初めまして、システムエンジニアとして大手通信会社でASPサービスのシステム開発の業務を行っている「がんま」と申します。好きな色は誕生日カラーのピーコックブルーです。AMBLには中途で入社し、気がつけば今年で10年目となるアラフィフです。
シングルファザーで子供2人を育てており、仕事と育児に追われ右往左往している毎日ですが、エンジニアとしてのスキルアップを目指し情報処理推進機構(以下、IPA)が実施している「情報処理安全確保支援士試験」に足掛け5年をかけて合格しました。
年を重ねると、勉強してもなかなか頭に入ってきません。それどころか、教科書を開くと眠くなってしまう始末…。
そんな私が、どうやって合格まで漕ぎ着けたのか、少しでも参考になれば幸いと思い執筆させて頂きました。文章を書くのは得意では無いので、読みづらい点があるかと思いますが、どうかご了承ください。
■情報処理安全確保支援士試験とは
ご存じの方もいらっしゃると思いますが、まず「情報処理安全確保支援士」とはなんぞや?ということから簡単にご説明させて頂きます。
この早口言葉みたいな名称、数年前までは「情報セキュリティスペシャリスト」(通称セキスペ)という名称で試験が実施されていました。こちらの名称の方が聞き馴染みがある方の方が多いかも知れません。
情報処理安全確保支援士についてはIPAのサイトに以下のように記載されています。
サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が急務となっています。この人材の確保のために2016年10月に「情報処理の促進に関する法律」が改正され、新たな国家資格が誕生しました。これが「情報処理安全確保支援士(略称:登録セキスペ)」です。
参考:https://www.ipa.go.jp/siensi/
この試験の合格者は所定の手続き(と更新)を行うことで、国によって認められた「情報処理安全確保支援士」という士業を名乗ることが許されます。
※士業とは、司法、会計、建築・・・などがあります。
例えば、名刺の肩書きに記載できる、ということになります。
ただし試験に合格するだけでは、情報処理安全確保支援士とは名乗れません。前述のとおり、登録手続きと研修などの受講および更新手続きが必要となってきます。
IPAにはいくつかの高度区分の試験がありますが、この試験以外に士業を名乗れる資格はないということからも、この資格取得で学ぶ内容が国からも重要かつ高度なスキルであると認められていることが分かります。
情報処理安全確保支援士の試験は、今のところ、システムセキュリティの分野の試験では最難関かと思います。高度な知識が必要とされているのは合格率にも表れており、合格率はだいたい15~20%。
他の高度区分の試験は15%程度なので、単純に見ると若干合格率は高いように見えます。しかし、情報処理安全確保支援士試験は年1回ですが、他の試験は年に2回試験があるので、再受験者が多いことを考えると他の試験の難易度は同程度か、それ以下と思われます。
■取得を目指したきっかけ
冒頭でシステムエンジニアとしてのスキルアップのために試験勉強をしたとご説明しましたので、ここではもう少し詳細に情報処理安全確保支援士を目指したきっかけをご説明します。
私は、システム開発の上流工程を専門にするシステムエンジニア(SE)として業務に従事しています。ザックリと説明すると、要求仕様書から始まり、要件定義や方式設計、ベンダーコントロール、工程管理、そして開発されたシステムの運用管理なども行っています。
これらシステム開発を行う上で、切っても切れないのがシステムへのセキュリティ対策です。
例えばDoS攻撃やシステムを構成するハードウェアやソフトウェアの脆弱性を狙った攻撃から、システム自体やシステムが保持している情報を守るために非常に多くの対策を行っています。システムエンジニアの業務を担う上で、セキュリティへの深い知識がますます必要とされています。
私がシステムエンジニアを始めた10年前は、まだそれほどシステムセキュリティを担う人材は多くありませんでした。しかし、当時から多くの不正アクセスが発生しており、システムセキュリティを担う人材は近い将来に必ず需要が増すだろうと見越して、専門技術者を目指そうと思ったのがきっかけとなります。実際に、昨今ではセキュリティ人材の不足が各方面から叫ばれており、手前味噌ながら先見の明はあったかと考えています。
■合格までの道のり、脇道
情報処理安全確保支援士(目指した当初は情報セキュリティスペシャリスト)にチャレンジするにあたって、まず同じIPAが実施している「情報セキュリティマネジメント試験」を受験しました。情報セキュリティマネジメント試験は歴史が浅く2016年から始まった資格です。(情報セキュリティスペシャリスト試験は2009年から)
ちょうど、私が専門技術者を目指し始めた頃に開始された試験だったことと、情報セキュリティスペシャリスト試験の前に、この分野での知識の足がかりとして、情報セキュリティマネジメント試験にチャレンジしました。結果、第一回試験を受験し、無事合格。記念すべき第一歩となりました。
好調な滑り出しとなり、続けて情報処理安全確保支援士試験に挑みましたが、残念ながら午後2の試験で不合格となりました。
IPAの「応用情報技術者試験」および「高度区分試験」の試験は午前1、2と午後1、2の4つの試験から成り立っており、全ての試験に合格する必要があります。
午前1の合格者は、その後の2年間は午前1が免除となります。私はその後連続して受験するも、毎回午後2の試験で躓いてしまい、2年間の免除期間を不合格で費やしてしまいました。
午前1の免除が無くなった私は、初心に返り「応用情報技術者試験」を受験することにしました。こちらはなんとか一発合格しました。そして、再度、情報処理安全確保支援士試験に挑むに当たって、毎回及第点が取れていない午後の記述試験を中心に勉強をし直したところ、1回の不合格を経てやっと合格することができました。
■勉強方法
アラフィフの私が、情報処理安全確保支援士試験に合格した勉強方法をご紹介します。(午前1の応用情報技術者試験の内容については割愛させて頂きます)
4-1. IPAの高度区分の試験概要
まず「情報処理安全確保支援士試験」を含む、IPAの高度区分の試験についておさらいすると、高度区分の試験は以下の4つの試験が行われます。
午前1:マークシート方式(応用情報技術者試験の内容で、高度区分の試験で共通)
午前2:マークシート方式(情報処理安全確保支援士に特化した試験)
午後1:記述式(情報処理安全確保支援士に特化した試験)
午後2:記述式(情報処理安全確保支援士に特化した試験。問題文が長文で状況理解力が求められます)
詳細はIPAのサイトをご覧ください。
参考:https://www.jitec.ipa.go.jp/1_11seido/sc.html
4-2. 午前2の試験対策は『過去問をひたすら解く!』
IPAの試験は過去の試験問題や解答が公開されています。この過去問をひたすら解くことが、一見、遠回りなようで、私にとっての近道でした。
これは私の感覚ですが、6~7割程度は過去問から出題されているように感じます。
残りは最新のセキュリティニュースなどから出題されています。合格ラインは60点ですので、過去問を完璧に正解すればクリアできる、ということになります。
ただし、設問と解答を丸暗記するだけではNGです。不正解の答えも含めて、理由や仕組みをきちんと把握することが、午後の問題の合格のポイントとなります。
過去問を扱う書籍では、なぜ正解なのか理由も含めて説明されています。この「なぜ?」を理解して、自分なりの言葉に置き換えられるように訓練することが、実は合格の近道だったと確信しています。
午後の試験は記述式です。選択肢から選ぶマークシート方式と違い、セキュリティ用語などが頭に入っていないと解答できない設問があるので、次におすすめしたいのは、「用語の理解と暗記」です。
例えば、『下線Aにある対策を10文字以内で記載せよ』という問いなどです。午後の試験は設問が少なく、逆に言えば1問に対する得点が大きくなる傾向です。『具体的な対策を記載せよ』という問いに対して記載した内容の解答が、全て満点を貰うのも難しいと思います。
そのため、単純な用語などを解答する設問は、確実に解答できるよう頭に入れておくことが重要なのです。具体的には以下のような問題です。
例文:電子政府における調達の際にも参照される「e」暗号リストを参照し、暗号化には危殆化していない暗号アルゴリズムを採用するものとする。 設問:「e」に入れる適切な字句を英字8文字で答えよ。 解答:CRYPTREC 出典:情報処理安全確保支援士試験 令和3年度秋期試験 午後2試験 問2
みなさんはこの解答を選択式から選ぶのではなく、「手で」書け(入力でき)ますか?知っているつもりでも、試験の時に正確な名称(綴り)を書けないこともは往々にしてあると思います。私は言葉を読むことができて、単語の意味はわかっていても、試験中に手で書けないという壁にぶつかったことがあり、非常に悔しい思いをしました。用語は正確な名称をしっかりと暗記し、手で書けるようにしておくことが、非常に重要となります。
午前2の試験は予め一定の勉強時間を作るより、後述する過去問を扱うサイトを利用し、日常のちょっとした空き時間を有効活用する形で勉強しました。勉強時間を長く取れる時は、午後の試験のための勉強に割り当てていました。毎回だいたい、試験の2ヶ月くらい前から少しずつコツコツと積み重ねる形で勉強を進めていました。
4-3.午後の試験対策は『記述のテクニックを身につけるべし!』
多くの方が苦戦するのは、午後の試験かと思います。まず大前提として、自身が情報処理安全確保支援士(登録セキスペ)という立場になって解答を書くこととなります。
問題の中で様々なセキュリティインシデントが発生しますので、自分が情報処理安全確保支援士だったら、この場面でどんなことをどんな順序で行うか?という観点で記述を行うことが重要になります。
次に必要なのは、記述のテクニックです。記述式は好きなだけ書いて良い訳では無く、決められた文字数の中で端的に解答することが必要です。
一言でテクニックと言ってもいくつかあります。例えば問題文の中から、解答となる問題文を見つけて、そのまま解答欄に「~から」と言った形で記載する「コピペ」や、やってはダメなことを見つけて、その反対のことを記載する方法、などがあります。
・「コピペ型」解答例
問題文:マルウェア対策ソフトでは、ファイルを読み書きするたびにリアルタイムスキャンが行われる(以下略)
→解答例:ファイルに対してリアルタイムスキャンが行われるから
・「NG対処型」解答例
問題文:調査したところ社内からのアクセスのみと規定していたが、海外主張中の社員がホテルの無線LANを利用してインターネット経由でアクセスを行っていた。
→解答例:アクセス元を限定し、決められた場所以外からのアクセスをシステム的に遮断する。
上記はテクニックの極々一部ですが、これらのテクニックを身につけるかどうかで、合格・不合格が大きく変わると考えています。私はこのテクニックを、後述するテキストを参考にして勉強しました。午後の試験の勉強時間は、試験申し込みから受験日までの約3ヶ月間。
だいたい週に1~2日、各2時間程度、といったところでしょうか。
冒頭で記載した通りシングルファザーで家事や子育てなど、なかなか勉強時間が取れなかったですが、短い時間でも集中して勉強できる環境を整えて勉強しました。
4-4. 利用したサイト・書籍
ご存じの方も多いと思いますが午前2の試験対策として、『過去問道場』というサイトを利用しました。こちらのサイトは過去数年分の問題・解答とともに理由も含めて記載されています。スマホから参照できたり、学習履歴を保存できたりと非常に便利なので、ちょっとした空き時間や電車などの移動時間を利用して勉強していました。1回の試験で25問。1年で春と秋の試験があるため、50問。これを過去5年分250問、自分の中で100本ノックと名付けて繰り返し解き、頭に叩き込みました。
参考にした書籍は以下の2冊です。
●『ポケットスタディ 情報処理安全確保支援士 村山直紀著』
午前・午後ともに勉強になるかと思います。具体的なセキュリティリスク・対策などを理解する事が重要であり、これらが記載されています。
●『うかる!情報処理安全確保支援士 午後問題集 村山直紀著』
午後の試験では、こちらのテキストに助けられました。
と言うより、この本のおかげで合格できたと言っても過言ではありません。繰り返しとなりますが、午後の記述試験はかなりコツが必要で、限られた文字数と時間で、採点者が○を付けたくなる解答を記載する必要があります。この書籍でテクニックを勉強させて頂きました。
このブログを書いていて気づきましたが、同じ著者の書籍を買っていました。
特に狙っていたわけでは無いのですが。
■終わりに
私はAMBLに入社してから、いくつかの資格を取得しています。今回合格した情報処理安全確保支援士試験や、記事内で紹介した、情報セキュリティマネジメント試験、応用情報技術者試験。
そのほかにもITに関わる資格をいくつか取得していますが、私が取得した資格は、全て会社の資格支援制度でバックアップされている資格です。
AMBLでは経験や志向ごとに会社が支援する資格がリストアップされており、試験費用を会社が負担してくれたり、合格お祝い金が出たり、資格によってはベース給与がアップする資格もあります。
今回、情報処理安全確保支援士試験に合格したことで、話す内容について上司や同僚、取引先の方からも一目置かれるようになったと感じています。話している内容は同じですが、それを裏付けする資格は他者からの評価や、自分への自信に繋がると思います。
反面、自分が話す内容に、資格取得者としての責任が伴いますので、資格に恥じぬよう心がける必要があり、それが良いプレッシャーになると感じています。
今後は、上流工程を担うシステムエンジニアとして、同じIPAの資格であるシステムアーキテクト試験やプロジェクトマネージャ試験などにもチャレンジして行きたいと考えています。
エンジニアとしてのスキルを向上したい!と思われた方は、ぜひAMBLで一緒にスキルアップしましょう!
あなたもAMBLで一緒に働いてみませんか?
AMBLは事業拡大に伴い、一緒に働く仲間を通年で募集しています。
データサイエンティスト、Webアプリケーションエンジニア、AWSエンジニア、ITコンサルタント、サービス運用エンジニアなどさまざまな職種とポジションで、自分の色を出してくださる方をお待ちしています。ご興味のある方は、採用サイトもご覧ください。
●AMBL採用ページ
-メンバーインタビュー (1日の仕事の流れ/やりがい/仕事内容)
-プロジェクトストーリー (プロジェクトでの実績/苦労エピソード)
●募集ページ
プリセールス/ エンジニア/ クリエイター/ データサイエンティスト /営業・コンサルタント /コーポレート /サービス企画 /教育担当
