前書き
皆様お疲れさまです。
2025年後期、IPAの高度試験の一つである情報処理安全確保支援士試験に合格したのですが、合格直後にIPAの高度試験の再編が公表されて恐々としておりました、中島です。どうやらセキスペは再編の対象外のようですね。取得資格が早々に型落ちしなくて良かったと胸をなでおろしております。
本記事では私の受験を振り返るとともに、後続の皆様のためにオススメの学習方法について書き記そうと思います。
試験概要
午前Ⅰ:試験時間50分。IT全般についての4択問題。応用情報試験の午前問題と同じ出題範囲。
午前Ⅱ:試験時間40分。セキュリティに特化した4択問題。
午後:試験時間150分。本編。システムの構成図やログなどの資料を提示され、どのような脆弱性があるか、どのような攻撃がありえるか、などセキュリティに関わる具体的な回答が記述式で求められる。
受験所感
私は比較的セキュリティ知識に明るかったこともあり、過去問を用いた50時間前後の短期対策のみでのぞみました。以下結果になります。
午前試験Ⅰは前期の応用情報技術者試験に受かっていたため免除、
午後Ⅱ試験の出題範囲は(というか出題内容も)ほぼ過去問通りでした。
問題は午後試験、合格ラインが60点なのでだいぶギリギリでした…
問い自体は、仕組みを理解した上で論理的に考えれば分かる問題がほとんどでしたが、「何を問われているか」を正確に理解して文字に起こすのが難しかったです。このあたりはもう少し過去問を解いて練習するべきだったと反省しております。試験時間は30分以上余裕がありました。
おすすめの勉強法
- 過去問道場をたくさん解く
特に午前問題の過去問は可能な限り満点をとれる状態で臨みましょう。
というのも、これらの1問1答系の問いは午後試験でも一部出題されます。
記述式の難易度の高い午後試験において、単純記憶だけで解ける問いはサービス問題なので、それらを確実に取るためにも過去問道場は必修です。
- CTF、やりましょう
セキュリティ業務に従事している人でもない限り、具体的な攻撃手法や防御手法をイメージするのは難しいかと思います。CTF(Capture The Flag)とは出題者が用意した仮想サーバを攻撃して重要な情報(flag)を盗み出すことを目的とするゲームであり、サーバに対する具体的な攻撃手法について学ぶことができます。試験の合格を目的とするだけであれば若干過剰な知識にも思えますが、問題文で問われているケースの具体的なイメージが湧くのと湧かないのでは、解答精度, 速度ともに大きな差が生まれるため、時間に余裕のある方は着手することをオススメします。
オススメサイト
HTB:特にStarting Point課題がステップバイステップで問題を解くことができ、最初の1歩に最適です。一部課題はvip会員限定(有料)
https://app.hackthebox.com/starting-point
Portswigger Academy:Web技術に特化したLabが100件以上無料で公開されており、且つ攻撃に役立つドキュメントも充実している神サービス。Web脆弱性の話は午後試験にて頻出です。
https://portswigger.net/web-security/all-topics
3.教科書を読む
暗記物をカバーするために私が利用した書籍を記載します。
出題範囲よりも若干広い範囲を網羅していると感じ、流し読みだけして試験にのぞみました。今思うと、午後試験含め一問一答系の問題をだいぶ落としていたので、もう少し熟読してのぞむべきだったかもしれません。
総括
本試験は私が今まで取得した中でも特に短期記憶の要素が少ない(しっかり仕組みまで理解していないと解けない)難しい試験だったと感じました。過去問が解けないからといって焦らず、ゆっくり一つずつの要素を理解してゆくのが合格のコツであると思います。以上、皆様の学習の一助となれば幸いです。
ご一読いただきありがとうございました。
/assets/images/14284529/original/a344b758-7fab-410e-9118-87398c999b69?1692945921)
/assets/images/21184875/original/3425364c-eb7a-41f1-b44e-b90fbdb42ac9?1747982982)
/assets/images/21184875/original/3425364c-eb7a-41f1-b44e-b90fbdb42ac9?1747982982)
