あけましておめでとうございます。佐野です。
今回は学生時代に受験した情報処理安全確保支援士試験について書き連ねていこうと思います。
受験したのはもう2年以上前ですが……。
情報処理安全確保支援士試験の概要
情報処理安全確保支援士試験は、IPA(情報処理推進機構)が主催する国家試験であり、情報セキュリティに関する問題が出題されます。
合格すると国家資格「情報処理安全確保支援士」となる権利を得ます。
午前Ⅰ試験、午前Ⅱ試験、午後試験の3つで構成されており、全ての試験で60点以上得点すると合格となります。
筆者の受験概要
受験時期:令和5年度秋
勉強期間:半年(300時間くらい)
得点
午前Ⅰ:免除
午前Ⅱ:76点
午後:85点
結果 :合格
当時はネットワークスペシャリスト試験に合格し、情報処理安全確保支援士試験にはネットワークセキュリティの出題もあるため、有利であると考えました。また、セキュリティはどのような職種に就くにしても、IT業界で働く人間にとって必須の知識であると考え、受験を決めました。
午後試験について
午後試験では、次のような内容が出題されます
・セキュアプログラミング
・ネットワークセキュリティ
・暗号化
・リスク管理
・インシデントハンドリング
・Webアプリケーションの脆弱性
・認証/認可
・ログ
セキュアプログラミング
セキュアプログラミングでは、エスケープ処理(特別な意味を持つ記号を安全な文字に置き換える)など、プログラムを書く中では必ず出てくる知識の習得に役立ちました。
ネットワークセキュリティ
ネットワークセキュリティでは、ファイアウォールによる境界防御、IDS(Intrusion Detection System)による攻撃の検知、VPNによる暗号化通信などが出題され、ネットワークの知識が問われます。
暗号化
暗号化では、暗号アルゴリズムに関する問題が出題されます。AESにおけるECBモードやCTRモードの違い、ビットセキュリティに関する計算など、少々マニアックな問題も出題されています。CRYPTREC暗号リスト(電子政府推奨暗号リスト)をよく確認しておくことが大切です。
リスク管理
リスク管理では、リスクの発生頻度や被害の大きさをもとにリスクレベルを評価し、管理策を検討するというような出題がされます。
インシデントハンドリング
インシデントハンドリングでは、マルウェアの感染などインシデント発生時のインシデントレスポンスチームの活動に関して出題されます。データの証拠保全を意味する「デジタルフォレンジクス」という言葉が特に重要です。
Webアプリケーションの脆弱性
Webアプリケーションの脆弱性では、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、クリックジャッキングなどが出題の定番です。各攻撃手法の特徴と対策をよく理解することが大切です。
認証/認可
認証/認可では、シングルサインオン(SSO)がよく出題されます。SAML、OAuth、OpenID Connect(OIDC)、ケルベロス認証などの仕組みを理解しておく必要があります。
また、認証と認可の違いを説明できるとよいです。認証は操作している主体が本人であることを確認すること(エンティティ認証)、認可は認証をしたうえで主体に適切な権限を付与することです。
ログ
ログでは、サーバーなどに記録されたログを分析し、攻撃の痕跡や不正な挙動を特定する問題が出題されます。
最後に
情報処理安全確保支援士試験は単なる暗記ではなく、理解力や思考力が問われる試験です。
繰り返し過去問を解くことで、出題されやすいテーマや問われ方が見えてきます。
みなさんもぜひ挑戦してみてください。