えいのうにっき

a-knowの日記です

「情報セキュリティスペシャリスト」試験に合格したよ!! & 午後試験の効果的な対策とは何か、を、考えてみる。

ヒャッホォォォォウゥゥゥ!!!!


**試験を受けること、かれこれ3回。 と、いうものの、2回目は殆ど準備できてなかったにも関わらず午前試験が免除されるラストチャンスってことでダメもとで受けてたんですけどね!1回目はわずか1点差で不合格だったし! いや〜、でもやっぱ嬉しいです。すんごく嬉しいです!この試験を受けた直後の感想とか自己採点を行った結果のエントリはこちらなんですが、午前に関しては、自己採点を行った結果とほぼ同じ結果になってますね。 ただ、午前1に関しては揺らぎが出ています。自己採点結果「87%」に対して、得点が「88.40点」。試験区分が新しくなって数年経ち、結果も蓄積されてきたからでしょうか、設問に対して多少の重み付けが加わってきているようですね。今後の午前試験に関しては、仮に自己採点結果が「59%」とかでも、完全に諦める必要はなさそうです。・・・もちろん、逆も言えます。自己採点結果が「60%」だったからといって、完全に安心はできなくなった、とも言えるでしょう。

**僕がやった試験対策・まとめ。 ということで、一応、まとめておこうと思います。読んで、波長が合った方は参考にして頂ければ。 まずは午前試験。午前試験に関しては、前回エントリに書いたものをそのまま引用させて頂きますという名の手抜き。

僕がやった午前対策はいたってシンプルなもので、下記の問題集一冊だけをじっくりとやった、それだけです。

以前の参考書比較エントリでも挙げた問題集なんですが、これがすごく使いやすくって。 見開きの左側のページが設問になっていて、そのページをめくって見開き右側のページが解答になってます。その解説も、あっさりとしすぎておらず、それでいてしつこくなく。 進め方としては一回50問を目安として、基本的にはテンポよく進めてどうしても解き方が気になったものについてはその場でページをめくって解答・解説を確認。これをひたすら繰り返すという使い方をする僕に、この本はとっても合ってました。

収録問題数のボリュームもすごいです。午前1・午前2合わせて500問、加えて2回分(平成21年度春期&秋期試験問題)の過去問が収録されています。 午前試験なんてもう、いかに多くの過去問を解いたかで合格・不合格が決まると言っても過言ではないと思います。そう考えると、合計600問を超える問題数が収録されているこの本なら必要十分。 あと、「自分はこの本一冊をやりつくした!」と思える・自信に繋がったところもあるように思います。

よく「これ一冊で合格!」みたいな売り文句がありますが、この本に関してはその売り文句を付けたとしても、オーバーでもなんでもないと思います。というか、この本一冊をやる以上の試験対策をやる気にはなれんです。笑

<<

午前試験に関してはもう何でもない、「過去問を解く、その数をこなす」が必勝法です。間違いなしで。

**一方、午後試験は? と、このような午前試験対策はいろんなところで結構言われてることだと思うのですが、一方の午後試験に関して。 今回の「情報セキュリティスペシャリスト」午後試験に関しては、カッコつけでもなんでもなく、試験対策らしい対策は一切やっていません。これも、前回の試験直後のエントリに書いた通りです。

どちらにしても、午後試験については対策らしい対策は一切してません・・・。日々の業務でセキュリティに関することとか、そういったニュースを気持ち重点的にチェックするとか、そういったことぐらいでしょうか。 それが吉と出るか凶と出るかは、2ヵ月後の結果発表次第、といったところですね〜。

<<

で、幸いにも、吉と出ました。もちろん、午後試験に関しても、過去問題を解くことの有用性はあるかもしれません。が、僕は今回そのような対策は取っておらず、その有用性を説くことはできないわけで・・・。なので今回は、対策らしい対策をしていないにも関わらず合格水準の点数をなぜ取ることができたのかを、自分なりに振り返ってみようと思います。

僕が考える、午後試験で合格水準の点数を取るために気をつけたいことは、下記の3点です。

+実務経験 +日頃からほんの少しだけ、セキュリティ関係の事柄に敏感になっておくこと +実践を伴う、自主学習 <<

**1.実務経験  について なにを身も蓋もないことを、と言われちゃいそうですが、やはり、(個人的な意見ですが、)高度試験ともなると実務経験がある程度はないとキビシイのではないかなと思います・・・というか、高度試験を学生さんで取っちゃう人なんてもう、尊敬しちゃいます(@@;)。 ただ、「セキュリティに関する実務経験」に限る、ということではありません。事実、直近約1年のあいだ、僕の業務時間の半分以上はオープンCOBOLによるバッチ処理に対するものに費やされています。基本はブラウザベースで動作するシステムの開発案件だったので、セキュリティのことを意識して開発しなければならないチームもあったのですが、僕はそのチームではない、別のチームに所属していたわけです。つまり、ここで僕がイメージしている「実務経験」とは、「セキュリティに関する実務経験」というわけではなく、ある一定規模以上のシステム開発の現場にその身を置いている、という意味での、実務経験です。

そして大事なのは、「ただその現場にいる」のではなく、その現場で目の前にしているシステムのセキュリティに関する部分を具体的にイメージして、調査して、自分なりに納得する、ということではないかなと思うのです(今の時代、全くセキュリティを意識しなくていいシステムの開発案件というのは中々ないと思うので)。例えば僕に関して言えば、普段はバッチ的な機能の開発をしているけれども、システムテスト・運用テスト段階になると、僕でもブラウザを使ってシステムを使ってみるシーンがあるわけです。その為に、テストユーザでログインをしなければいけない。ここで、「パスワードはどういうふうにサーバ側に渡されてるんだろう」「どういう流れで認証が行われてるんだろう」と思ったのをきっかけとして、設計書やら認証部品のマニュアルやら、ひいてはシステムが吐き出しているログを追って、調べてみる。すると、その仕組みの100%は分からないにしても、だいたいの概要・考え方は掴めてきたりするものです。

試験の設問の傾向としても、「あるシステムを想定したときのセキュリティに関する部分」を問うてくる、という形式が多いと思うんです。そういったときに、上記のような思考のクセを付けているかいないかは、大きいんじゃないのかなと思ったりしています。

**2.日頃からほんの少しだけ、セキュリティ関係の事柄に敏感になっておくこと  について この2点目に関しても、前回のエントリで少し、書いています。

設問4に関してはマルウェア対策に関する問題ということでしたが、これはGumblarが話題になった際に社内FTPソフトにも対策を施したんですが、このとき興味本位で「Gumblarってなんなのよ」っと少し調べていたことがあったんですね。それもあって、何も知らない問題よりは取っ付き易いかなということで、選択。

<<

IPAの試験だからといって、侮るなかれ。今まで受けた試験総じての感想は、やっぱり「結構、時事ネタを放りこんでくるな」ということ。「十数年前から変わらない、セキュリティを考える際において大事なこと」というものももちろんあるでしょうが、ことセキュリティに関しては、攻撃者とのイタチごっこの連続と言えると思います。それの概要レベルだけでも一般常識として仕入れておくこと(もちろん、それぞれを深く調べておくとなお良いでしょう)は、試験云々は別にしても、とても大事なことではないかと思います。

・・・蛇足であることを承知の上で次回以降の試験問題を予想してみるとするならば・・・。厳密にはこれは「セキュリティ」ではなく、また「攻撃」であったとも思わないのですが、件の図書館システムの一件。これをアレンジした問題は出そうなのかなあと、思ってみたり。

**3.実践を伴う、自主学習  について 実践といっても、机上の勉強をエンピツ片手にやりましょう、ということではないです。実際に、セキュリティを意識したシステム・・・「システム」というのが仰々しく感じられるのならば、「アプリ」「Webアプリ」でもいいと思います、それを作ってみたらどうでしょう、ということです。 これも僕の例を言いますと、拙作・「CountDown iTunes!!」に設けているWeb連携機能、ここで少し、セキュリティを意識した作りを実践しています。むしろ、誤解を恐れずに言うと、「セキュリティを意識した作りを実践したかったから、自作ソフトにWeb連携機能を設けた」という感じです。特別、秘密にしなければならない情報を取り扱っているわけではないのですが、公開鍵暗号方式によるパスワードのやりとりや、Webアプリでのログイン時のSSL適用(GAEのhttps通信)などを、実際にやってみました(クライアントもWebも自作なんだから、シンプルな共有鍵暗号でいいのにも関わらず。笑)。・・・結果、プログラミング内容としては非常にシンプル・単純な作りにはなりましたが、それでも、非常に勉強になりました。百聞は一見に如かず。みなさんにもぜひ、オススメしたい勉強方法です。

**色々と好き勝手言いましたが。 ・・・60点・70点台が何を言う、とお思いかもしれませんが、そこは何卒ご容赦を。これから情報セキュリティスペシャリスト試験を受ける、どなたか一人にでもこのエントリが役立てば、幸いです^^。

**関連エントリ blog.a-know.me

blog.a-know.me

blog.a-know.me