今回は情報処理安全確保支援士ついてです。旧セキュリティスペシャリストというやつですね。

前提
非情報系大学出身で中の下くらいのスペックの筆者がIT資格をどのような経緯で受験し、どのような方法で学習し、その結果どうなったのかを、本音ベースで伝える。

受験の目的

基本、応用、と取得してくると高度も取らんかい…という感じになって来るわけで…
結局のところ上司もそれより上の経営陣とかの立てた会社方針に従って合格者を出さなきゃいけないノルマを達成しなければならないのでそういう動機付けをしてくるということは自分も理解しているのですが、最近の若い子って自分の時間を資格の時間なんかに費やすやついないんですよね…
自分には才能や技術力はないですが、「目標の達成に向けて粘り強く取り組む」みたいな昭和的な姿勢は備わっているので、自頭がないなりに努力して合格を目指します。

受験状況

合格日：令和2年度10月試験にて合格（2020年10月）
受験地：東京都千代田区
受験回数：2回
報奨金：6万円 + 受験料返還
2019年秋期に1回目の受験をしましたが午後Ⅱで落ちました。
続く2020年春期はコロナで試験中止となったので、2020年10月に2度目の受験をし、無事合格することができました。


筆者のスペックは以下の2020年10月頃の状況を参照。 (https://y-sakurai-0112.hatenablog.com/entry/2022/01/14/004828)
相変わらず海外向けのメカトロ開発をやってますが、2020年というととにかく、コロナですね。
2020年4月頃からテレワークになりました。加えて、コロナ影響で顧客の予算の縮小され機器が売れない、現場で機器のテストが進まないなどの事情があり、正直かなり時間を持て余していました。

学習について

学習期間：試験1か月前くらいから
学習場所：会社（就業中）
学習方法：過去問、参考書

攻略法

午前問題

午前に関してはこれまでも言ってきた通り、ひたすら過去問を解くのが正解だと思います。
安全確保支援士の午前Ⅰ問題は応用情報の午前問題と同じですので、お馴染み応用情報過去問道場の出番です。
午後Ⅱも基本的に過去問からの流用なので、以下の過去問サイトで過去10期分くらいを「問題文の冒頭を見ただけで選択肢が分かる状態」になるまで繰り返し解きましょう。
このレベルまで暗記するのは少しハードルが高いように聞こえるかもしれませんが、過去問道場はワンクリックするだけで回答でき思いのほか速い速度で繰り返し学習が可能で、あっという間に記憶できると思います。
過去問道場のURLは以下。

応用情報技術者試験ドットコム 過去問道場(https://www.ap-siken.com/apkakomon.php)
情報処理安全確保支援士ドットコム 過去問道場(https://www.sc-siken.com/sckakomon.php)

午後問題

午後は正直運なんじゃないかな…というのが本音。自分の業務領域に近い問題や実際に経験したことがあるインシデント等について出題されたらラッキーという感じで。基本的には過去問による学習で問題ないと思いますが、日々のITサービスやトレンド技術の発展とともに時代遅れな事例は淘汰されて行くと思いますので、古すぎる問題まで掘る必要はないと思います。

応用情報の対策にも書きましたが、過去問を解くというよりは問題と解答を照らし合わせて眺めることで、この設問ではこういう観点の問題が出るんだなぁくらいの学習で良いのではないかと思います。
IPA公式過去問(https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html)

セキュリティ事例を意識して

先述の通り、セキュリティ案件は日々変わっていくものです。自分が合格した2020年10月の試験ではQRコード決済について出題されましたが、自分は現金を使わないのでバーコード、QR決済などのアプリはかなりヘビーユーザーでしたのでシステムや問題点については非常にイメージしやすく、この部分に関しては得点率はかなり良かったのではないかと思います。
当時は「セブンペイ」の問題とかもあり、このような電子決算のセキュリティについては社会的にも取り上げられてきたので、問題として出題されるのも納得できます。
さらに言うと、全く褒められたことではないですが業務でウィルス騒動を起こしてしまったことがあります。海外パートナから受領したDVDイメージをマシンに展開したらマルウェア入ってたという…そういう経験もセキュリティを意識する上では重要ですよね。

話を戻しますが、個人的に2022年3月時点でトレンドっぽいセキュリティ事案といえば、
- QR、バーコード決算
→これはまだ現役だと思います - 通販サイト、クレカなどのお客様サイト系
→これはトレンドというか鉄板ですね
- クラウドシステム
→これぞトレンドですね。オンプレシステムのクラウド化に伴い、クラウドシステムに特化したセキュリティについては出てもおかしくないんじゃないかなと思っています。アカウント/パスワードの正しい運用、パッチ最新か、暗号化、外に繋がるようなネットワークはないか、人的要因（コンプライス遵守）、災害対策、障害発生後の対応とか…
- テレワーク時のセキュリティ
→これは近いうちに出るんじゃないかな…
PC持ち出しに伴う情報管理、コンプライアンス、社内NWへ接続するときの課題とか、チャット/電話会議ツール…

という具合に、自分にしては珍しく正攻法なことを書きましたが、世の中のセキュリティ事案に目を向けておくのは大切なことだと思います。

参考書

そんな中で重宝したのが以下のポケットブックです。
まさに"攻略本"のような使い方が可能で、〇〇といえば〇〇、というようなセキュリティ事例と回答/対策をセットに紐づけて覚えるのをサポートしてくれます。ざっくり読んでおくだけでも午後の対策としては十分でした。
本文中にオタク文法みたいな感じな書かれ方が散見するのは好き嫌いが分かれるかもしれませんが、個人的には読みやすかったです。

合格してみて

個人的に驚いたのが、応用情報の合格にあれだけ苦労したのに、一応高度情報処理である本試験に2回で受かってしまったことです。あくまで個人の感想ですが、応用情報より明らかに簡単に感じました。過去の自分と比べて成長した結果なのか…？いややっぱり簡単だったかも…
上でも書いた通り、QRコードが出題された"運"と、"セキュリティやらかし"を経験していること、あとは弊社はコンプライアンス教育が行き届いているので技術的なところ以外でのあるべき論とかについては弁えているつもりです。
実務への応用ですが、セキュリティに対する"一般論"を持つうえでは非常に役立つ資格であると感じました。この資格を保有しているからと言って、100％セキュアなシステム設計ができるかと言われるとそりゃ答えはNoですが、「常識的に考えてここは抑えましょう」くらいのことは備わるのではないかと思います。ネットワークやソフトウェアの設計ならスペシャルな方はできますが、アカウント運用、物理的・人的な運用課題とかには案外目が届かなかったりするんですよね…
「そんなん起こるわけないやん…」は意外と起こりうる、そういうところに目を向けられる人材への手掛かりになる資格なのではないかと感じています。