サイバーセキュリティを学んだら情報処理安全確保支援士に合格した話
背景
情報処理安全確保支援士試験を受けて合格したので、その体験記を書いてみようと思う。
最初に断っておくが、特に合格のためのTIPSとかないので、あくまで雑な体験記として見ていただきたい。試験に効率的に合格したいという方にはあまり参考にならないかもしれない。
そもそもなぜこの試験を受けようと思ったのかというと、サイバーセキュリティが最近よくいわれているし、私もソフトウェアエンジニアをやっているので、よりセキュリティのことは詳しくなりたいなという思いがあった。何か資格があった方がよいだろうということで、ちょっと趣味の範囲で勉強してみたという感じである。
実際に情報セキュリティ関連の職種に転職するかもちょっと考えたんだけど、まあわかりやすく国家資格ということで取ってみようかなというようなモチベーションだった。
教科書を読むのは挫折
最初は普通に試験対策をしようと思って、情報処理教科書 情報処理安全確保支援士という教科書的なやつを買って、いったん通読しようと思ってパラパラと見ていた。
しかし、やっぱりあまりモチベーションが湧かなかったというか、あまり面白くなかった。やっぱりこういうのを教科書的に読むよりは、なんかもう少しどういうモチベーションというか、どういう意味がある専門なのかという背景が分かるような本を読んでいく方がよさそうだと思った。
今回いったとおり、試験に受かること、資格を取ること自体が目的というよりは、サイバーセキュリティってどういう考え方なんだろうとか、どういう議論があるのかとか、サイバーセキュリティに従事している人がどういうマインドで働いているのか、どのようなことを気にして仕事をしているのか、何のための職能なんだろうみたいなところを知るのが目的だった。
なので、ある意味教科書を読むことは挫折して、意味もなく知識が羅列されているというよりかは、「昨今こういう問題があって、こういうところをいろいろやる必要があってまとめています」みたいな、そういう背景がある本を読んでいく方がやる気が出たりとか、その場でわからなかったことをさらに別の本で確かめていくみたいなのをやっていく方針に変更した。
勉強の流れ
2024年末〜2025年1月
2024年末くらいに、サイバーセキュリティに関してはよさそうな本を片っ端から全部買った。試験の勉強をするというよりかは、興味の赴くままにいったん眺めてみるみたいなのをしようと思って、面白そうな本というのを買ってみた。
この時期は、サイバーセキュリティの基本概念というか、実務上どういうマインドで働いているのかとか、どのようなことを気にして仕事をしているとか、面白そうなところとか興味持てそうなところとか、そういうのを基本的に乱読するという感じだった。
2025年2月〜3月前半
2月くらいからは、セキュリティ分野の短答式対策も始めた。「SC完全攻略」というアプリで午前II対策を開始して、セキュリティ専門知識の一問一答をポチポチやっていた。
最初は点数が伸び悩んでいたが、継続して取り組むうちに大体合格ライン(6割)を超えてくるようになり、各分野で7、8、9割程度の正答率になってきたので、午前II対策としてはこの調子で問題ないだろうという感覚でやっていた。
引き続き専門書の読書も継続していて、情報処理安全確保支援士 専門知識+午後問題の重点対策も並行して通読していた。これは問題を解くというのはやらないで、ただ通読してこういう問題があるんだなとか、こういう観点があるんだなみたいな感じで読んでいた。
2025年3月
専門書の読書を3月いっぱいまで継続していて、気になったところを深掘りするという感じで、TCP/IPの通信の仕組みや各レイヤーのプロトコルについて、改めて技術的な詳細を確認する本を読んだりしていた。そういえばこれどうなってるんだろうと思ったものを、基本的に興味にしたがって深掘りしていくスタイルを続けていた。
一方で、残り1ヶ月を切ったあたりで情報収集を本格化した結果、午前Iが最大の難所だということに気づいた。「午前Iで多くの受験者が落ちる」という話を目にして、詳しく調べてみると確かに対策が必要そうだった。
2年前に応用情報に合格していたので油断していたが、午前Iは出題範囲が圧縮されており、応用情報とは異なり過去問の再出題が少ない。そのため「見たことある問題」で点数を稼ぐことが難しく、問題数も少ないため運に左右されやすいという特徴があった。
応用情報の知識だけでは不十分だと理解し、足元を掬われないよう応用情報の復習も並行して開始した。専門書を読む気が起きない時や合間の時間に、アプリを使って基本的な内容の思い出しから当時学習していなかった分野の補強まで、ひととおり対策を進めた。
この時期は、重点対策についている過去問も使って、1問ずつ解答を書き込んで理解を深めるという形で進めていた。基本的には答える発想や考え方を理解することを重視し、時間内に終わるかどうかはあまり気にしていなかった。そういう理解ができていれば試験としては十分だろうという感覚でやっていた。
2025年3月後半〜4月
3月後半から過去問を解き始めて、最後の1週間は朝の仕事前の時間を使ってカフェで過去問に取り組んだ。2時間半通しで解くのは疲れるので、1問を1時間程度で区切って最後まで解答してみるというやり方で進めた。朝の限られた時間でも現実的に取り組める単位として、このくらいがちょうどよかった。
最後の調整として、村山さんの受かる情報処理安全確保支援士 問題集も使った。試験特有の解答テクニックを身につけるのに役立った。基礎的な理解があった上で、効率的な解答方法を学ぶという使い方であれば有用だと思う。
読んだ本
入門書
サイバーセキュリティの基本概念と全体像を把握するために読んだ。
専門書
現代的な脅威や実務上の論点について具体的に理解するために読んだ。
![Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践 eBook : 徳丸 浩: Kindleストア](https://images-na.ssl-images-amazon.com/images/P/B07DVY4H3M.09.LZZZZZZZ.jpg)
ホワイトハッカー・ペネトレーションテスト関連
レッドチームの方が面白そうな気がしたので、ちょっと広げてみた。
セキュリティ関連教養書
サイバーセキュリティの社会的意義と実務者のマインドを理解するために読んだ。
技術分野
デジタルフォレンジックは法の分野にも関わりが深く、修士でやった社会科学寄りに近い専門知でもあるのだなと気になり手に取った。
TCP/IPの通信の仕組みや各レイヤーのプロトコルについて、改めて技術的な詳細を確認するために読んだ。
試験対策書
試験の形式理解と最終調整のために使用した。
![うかる! 情報処理安全確保支援士 午後問題集[第2版] (日本経済新聞出版) | 村山直紀 | 工学 | Kindleストア | Amazon](https://images-na.ssl-images-amazon.com/images/P/B0C8HHBVCW.09.LZZZZZZZ.jpg)
試験当日
午前I
当日になってみると、午前Iが一番厄介だった。時間がギリギリで、余裕が少なめだった。計算問題があるため一問一問に時間がかかる。
「この用語を説明しているものはどれか」↔「この記述はどの用語を説明しているか」のように、表現の向きが変わる出題があり、単純な知識暗記では対応しきれない。応用情報のような過去問ベースの蓄積が効かない(新作問題中心)ため、「見たことある→答えられる」状況があまりない。
「細かいひっかけ」や「微妙な表現の違い」で時間を取られる。結果的に一番点数が低かった。
午前II
午前IIは知識があれば即判断できる問題が中心で、10分ちょっとで全問解き終わった。時間が余るため見直し・検討に余裕がある。SC完全攻略アプリでの対策が効果を発揮した。「気楽な試験」という印象だった。
午後
当初「1時間〜1時間半で終わるだろう」と楽観していたが、フルで時間を使い切った。
SBOMや脆弱性管理中心の出題で、昨日午前IIの勉強で見たばかりだったので、「なんとなく分かる」状態で臨んだ。ただし実務的な知識や深い理解は伴っていなかったため、確信は持てなかった。
しっかりとした文章で書こうとして時間がかかった。「この答えでよいのか?」と考え直しているうちに時間がかつかつになった。知識問題で答えを捻り出そうとして無駄に時間をかけた。
設問構造は1問につき複数のシチュエーションが展開されるブロック形式で、最初のブロック(導入事例)は理解できても、次のブロックでは設定が一変し、「何を問われているか」の把握に時間がかかった。結果として、状況を読み解くのに思考負荷が高く、時間消費が激しかった。
問題文に解答に必要な情報は含まれているという前提で、そこから論理的に導き出せることを中心に記述することを心がけた。時間はかなり厳しかったし、細かい知識問題で分からない部分もあったが、論理的に推論できる範囲で回答を絞り込むよう努めた。知識問題は思うようにいかなかったものの、記述問題では要点を押さえて書けていたようで、結果的に合格点に達したのだと思う。
試験結果
そんなこんなで、結果は合格だった。
- 午前Ⅰ: 74.80点(基準点60点)
- 午前Ⅱ: 96.00点(基準点60点)
- 午後: 85点(基準点60点)
やっぱり午前Iが一番点数低かった。当日の実感とおりである。午前IIは対策した甲斐があって結構よい点数になった。午後も記述がそれなりに書けていたようで、思っていたよりもよい結果だった。
振り返り
自己採点はしておらず、当時何を書いたのかあまり覚えていないが、明確に間違った知識問題以外は、それなりに的を外した回答はしていなかったのだろうと思う。
試験対策に特化するよりも、興味のある本を読んで基礎的な考え方を理解することを重視したのがよかったのかもしれない。サイバーセキュリティの知識を深めることに時間を使った結果、試験にもよい影響があったと思う。
午前Iがもっとも厄介だった実感で、なるほど午前Iで落ちる人が多いという話も納得した。午前IIと午後は「やれば何とかなる」印象で、午後は当日の集中力やモチベーション次第でリカバリーが効く。
午前Iは辛いので、免除期間があるうちに受験したほうがよいと思う。
まとめ
今回の学習方法は、試験対策としては効率的ではないかもしれないが、サイバーセキュリティの知識を身につけて実際に活用したいという場合には、興味にしたがって学ぶ方が持続しやすいと思う。
この学習方法が向いている人は、興味重視で学習を進められる人、試験合格よりも基礎理解を重視したい人だと思う。むしろ急がば回れで、時間がなくても結果的にこちらの方が早く合格できるのではないかと考えている。逆に向いていない人は、興味がない分野でも体系的に学習できる人、試験テクニックを重視する人だと思う。
セキュリティ分野への今後の関心としては、今回の学習でサイバーセキュリティの考え方や実務マインドがなんとなく掴めたので、引き続き興味のある分野は深掘りしていきたいと思っている。特にペネトレーションテスト関連は面白そうだった。
なにか一助にでもなれば幸いである。
