未分類

令和７年度秋期情報処理安全確保支援士試験を受けました

投稿日 2025年10月13日 1:36 PM by 浅野直樹 Comment

令和７年度秋期情報処理安全確保支援士試験を受けてきました。

受ける直前の記事は令和７年度秋期情報処理安全確保支援士試験を受けますです。

以下、感想と再現答案です。

午前Ⅰ

１周目でそれなりに解けた感触があり、２周目で迷った問題や計算問題の答えを出して、解答用紙にマークしました。

思考プロセスの一部を紹介します。

問３は、m行n/m列だから、列の平均がn/2mで行の平均はm/2で、これらを足したものが選択肢イにあったので選びました。

問７は、aが１でbが0で、このときだけ１になるものを選べばよいから、足し算は１となる組み合わせが２つあるのであり得ず、選択肢アが条件を満たすと考えました。

問１０は、２つのLANの差から考えるので、パケットの個数が同じだからパケットの送信間隔は気にせず、全部ビット単位で考えたほうが計算しやすそうだったのでビットに揃え、方程式を解いてウを選びました。

問１９は、少なくとも８人月余計にかかるから８００万円以上になるはずなのに選択肢の最高額が７００万円でどうしようかと悩みました。他のプロジェクトを手伝うためにこのプロジェクトから外れたメンバーの人件費は計上しない理屈なのかとひらめき、それなら教育期間の４人月×半月＝２００万円でアと考えました。

問２９は、機械１時間当たりの利益が商品Aが１５００円で商品Bが１２５０円だからほかに制約条件がないこの問では全部商品Aを作る、１５０００時間だから８で割り切れるので商品Aが整数個作れるので、１時間当たりの利益から合計の利益を単純計算し、固定費を差し引いてイとしました。

正解と照らし合わせると、問１９は間違っていました。私は単純に４人増員すると考えてしまいましたが、引き継ぎ期間の元のメンバー４人分の遅れを取り戻すために増員が必要になるのは５人で、引き継ぎ期間の２５０万円と８月９月の１００万円ずつで合計４５０万円というウが正解です。

２５／３０正解できたのでここは通過できました。

午前Ⅱ

見たことのある問題がけっこうありましたが、これは無理だという問題が３〜５問あり、厳しいなと感じました。

１周目で自信のある問題を埋め、２周目３周目と少しずつ埋めていきました。

ほぼすべて知識問題で、計算問題は問２４だけですね。これは過去問にあったような気がしました。最初から織り込み済みの停止時間は分母にも分子にも含めないのがポイントです。あとは月の日数から時間数を算出し、割り算するだけです。計算を間違えるといけないので、停止時間を分子にした場合と提供時間を分子にした場合の両方を計算して、一致するのを確認しました。

２１／２５正解できたのでここも通過できました。

午後

全体

問題冊子全体にざっと目を通して、問１はWeb系だからおそらく選ぶ、問２は難しそう、問３はネットワーク系で問４がマネジメント寄りかなという印象を得ました。

令和７年度秋期情報処理安全確保支援士試験を受けますで書いた方針に基づき、すべての問について頭の中で答えを作っていきました。

問１はスクリプトも比較的単純で意図がわかりやすく、Excelファイルに偽装したファイルにスクリプトを仕込んだことも明白でしたから、大きなストーリーをつかめた感触があり、早めに解答用紙に書いていきました。

問２は設問２のサイドチャネル攻撃の一般的な定義は知っているとしてもこの場合の内容がわからず、その後の問題も難しそうに見えたので、飛ばす方向にしました。

問３は最初のDNS関係の知識問題は１〜２問どうにかできそうという今ひとつな滑り出しでしたが、あとは問題文をじっくり読めば何とかなりそうでした。問題文が長いのはそれだけヒントも多いだろうと好意的に捉えられました。

問４は「未知の」と「暗号化」かなと最初の空白は埋められそうで権限の設問も問題文をよく読めば答えられそうに思いましたが、主なストーリーである後半部分の手がかりを思いつくことができませんでした。

ということで問３を頭の中で解き進め、いけそうならこれを選び、ダメそうなら問４に挑戦するという戦略を立てました。

問１

設問１は、SAMEORIGINに着目してaはできない、Content-Security-Policyのselfに着目してbもできないにしました。

設問２の（１）は、元従業員のZが管理者権限を不当に取得するというストーリー（スクリプトの内容を参照）から、ロール管理としました。

（２）は、タスク名ですね。一瞬タスクの詳細説明かとも思いましたが、プロジェクト進捗管理で詳細説明は表示されずタスク名は表示されるのでこちらが正解でしょう。

（３）は個人タスク<script src=”/files/F1234567890.xlsx”></script>としました。図２の正常なタスク名と見比べて慎重に抜き出しました。

（４）はeが管理者、fが締切日を過ぎた、gが管理者ロールを設定するとしました。eは利用者かなと最初は思いましたが、表１をよく読んでこの処理は管理者しかできないと気づきました。

（５）は、CSPの設定で防御できていたという記述から（CSPが何かわからなかったのですが、Content-Security-Policyのことだろうと思い至りました）、工夫前は直接スクリプトの文字列を書いていたのだろうと想像し、スクリプトを仕込んだファイルをスレッドにアップロードし、そのファイルを参照すると書きました。「スクリプトを直接書くのではなく」といった内容も含めたかったのですが、解答欄が足りませんでした。他サイトではなく自サイトのスレッドにファイルをアップロードするのが一つのポイントですから、そこは外せないと思いました。

設問３の（１）は、テキストファイルとして開き、スクリプトが含まれていないことを確認するとしました。Pythonで言うならrbではなくrでファイルをオープンして、scriptのような文字列を検索するイメージです。

（２）はプロジェクト進捗管理としました。最初は入力時にエスケープ処理をすると考えてタスク管理と書きましたが、htmlへの出力時にエスケープ処理をするほうが自然かと思い直して書き直しました。

（３）はHTMLで特別な意味を持つ記号<と>をエスケープ処理すると書きました。設問で「具体的に」と指示されており、<と>を具体化しました。<のような内容も書こうかと思いましたが、自信がなかったことと「エスケープ処理」という表現を入れたかったので、この記述に落ち着きました。本文中に「類似の問題がないかどうか」とあったので、<と>をエスケープすればいいだろうと考えました。

設問４は、SASTが何かわからず、頭をひねった挙句、専門家による手動での検査にしました。これなら文句はつけられないだろうという判断です。

アルファベットの頭文字の略称は覚えきれないのでやめてほしいです。

問３

設問１の（１）はDNSSEC、（２）のbはDoS、cはTLSと書きました。調べてみると、DoSではなくDoHが正解のようですが、仕方ないです。

設問２はイ、アとしました。eは通常なら表示されないポップアップ画面に入力されたものだからアなのは間違いないだろうと考え、dのほうにアを出すならあとでeを出す必要がないのでイだろうと考えました。

インターネットバンキングは大きなテーマの割にこれだけしか設問がないのかと拍子抜けしました。

設問３は、Kサービス設定サイトへのアクセスを許可する接続元IPアドレスとしてa1.b1.c1d1を設定するとしました。なるべく問題文中の表現を活用しました。解答用紙に「1」と書くときに私が普通に書くと「l」のように見えたので、不自然になるのを覚悟で縦棒の上と下に付け足しました。

設問４の（１）は、各取引先サービスで行っている接続元IPアドレス制限について、P社の契約者専用のKサービス用固定グローバルIPアドレスからの接続を許可してもらうと書きました。問題文中の表現を最大限活用するという姿勢は変わりません。「接続を許可してもらう」と「接続も許可してもらう」のどちらにしようかと数分悩んだ挙句、全体利用も想定しているので「を」のほうにしました。過去問で「も」が模範解答になっていた問題を思い出しました。

（２）は、ざっくりと基本サイトのことかと考えたあとで、それにしては解答欄が不自然に広く、基本サイトの周囲をよく読み、OSベンダーのOSアップデート配布サイト及びQ社のマルウェア定義ファイル配布サイトとしました。この２つはKサービスへの接続前に接続する必要があるのに対し、VサービスとP社専用WサービスはKサービスへの接続後に接続すると想像しました。問題文中の後二者はWebブラウザのブックマークに登録するという記載がヒントだと解釈しました。２つのサイトをつなぐ文言を「及び」にするか「と」にするか迷いましたが、A、B、C、D及びEという形になっている問題文を参考にして「及び」にしました。

設問５の（１）は、認証方式１でSMS通知を受ける１件の電話番号を利用者ごとにあらかじめ登録するにしました。ここでも問題文中の表現を最大限利用するという姿勢です。「利用者ごとにあらかじめ」とまで最初は書いていませんでしたが、時間があまって見直ししているときに消しゴムで消してそれも追加しました。

（２）は、Kサービス接続時に接続元PCのOSのバージョンをチェックし、移行前のバージョンであれば接続を拒否するようP社の管理者アカウントで設定するとともに、ログから接続を拒否されたPCを割り出してそのPCの利用者にOSの移行を促す声かけをするとしました。これで解答欄をちょうど使い切るくらいの分量です。システム的（技術的）な施策と運用的（人間的）な施策の両方を欲張って盛り込みました。ここでも問題文の表現を最大限活用しています。バージョンXとかバージョンYのように具体化しようか迷いましたが、下線③の直前にはそのような具体的な名前が書かれていなかったのでやめました。

全体

ベストは尽くせたという手応えです。

午後の問題選択には迷わず、問１と問３を選んだことに悔いはありません。

問１はLaravelやDjangoでWebアプリを作る仕事をしてきたのが生きました。

問３は国語力勝負ですね。

この試験を受けることをきっかけにして、セキュリティについて集中的に学べてよかったです。

カテゴリー:
未分類

令和７年度秋期情報処理安全確保支援士試験を受けます

投稿日 2025年10月10日 10:26 AM by 浅野直樹 Comment

明後日の１０月１２日に令和７年度秋期情報処理安全確保支援士試験を受ける予定です。

受験後は感想と再現答案をアップする予定です。

１．受験に至る経緯

３年ほど前に基本情報技術者試験と応用情報技術者試験を受け、ITエンジニア関係の仕事の比重を増やしてきました。

仕事の関係でセキュリティに力を入れようと思い立ち、情報処理安全確保支援士試験の受験を決めました。

IT系ではないとある職場で、リモートワークをするには有償のウィルス対策ソフトを入れなければならないと言われ、Linuxで無償のClamAVを使っているために諦めたという悔しい体験も原動力になっています。

そういうこともありセキュリティに詳しくなりたいと思ったわけですが、参考書でも過去問でも無償のウィルス対策ソフトはダメで有償ならいいという記載はついぞ見ることはなく、セキュリティの技術的な問題ではなく経営判断や社内政治の問題だと再確認した次第です。

実は今年の春期の受験申込みをして受けるつもりでいたのですが、試験前日に腰を痛めて動けなくなり、泣く泣く断念しました。

半年ほど期間が空いたのでモチベーションを維持するのが難しかったです。

その期間中にLPIのSecurity Essentialsを受けて合格しました。

LPI公式にはSecurity Essentialsという英語版の学習教材しかまだありませんが（試験は日本語で受けられます）、情報処理安全確保支援士試験とは重複する内容を違った切り口から扱われているので、気分転換をしながら学習することができました。

２．学習記録

（１）本

以下では現時点での最新の版を紹介しますが、昔に読んだり中古で安く手に入れたりした本があるため、自分が読んだ本と版が一致するとは限りません。

体系的に学ぶ安全なWebアプリケーションの作り方 : 脆弱性が生まれる原理と対策の実践

作　者：　

出版社：　SBクリエイティブ

発売日：　2018年07月12日

いわゆる徳丸本です。情報処理安全確保支援士試験を受けることを決めるずっと前に、Web関係の実務に携わる際にお世話になりました。試験対策としてもこの本をおすすめします。

セキュリティ技術の教科書 : 情報処理安全確保支援士試験

作　者：　

出版社：　アイテック

発売日：　2023年03月31日

タイトルの通りの本です。一般書と資格対策本の中間のような感じです。

情報処理安全確保支援士 : 対応試験SC

作　者：　

出版社：　翔泳社

発売日：　2024年11月27日

網羅的な資格対策本です。最初のインプットにうってつけです。私は春期の受験前に２周、秋期の受験前に１周しました。

情報処理安全確保支援士ポケット攻略本 : 要点早わかり

作　者：　

出版社：　技術評論社

発売日：　2022年10月06日

資格対策本が一冊だけでは不安で別の角度からもアプローチしたかったので、二冊目としてこれを選びました。コンパクトにまとまっています。

うかる!情報処理安全確保支援士午後問題集

作　者：　

出版社：　日経BP日本経済新聞出版

発売日：　2023年07月11日

春期に受験できず、同じ本だと飽きるので、これを入手しました。表紙からチャラい本なのかと思いましたが、中身はしっかりしていて、午後試験の対策本として優秀だと感じました。秋期の受験前に２周しました。

情報セキュリティの敗北史 : 脆弱性はどこから来たのか

作　者：　

出版社：　白揚社

発売日：　2022年11月24日

試験とは関係なく、以前に興味から読んでいました。試験にとどまらず広い視野を得るのにいいと思います。

カッコウはコンピュータに卵を産む

作　者：　

出版社：　草思社

発売日：　2025年04月28日

これも試験とは関係なく趣味で読んでいました。古い本です。楽しみながらセキュリティの感覚を養うことができます。

（２）過去問

午前Ⅰ

応用情報技術者試験の午前試験と同じ問題であり、そう遠くない昔に同試験には合格しているので、そのときの状態に戻すことができれば大丈夫だと思いました。

『応用情報技術者合格教本』をもう一度読み直し、応用情報技術者過去問道場｜応用情報技術者試験.comをコツコツ解いています。

午前Ⅱ

こちらも情報処理安全確保支援士過去問道場｜情報処理安全確保支援士.comに頼り切っています。上で紹介した本でインプットしたら、あとはひたすら過去問を解けばいいと思います。

午後

この午後試験が勝負です。分量が多くて圧倒されます。私は文章を読むのが好きで読む速度もかなり速いほうですけれども、それでも何度かくじけそうになりました。

どの試験でもそうですが、早めに過去問に触れて、その試験の世界観に馴染んだほうがよいです。

私は、最初の頃、C&Cサーバが何かわからなかったですし、よくあるFWとプロキシサーバの構成もいちいち図から時間をかけて読み取っていました。

過去問の経験を積むと、典型的なパターンが自分の中に形作られるので、またこのパターンかという感触になってきます。

約８年分（１６回分）を、春期の前に２周、秋期の前に１周して、ようやくその境地に近づいてきました。

実際に書いて解いたのは数回分で、あとは頭の中で答えを作ってからすぐに解答例を見ました。

（一定の論理的思考は求められるとして）技術やアルゴリズム的なロジックよりも、知識や国語力を問われる試験だという印象です。

注に小さく書いてあることが答えに直結するような問題がたくさんあります。

（３）その他

試験要綱・シラバスについて | 試験情報 | IPA 独立行政法人情報処理推進機構に載っている試験要綱とシラバスにも一通り目を通し、知らない用語や気になる用語は検索して調べました。無味乾燥で頭に入ってきづらい資料ですが、知識に漏れがないことを確認する気休めにはなりました。

３．当日の戦略

午前試験は、過去問と同じで見たことのある問題や自信を持って答えられる問題で、６割くらい正解できればと期待しています。わからない問題でも必死に食らいつき、計算問題では慎重に計算して、少しでも上積みできれば６割を下回ることはないと信じたいです。

午前Ⅰで不合格となり以後の試験の採点がされないことを一番恐れます。応用情報技術者試験の合格により免除される期間内に受けておけばよかったと少し後悔しています。

午後試験は、過去問に取り組んだ感触から、制限字数内で紙に書くことをしなければ、制限時間内に４問全部頭の中で回答を作れるくらいの時間はありそうです。その中から得点率の高い２問を選ぶことができれば合格できると踏んでいます。

攻撃手法やインシデント対応などの大きなストーリーを理解できて、配点の高そうな問題の答えに確信が持てれば、その問題を選びます。同程度であれば、配点の低そうな知識問題の自信も加味します。

分野としては、日々実務に携わっているWeb系とLinuxコマンド系とクラウド系があれば、その問を選ぶ可能性が高いです。ネットワークについては得意意識もなければ苦手意識もないので、問題次第で選びます。マネジメント系は答えに確信は持てないものの国語力でそれなりに解けることが多いため、いざというときに選ぶという構えでいます。日頃からプログラミングをしているエンジニアとしてはセキュアプログラミングを選びたいところではありますが、C++はさっぱり、Javaは使ったことがないけれども読めばそれなりにわかるかも、というレベルですので、選びにくいです。ECMAScript(JavaScript)はセキュアプログラミングというよりはWeb系だと認識しています。

この試験に書かれているような状況に実務で陥ったら笑えませんが、紙の上での試験としては推理小説のような謎解きの楽しみがあるので、せいぜい楽しんできます。