言わざるを得ないと思います。
会社間で競争を促すことは良いですが、他社との差別化ができないと価格競争になってしまいます。
SEを受け入れる側としてもコストが安い方が良いため、同じ能力であれば安い人材確保に動かれてしまいます。
結果として、給料は上がりにくくなってしまうのが、現在のIT業界の現状です。

お金だけを考えるなら、保険会社やパイロットは最高だと思います。
しかし、仕事ではモチベーションが大事です。お金だけで仕事を選ぶという割り切った考え方は私はあまり好きではありません。
外資系のIT企業であれば、給料は高いです。しかし、日系企業と比較して小回りが利かなかったり、福利厚生が弱いです。

給料は高いが、出て行くお金も多いのが外資系企業、給料は高くないが、出て行くお金が少ないのが日系企業、という感じです。
手元に残るという意味で生涯賃金を考えたら、どっちが良いかはわかりません。外資系企業は退職金もありません。
ただ、自分の性格を考えると日系企業の方が個人的には合っていると思っています。外資系企業でSEとして働いてわかったことです。

話を戻しますが、同じ能力を持っているならコストの安いSEをお客さんは雇います。
したがって、高い給料を得るためには、高い能力を持つことが必要になります。資格試験勉強はそのための1つの手段です。
資格は持っているだけで、その人の能力を図れるツールです。

相手がどんな人かわからなくても資格を持っているだけで何ができるかはお客さんにはすぐにわかります。
長い時間をかけて相手を知る、ということは企業間取引先の選定ではできません。
IPAの資格はそれ単体ではお金にならなくても、自身のスキルアップも含めて、仕事を得られやすい要素にはなります。

IPAの試験は『受からせる』ための試験とは言え、レベル4区分の試験は一定以上の努力が必要です。
私にとっては過去に勉強をサボってしまっていたため、巻き返して周りに追いつくためには、人の倍は努力しないといけません。
そのため、私にとっては難しい試験になります。しかし、今後のことを考えてもツケは早めに清算すべきです。


さて、今回新設された情報処理安全確保支援士ですが、私は難易度が下がる可能性があると考えていました。
その理由は、情報セキュリティスペシャリストと違い、資格維持のために講習が必要のためです。
年1回のネット講習と、3年に1回の集中講習を受けることが義務化されています。ポイントは、お金がかかることです。

資格維持のために3年で約15万円かかります。冒頭でうまみがないと話した理由の1つです。
持っているだけで直接仕事になる資格ではないため、このコストを安いと見るか高いと見るか、です。
会社の福利厚生で講習費用を負担してくれる可能性を探ってみましたが、会社のスタンスとしては自費負担にするみたいです。

う~む。でも、国の資格保有者名簿に自分の名前が載るので、名前を残すために3年で15万円…と考えれば良いのかな。
解決策は頑張って給料上げるしないですね…。

現在のマネージャーは私の最近の努力を認めて下さり、今年度から上級クラスにSKIP昇格しました。
おそらく月収は数万円近く上がるので、ボーナスも上がります。
ある程度残業できれば、目標にしていた最低年収には到達できると思います。
そう考えると、15万円は安くはないけど、安い…と考えられるかな。

もちろん、現時点で資格取得が決まった訳ではないです。
資格取得のための勉強は、資格取得が目的ではなく、スキルアップが目的です。
何か目に見える形にすることで、自信も付きます。次の資格取得の励みにもなりますし、業務でも技術理解が深まります。
資格という証拠が欲しかったという側面もあります。色々な意味で、これも1つの社会勉強です。

結局は言われたことだけやって自分で考えない人は、社会では高い成績を出すことはできません。
これは、社会人を経験してわかったことです。
言われたことだけやっていると、やらされ感が出るため、モチベーションは上がらないし、疲れてしまうだけです。

私は頭の回転が速い人が好きです。自分で考えても行動しない主体性のない人は横から見ていると不安です。
以前の私は主体性のない人間でした。資格取得のための勉強は、自分を変える意味で、大いに良い影響がありました。


話を戻します。今回の試験は、受けてみた感触として、やはり難易度が若干下がったと感じました。
情報セキュリティスペシャリスト試験の方がひねった問題が多かったと思いますが、今回の試験は素直な問題が増えた印象です。
ただ、それでもきちんと理論は理解できていないと、合格はできないレベルは維持されていました。

情報処理安全確保支援士は、今回が新設のため、過去問がありません。
ただ、試験形式は変わらないと思っていました。言い換えると、更新資格への変更により試験名称が変わっただけと考えていました。
受験票を見た時、試験実施時間と内容から、情報セキュリティスペシャリストと傾向は変わらないという予測は正しいと感じました。

IPAのレベル4区分の試験は、一般的な傾向として以下の構成で試験が実施されます。

午前Ⅰ…マークシート式試験(全問回答必須 - 試験時間:50分)
午前Ⅱ…マークシート式試験(全問回答必須 - 試験時間:40分)
午後Ⅰ…記述式試験(3問中2問選択 - 試験時間:90分)
午後Ⅱ…記述式試験(2問中1問選択 - 試験時間:120分)

午前Ⅰについては、まだ以前の試験合格による免除適用期間のため、未受験です。今回も午前Ⅱから試験を受けました。
昨年の情報セキュリティスペシャリスト試験、ネットワークスペシャリスト試験では、勉強法として過去問理解に重点を置きました。
しかし、マークシート式試験はパスできたものの、共に午後Ⅰで約50点に留まり、合格点の60点に到達できませんでした。

試験内容を考えると、各試験は以下の特徴を持ちます。

午前Ⅱ…技術知識
午後Ⅰ…解く
午後Ⅱ…読む

午前Ⅱは暗記すれば合格できます。逆にいうと、マークシート式(多肢選択式)試験のため、暗記するしかないです。
午後Ⅱは"読む"を意識しているため、問題文をよく読めば回答を導くことができます。もちろん、技術理論の理解は必要です。
午後Ⅰで合格点に達していないということは、頭の中で技術を噛み砕けていない、ということを意味します。

"解く"ということは、制限時間内で回答を導く力を求められます。
じっくり読んで回答できる午後Ⅱとは違い、頭の中で気づけることが重要です。
そこで今回の試験では過去の失敗を踏まえて、勉強方法を変えることにしました。
具体的には、参考書の内容を全て覚え、覚えた内容を過去問を使って理解を深める、という方法です。

受験の結果、この勉強方法は正しかったと思いました。
問題文を読んでいて、怪しい箇所に目星を付けられ、実際に問題で出てきたために、時間内の回答ができました。
過去問の理論だけ覚えても、その通り出題される訳ではありません。ちゃんと頭で噛み砕かないとですね。

そのため、今回の試験に関しては、一定以上の手ごたえが得られた感じです。
合格点に達しているかは実際の結果を見るまではわかりませんが、合格しているといいなと思います。ダメだったら、また来年です。

午前Ⅱに関しては、マークシート式試験のため、既にIPAのサイトで解答が公開されていました。
自己採点の結果は、全25問中、6問間違いのようです。過去の採点基準通りであれば、1問4点だと思います。おそらく76点かな。
60点以上で合格のため、午前Ⅱは合格だと思います。
間違った問題のうち、今回の試験のための勉強が十分なら正解できていた4問をピックアップしてみます。


-----
【問6】DNS水責め攻撃(ランダムサブドメイン攻撃)の手口と目的
->ANSWER:
オープンリゾルバとなっているDNSキャッシュサーバに対して、攻撃対象のドメインのサブドメイン名をランダムに、
かつ、大量に生成して問合せ、攻撃対象の権威DNSサーバに過負荷をかける。


この問題は完全にわからなかったです。勉強不足でした。
名前的に水飲み場攻撃に近そうなものを選んでみようと思いましたが、誤答してしまった。残念。
上記のANSWERに書かれている内容を読んだ限りは、DDoS攻撃の説明だと思い、この回答は違うかと思いました。

調べたら、ランダムサブドメイン攻撃はDDoS攻撃の一種のようです。
SSL3.0の脆弱性(POODLE)が発見された時期と同時期に、少し話題になったようですね。
実社会で発生したセキュリティ問題は比較的問題に取り上げられやすいため、直近のセキュリティ問題はチェックしないとです。


-----
【問11】MIMB(Man-In-Middle-Browser)攻撃に有効な手段
->ANSWER:
インターネットバンキングでの送金時に、Webブラウザが利用した入力情報と金融機関が受信した情報に差異がないことを
検証できるよう、トランザクション署名を利用する


あー、これ過去問の午後Ⅰ問題で問題文に書かれていたじゃないか、と思ったはいいものの、内容を思い出せませんでした。
…すぐに出てこないのも勉強不足です。というか、これはすぐに出てこないとマズイ気がする。
中間者攻撃関連だったのはすぐに頭に出て来ましたが、トランザクション署名という言葉がわからず、ピンと来ませんでした。

トランザクション署名を調べてみましたが、内容はディジタル署名そのままですね。

<トランザクション署名>
ネットバンキングなどにおいて、送金などの処理情報(トランザクション)の内容(送金先の口座番号や金額など)を
デジタル署名により暗号化し、トランザクションの内容が改ざんされていないかをサーバー側で確認できる仕組み

難しく考えずに、"署名"という言葉があったらディジタル書名の内容がこの問題の回答と考えれば良かったです。
そもそもトランザクションの意味がすぐにピンと来ないのはマズかった。
トランザクションは"分けることの出来ない一連の情報処理"でした。
ピンと来ない、ということは、勉強不足、ということです。データーベース関連用語はわかっていないとな~。


-----
【問14】特定の利用者が所有するリソースがWebサービスA上にある。
OAuth2.0において、その利用者の認可の下、WebサービスBからそのリソースへの限定されたアクセスを可能にする時の
プロトコル動作は?
->ANSWER:
WebサービスAがアクセストークンを発行する


この問題は問題文をよく読んでいませんでした。リソース所有しているのは、WebサービスAだった…。
回答した選択肢は"WebサービスBがアクセストークンを発行する"を選んでしまいました。
マッシュアップの問題ですが、マッシュアップのアクセストークンの仕組みをシーケンス付きで頭に入れておけば良かった。

アクセストークンは、利用者の代わりにリソース保持者がClientに発行する認証リクエストでなければいけません。
Clientがアクセストークンを発行したら、マッシュアップ動作の意味がわからなくなります。シーケンスの理解が不足していました。


-----
【問19】PCやスイッチングハブが持つイーサネットインターフェース(物理ポート)のAutomatic MDI/MDI-Xの機能は?
->ANSWER:
コネクタの送信端子と受信端子が正しい組み合わせとなるように、自動で判別して切り替える機能


情報セキュリティスペシャリストの過去問かネットワークスペシャリストの過去問にあった問題だと思います。
Automatic MDI/MDI-Xの勉強不足です。内容については、元々知っていることでした。
これはLANケーブルの一般的な話です。ただ、技術用語としての名前がわかっていませんでした。

入社して2-3年の頃は開発部に所属していました。
その際に、サーバールームでストレートケーブルとクロスケーブルの違いについて、勉強しました。
今思うと、あの時サーバールームで見たサーバーはAutomatic MDI/MDI-Xに非対応だったんだな…。


午後Ⅰ&午後Ⅱの試験結果はどうなるかな…。


さて、次は10/15に実施予定のネットワークスペシャリストの勉強を開始しようと思います。
午前Ⅰの試験免除期間が切れるため、今秋の試験は午前Ⅰも受験の必要があります。
勉強不足で失敗しないように、半年前の今から準備を始めなくては!

最初は、重宝している会社の過去問集の購入からしようと思います。
あとは、ネットワーク技術の理論が網羅的に丁寧にまとめられている参考書を探して購入する必要があります。
紀伊国屋書店に行くかな。この手の参考書はジュンク堂の方が充実していると感じますが、ジュンク堂はちょっと遠いです(笑)


[ 2017/04/17 22:57 ] プライベート | TB(0) | CM(0)

コメントの投稿













管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://lightningplus.blog.fc2.com/tb.php/108-ab5d4c12