明後日の10月12日に令和7年度秋期情報処理安全確保支援士試験を受ける予定です。
受験後は感想と再現答案をアップする予定です。
1.受験に至る経緯
3年ほど前に基本情報技術者試験と応用情報技術者試験を受け、ITエンジニア関係の仕事の比重を増やしてきました。
仕事の関係でセキュリティに力を入れようと思い立ち、情報処理安全確保支援士試験の受験を決めました。
IT系ではないとある職場で、リモートワークをするには有償のウィルス対策ソフトを入れなければならないと言われ、Linuxで無償のClamAVを使っているために諦めたという悔しい体験も原動力になっています。
そういうこともありセキュリティに詳しくなりたいと思ったわけですが、参考書でも過去問でも無償のウィルス対策ソフトはダメで有償ならいいという記載はついぞ見ることはなく、セキュリティの技術的な問題ではなく経営判断や社内政治の問題だと再確認した次第です。
実は今年の春期の受験申込みをして受けるつもりでいたのですが、試験前日に腰を痛めて動けなくなり、泣く泣く断念しました。
半年ほど期間が空いたのでモチベーションを維持するのが難しかったです。
その期間中にLPIのSecurity Essentialsを受けて合格しました。
LPI公式にはSecurity Essentialsという英語版の学習教材しかまだありませんが(試験は日本語で受けられます)、情報処理安全確保支援士試験とは重複する内容を違った切り口から扱われているので、気分転換をしながら学習することができました。
2.学習記録
(1)本
以下では現時点での最新の版を紹介しますが、昔に読んだり中古で安く手に入れたりした本があるため、自分が読んだ本と版が一致するとは限りません。
 | 体系的に学ぶ安全なWebアプリケーションの作り方 : 脆弱性が生まれる原理と対策の実践 作 者: 出版社: SBクリエイティブ 発売日: 2018年07月12日 |
いわゆる徳丸本です。情報処理安全確保支援士試験を受けることを決めるずっと前に、Web関係の実務に携わる際にお世話になりました。試験対策としてもこの本をおすすめします。
 | セキュリティ技術の教科書 : 情報処理安全確保支援士試験 作 者: 出版社: アイテック 発売日: 2023年03月31日 |
タイトルの通りの本です。一般書と資格対策本の中間のような感じです。
 | 情報処理安全確保支援士 : 対応試験SC 作 者: 出版社: 翔泳社 発売日: 2024年11月27日 |
網羅的な資格対策本です。最初のインプットにうってつけです。私は春期の受験前に2周、秋期の受験前に1周しました。
 | 情報処理安全確保支援士ポケット攻略本 : 要点早わかり 作 者: 出版社: 技術評論社 発売日: 2022年10月06日 |
資格対策本が一冊だけでは不安で別の角度からもアプローチしたかったので、二冊目としてこれを選びました。コンパクトにまとまっています。
 | うかる!情報処理安全確保支援士午後問題集 作 者: 出版社: 日経BP日本経済新聞出版 発売日: 2023年07月11日 |
春期に受験できず、同じ本だと飽きるので、これを入手しました。表紙からチャラい本なのかと思いましたが、中身はしっかりしていて、午後試験の対策本として優秀だと感じました。秋期の受験前に2周しました。
 | 情報セキュリティの敗北史 : 脆弱性はどこから来たのか 作 者: 出版社: 白揚社 発売日: 2022年11月24日 |
試験とは関係なく、以前に興味から読んでいました。試験にとどまらず広い視野を得るのにいいと思います。
 | カッコウはコンピュータに卵を産む 作 者: 出版社: 草思社 発売日: 2025年04月28日 |
これも試験とは関係なく趣味で読んでいました。古い本です。楽しみながらセキュリティの感覚を養うことができます。
(2)過去問
午前Ⅰ
応用情報技術者試験の午前試験と同じ問題であり、そう遠くない昔に同試験には合格しているので、そのときの状態に戻すことができれば大丈夫だと思いました。
『応用情報技術者合格教本』をもう一度読み直し、応用情報技術者過去問道場|応用情報技術者試験.comをコツコツ解いています。
午前Ⅱ
こちらも情報処理安全確保支援士過去問道場|情報処理安全確保支援士.comに頼り切っています。上で紹介した本でインプットしたら、あとはひたすら過去問を解けばいいと思います。
午後
この午後試験が勝負です。分量が多くて圧倒されます。私は文章を読むのが好きで読む速度もかなり速いほうですけれども、それでも何度かくじけそうになりました。
どの試験でもそうですが、早めに過去問に触れて、その試験の世界観に馴染んだほうがよいです。
私は、最初の頃、C&Cサーバが何かわからなかったですし、よくあるFWとプロキシサーバの構成もいちいち図から時間をかけて読み取っていました。
過去問の経験を積むと、典型的なパターンが自分の中に形作られるので、またこのパターンかという感触になってきます。
約8年分(16回分)を、春期の前に2周、秋期の前に1周して、ようやくその境地に近づいてきました。
実際に書いて解いたのは数回分で、あとは頭の中で答えを作ってからすぐに解答例を見ました。
(一定の論理的思考は求められるとして)技術やアルゴリズム的なロジックよりも、知識や国語力を問われる試験だという印象です。
注に小さく書いてあることが答えに直結するような問題がたくさんあります。
(3)その他
試験要綱・シラバスについて | 試験情報 | IPA 独立行政法人 情報処理推進機構に載っている試験要綱とシラバスにも一通り目を通し、知らない用語や気になる用語は検索して調べました。無味乾燥で頭に入ってきづらい資料ですが、知識に漏れがないことを確認する気休めにはなりました。
3.当日の戦略
午前試験は、過去問と同じで見たことのある問題や自信を持って答えられる問題で、6割くらい正解できればと期待しています。わからない問題でも必死に食らいつき、計算問題では慎重に計算して、少しでも上積みできれば6割を下回ることはないと信じたいです。
午前Ⅰで不合格となり以後の試験の採点がされないことを一番恐れます。応用情報技術者試験の合格により免除される期間内に受けておけばよかったと少し後悔しています。
午後試験は、過去問に取り組んだ感触から、制限字数内で紙に書くことをしなければ、制限時間内に4問全部頭の中で回答を作れるくらいの時間はありそうです。その中から得点率の高い2問を選ぶことができれば合格できると踏んでいます。
攻撃手法やインシデント対応などの大きなストーリーを理解できて、配点の高そうな問題の答えに確信が持てれば、その問題を選びます。同程度であれば、配点の低そうな知識問題の自信も加味します。
分野としては、日々実務に携わっているWeb系とLinuxコマンド系とクラウド系があれば、その問を選ぶ可能性が高いです。ネットワークについては得意意識もなければ苦手意識もないので、問題次第で選びます。マネジメント系は答えに確信は持てないものの国語力でそれなりに解けることが多いため、いざというときに選ぶという構えでいます。日頃からプログラミングをしているエンジニアとしてはセキュアプログラミングを選びたいところではありますが、C++はさっぱり、Javaは使ったことがないけれども読めばそれなりにわかるかも、というレベルですので、選びにくいです。ECMAScript(JavaScript)はセキュアプログラミングというよりはWeb系だと認識しています。
この試験に書かれているような状況に実務で陥ったら笑えませんが、紙の上での試験としては推理小説のような謎解きの楽しみがあるので、せいぜい楽しんできます。