【情報処理技術者試験】H31春SC(情報処理安全確保支援士試験)挑戦記
平成最後の情報処理安全確保支援士試験。合格しました!!
サマリ
H30秋にも受験したんですが不合格だったので、今回リベンジで受験!
そして見事リベンジ!!
良かった!!!
点数は、正直にいうとTACの解答速報に比べて高め。
割と「きつめ」に自己採点したというのはあるが、今回のTACの解答速報の結果から見た自己採点結果は
- 午前2:68点
- 午後1:68点
- 午後2:60点
だった。
蓋開けてみると午後1が85点(自己採点+17点)、午後2が66点(自己採点+6点)だったため、きつめに採点したことが功を奏して安心感に拍車をかけたのかな、というのは素直な実感である。
ただ午後1は正直「本当にきつめ」に自己採点したので、(例えば解答メモ忘れで正誤不明なため、最悪を考えて誤りにしておくなど)上の「午後1:68点」という見積は正直なところ「最低でもこれくらいは取れてるな」というボーダーラインだった。
逆に言えば、午後1は「68点よりは高いだろう」とは思っており、通過している自信があった。
そういう意味で、今回の合格にむけての鬼門は午後2であり(まあ大体の人がそうだと思うが)、自己採点結果でも60点と、かなりギリギリの位置にいたこいつがすべての運命を握っていた。
正直なところ、1年半前に受けた応用情報はそこそこ自信があり、合格発表は「最終的な確認をするための儀式」の意味合いが強かったものだったが、今回は午後2のギリギリさがずっと心配で、本当にこの2か月は長く感じた。
合格者の受験番号に自分の番号を見つけたときに、心底ホッとしたのを覚えているw
余談だが、午前2に関しては結果がずれたのは不思議。
知っての通り、完全な四肢選択式である午前2に関しては、正解がきっちり決まっているため、記述式の午後問題と比較しても、自己採点結果と完全一致するのが通例なのだが、自己採点より1問正解数が多い計算になる。(自己採点68点、結果72点)
これに関してはTACの解答速報に加え、確かIPAの解答とも照らし合わせてきっちり「68点」と思ってたんだが、なんか+1問追加で正解してる。
どれだろう?
問題用紙にメモったのと違うのにマークしてて、そのマークミスが逆に正解だったとかいう奇跡が起きたとか?
まあ受かってるから結果どうであれなんでもいいんだけども。
ちなみに参考までに(?)前回H30秋のことを少し書いておくと。。。
自身のカメラロールとか探しても、悔しかったのかw、記録残していないようなんだが、H30秋の記録は確か
- 午前2:64点だか68点だか
- 午後1:65点だかなんだか
- 午後2:50点だかなんだか
で、不合格だった。
このときは正直、「奇跡でも起きない限りは合格しないだろうなあ…」とは思っていたんで、淡い期待はあったものの、結果は大体想像通り不合格。
午後2まではいったものの、午前2・午後1いずれも60点台の通過だし、それらもギリギリの辛勝といったところ。
純粋に実力(知識)が足りなかったな、というのを実感した回でもあった…
ただ、TACの解答速報と照らし合わせた限りでは、午後1で死んでいた想定だったので、午後1を通過していたのは個人的に意外だったのを覚えている。
逆に言うと、午後1を奇跡的に通過したら午後2は受かってる自信があったので、それもあって、午後2で死んだのには何か違和感を感じた。
試験官的にも午後1で足切りしたほうが楽なはずなのに、午後1通過させてくれたのはありがたいというか、お手数かけましたというか…
まあ結果的に受からなかったんだから50点だろうと1点だろうと同じなんだけどね。
試験会場
相模女子大だった。
そう、ここ「女子大」なのよね。
受験者の人口比率でいうと過半数が男性であろう情報処理試験において女子大という試験会場のチョイスはなんとなく不整合というか違和感を思わせる。
まあ会場がそこしかなかったんだろうから仕方ないだろうけど…
特に違和感を感じたのは「便所」ですな。
女子大だから当然キャンパス内には女子トイレしかないわけですけど、そこで用を足さなければならない事態に違和感があったのは間違いない。
ここのキャンパス、広くてゆったりしてていいなと思った。
俺が通ってた大学の、特に後半3年間通ってたほうは、大都会東京の雑踏の中にコンクリートのビルを複数建てて無理やり「キャンパス」と名乗ってた感が強く、当時からこういう「ザ・キャンパス」っていう感じのに憧れがあったんですわ。
だからこういう「ザ・キャンパス」ってところで大学生活が過ごせるのは羨ましい…
まあ今更どうだっていいんだけどね(´・ω・`)
午前二試験
「思ったより過去問出たな」という印象。
明らかに過去問の流用とわかるもの、微妙に違うがほとんど過去問と同じとみなしていいもの、大きく2種類あったが、個人的な計算によるとこれら合計して11問あった。(※あくまで個人の判定基準に基づくものなので正確性はないです)
これ全部合ってるだけで44点になる計算。
まあそれでも受からないんだが。
でも昔の過去問見る感じだと、完全流用過去問ってもっと少なかった(感覚的に7~8問)気がするから、今回はその辺ボーナス度が高い気がした。
前回(H30秋)に出てきた「マルウェアMirai」みたいな「;´・ω・`)!?」ってなるような問題は今回はなかった。
けど、問5の「仮想通貨環境において、報酬を得るために行われるクリプトジャッキングはどれか」は、昨今の情報セキュリティ分野のトレンドが反映されてる感じがした。
あと、問18の「無線LANの隠れ端末問題」は過去問では見たことなかった気がするなあ(偶然知ってたけど)。
問20「SNMPv3で使われるPDUのうち、事象の発生をエージェントが自発的にマネージャに知らせるために使用するものはどれか」も見たことなかった(し、こっちは知らなかったのでミスったw)
マッシュアップは人気根強いっスね。(今回も問23で登場)
過去問でも3~4年前を最後に見かけた記憶がなかったからもうトレンド外かと思ったら、忘れたころにまた出てくる。
応用情報の午前問題にもいたような気がするが。
この辺の「伏兵」がたまーにポツっと出てくるから油断は禁物である。
午後一試験
選択は問1と問2。
問1に関しては、つい最近仕事でCORS問題(Cross-Origin Resource Sharing)に対策するためいろいろ調べたりすることがあった関係で、正直なところラッキー問題だった!
同一生成元の判断基準(FQDN、スキーム、ポート)とかも普通に知ってたし、仕事の内容がしっかり生きた感じ。
自己採点でもほぼ満点に近い点数だった。
問2を選んだのには特に意味がないんだが、問3の選択肢見たときに見慣れない単語が並んでいたのを見て、問2に路線変更した。
ただ、問1が上述の通り、ほぼ満点近い点数取れてるなと自信があったので、問2か問3か選ぶのにそんなに躊躇しなくてよかったのは、心の安定になってよかったなという感じ。
余談だが、問2設問(2)に関して、5ちゃんの本スレで、試験後1~2週間にわたって「ウアエイ」「エイウア」論争が続いていたのが記憶に根強く残っている。
これは、ID管理製品の署名や検証のフローの中で、どのタイミングでどの鍵を渡すか、を当てはめていく問題で、c、d、e、fと4つの空欄に、それぞれ秘密鍵か公開鍵かを選択していく。
問題文の中で、「cを用いて署名を生成」という文面があるので、「cに使うのは秘密鍵」というのは容易に想像がつくんだが、選択肢の中に「ウ:秘密鍵A」「エ:秘密鍵K」と、「秘密鍵」が2つあって、「どっちだ!?」となって。
同様に、「dを用いて署名を検証」という文面から、「dに使うのは公開鍵」というのもすぐにたどり着くんだが、選択肢の中に「ア:公開鍵A」「イ:公開鍵K」の2つの「公開鍵」があって、これまた「どっちだ!?」と。
同じような組み合わせがeとfに関しても用意されている。
c→d、e→fは秘密→公開のペアであることまではみんなわかってるんだが、どっちの鍵なのか?でスレ住民の間で意見が割れていた。
これ、そこまでわかっているので、理屈を無視して完全に確率の話だけすると、実質「ウアエイ」「エイウア」の2択になるのだ。
cで「ウ:秘密鍵A」を選択するとdは「ア:公開鍵A」しかなく、残る秘密鍵は1つしかないので必然的にeは「エ:秘密鍵K」対応するfは「イ:公開鍵K」になり、→これが「ウアエイ」派
逆にcを「エ:秘密鍵K」にするとdは「イ:公開鍵K」しかなく、残るペアで必然的にeが「ウ:秘密鍵A」fが「ア:公開鍵A」になる。→これが「エイウア」派
この2大派閥でもめていたと。
本スレにいたので実際流れは見ていたんだが、最初優勢だったのは「エイウア」派だった。
誰かが言い出したことに便乗し、「俺もエイウアだわ」みたいのが何人か出てきて、一大勢力になっていったと。
当初は、その流れの中で「ウアエイ」を言うと「はい残念wwまた秋頑張れやww」みたいな煽りが出てくるくらい、「ウアエイ」は劣勢だった。
ただ、あるとき「ウアエイ」を根拠も含めてこうだ、と言い出したやつが出てきて、「エイウア」のやつが「あっよく考えてみたらそうかも、オワタ」と言い出すと、一気に流れが変わり、「ウアエイ」派優勢になっていった。
そのうちTACの解答速報で「ウアエイ」が伝えられると、答えが(ほぼ)決定的になったこともあって、語るやつも減って自然と論争は消えていった。
これが、TACの解答速報前にやり取りされてるってのがまた面白い。
有力な第三者から「答え」が告げられる前に、みんなで喧々諤々してる感じは、5ちゃんとはいえ「議論」してるなあって感じで面白かったなあ。
ちなみに一応言っておくと私は「ウアエイ」ですw
ただ、実は最初「エイウア」にしてて、あとで見直したときに「ん?ウアエイだなこれ」と思ってやり直したのである。
これに関して言えば、当時の俺GJと言わざるを得まい!
とはいえ、本スレの論争当時の「エイウア」優勢時には「オワタ…(;´Д`)」と思って絶望はしていたw
人間というのは大衆心理に左右されやすいもんだなあ…
午後二試験
選択は問2。
設問1は「営業機密の管理規則」として「[ ]性」という空欄が3つ用意され、そこに選択肢ではなく記述式で単語を埋めろという鬼問題!
いわゆる過去問等でいうところの「耐タンパ性」とかと同じで、知ってなきゃ絶対解けない(問題文中に答えやヒントがなく、純粋に知識が問われる)問題である。
確かに午前問題で数回見たことあるけど~って感じだが、どう頑張っても正答がひねり出せない。
勿論全部間違えだった(;´Д`)
これ解けたやついるのかな…
まあ中にはいるんだろうなあ…
あと、同じように「知ってなきゃ解けない」問題で、今回も「CRYPTREC」が出題された。
これは直近2~3年の過去問にも数回出てきていた印象で、重要なキーワードなんだなと改めて実感した。
ここに関して言えば過去問やっててよかったなという感じ。
「初期パスワードをランダム文字列にする」とかいう答えは、なんとなく、習慣的・感覚的にそういう答えは導き出せるんだけど、「初期パスワードをランダム文字列にする機能がある」ということを明示的に記載していないのが何となくひっかかるところで、「引っかけないんじゃないか?」と勘繰ってしまった。
なんか過去問見ても「そういう機能があることが明示的に記載されていない」ことを理由に×になってる解答例もチラホラ見かけた記憶があったので、迷った。
関連の話題として、「暫定対処として、不正侵入されたIDのパスワードを変更する」という答えがあり、これについて5ちゃんの本スレ住民で「当該IDを無効化する」という解答例を挙げてる人がいて、その人に対して「ID無効化機能があるとは書いてない」というのをレスしてた人がいて(まあそりゃそうだろうけどさ…)と思ったのも覚えていて、上記の話とも関連してるなあ、と。
実際同じ現場に遭遇したとき、俺はたぶんそのIDを無効化して利用禁止にするな(なんならバックアップだけ取ってDB(ユーザーマスタ的なやつ)からレコードを抹殺するくらいの勢い)、とも思ったので、解答と実態とのジレンマを感じた。
実のところ、私は「ID無効化」まで発想が及ばなかったので「パスワード変更」と書いて結果的にこの問題は合ってたことになったようだが、そういった多角的な視点は常に持ってないとなあ、と感じた次第である。
試験対策(午前二)
応用情報のときと同様、午前問題に関しては延々ずっと過去問道場を往復していただけである。
直近5年分くらいをひたすら往復で解きまくった感じ。
その際にこのサイトの機能である「選択肢をランダムで入れ替える」も併用した。
最終的には正答率が90%前後を維持できるくらいまで解けるようになってた。
とはいえ、長く解き続けていると本当に脊髄反射で問題の答えがわかるようになってしまうので、最後のほうは正直焼け石に水状態(ランダムだろうが正規の並び順だろうが関係なく解ける、というか「解けててしまう」)になってたが…。
むしろこの状態までくると良くないと個人的には思っていて、「答えを暗記してしまっている」つまり「考えなくなっている」ところまで来ているので、同じ種類の問題でも少し問われ方が違くなると解答できなくなってしまう傾向があったり、完全初出の分野にはまるで対抗できなかったりする。
実際のところ、それが今回の午前二の結果にも出ており、こういう「答えを暗記してしまっている」人は、暗記した試験相手には90%の正答率をほこるものの、いざ本番になると7割ちょっとの正答率しか出せていない。
思い返してみれば、これは前回(H30秋)の結果に関しても同様だった。
必ず数問(10問前後)は過去問からの流用があるので、そこには事前に培った「暗記」が十分力を発揮するのだが、他は「地力」が試されるので、この「地力」が試される範囲に対して暗記付けで「考えなくなってしまっている」と力を発揮できないわけですな。
勿論過去問を往復で何度も解きまくることは重要なのだが、今回の結果見る限りでも、それだけだと受からないので、「地力」にあたる部分は常日頃から鍛えておく必要がある、と感じる。
→試験の特性上、情報セキュリティ分野におけるトレンドを押さえておかないとわからないような初出の問題(前回のマルウェアMirai等)も出る可能性があるから
まあこの辺は個々の意識による部分もありそうだが…
試験対策(午後一、午後二)
実際のところそこまで本格的な「勉強」、というか、「試験対策」はしていない、っていうかできなかったというのが正しい。
やったことの一つに、過去2年分くらいの過去問をIPAからダウンロードして印刷してバインダーにセットし、実際に本番同様「解いた」、というのがある。
(H30秋は実際受けたので、それを除く)
ただ、これは「対本番」の感覚をつかむという意味ではまあまあ役に立ったんだけど、知識が向上したかという意味だと別段そんなところもない気がする。
得られた知識はあったにはあった(ああ、これ「耐タンパ性」っていうんだとかw)が、そういった「知識集」はやはり午前問題に散りばめられており、そういったところを完全に抑えておくことで補完できるようになっている。
といいつつ、今回もそうだったし、過去問を見てもそうなんだが、午後問題の中の、特に知っていないと解けない記述式の問題(今回で言えば[ ]性を3つ書けとか)に関しては、だだっ広い範囲から本当に砂粒を拾うようにピンポイントで出題されるので、たまたま偶然直近でそのキーワードに関する勉強をしていたか、本当に全分野まんべんなく用語も含めて完全に知識として持っているか、どちらかでないとおそらく解くのは難しいと感じる。
それらの問題は、全体から見ても少なくない加点だとは思いうものの、逆にいえばそこができないだけで合格できないわけではないから、そこで加点を目指すよりは「地力」を挙げて他のところで点を稼ぐ対策したほうがいいと思う。
また、午後問題には、「読解力」や「洞察力」を問われている分野があり(というかほとんどコレな気がするが)、実際にぶっつけ本番で過去問を解いたというこの練習は、それに関してはまあまあ役に立ったかもしれない。
ただ問題によって注目すべきポイントは毎回違うので、結局は本番で出てきた問題に対してどこまで柔軟に対応できるかにかかってる気がする。
身も蓋もないことを言ってしまうと、午後問題には「運」の要素も強い気がしている。
自信が普段から仕事で接しているセキュリティ分野が出題されるとある程度強いんだけど、それ以外だと基本的には全部「初見」なので、まさに「地力」が試される。
今回で言えば、上述したようにCORSが見事に午後一で出題されたのは「運がよかった」と言わざるを得まい。
まあ試験の目的として、そういった分野も含めて、幅広くセキュリティについて知っておく必要がある、ということなんだろうけども…
ちなみに、巷で話題(?)の通称「ポケスタ」だが、これは正直自分には合わなかった。
ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験)
- 作者: 村山直紀
- 出版社/メーカー: 秀和システム
- 発売日: 2017/03/25
- メディア: 単行本
- この商品を含むブログ (2件) を見る
午後試験対策の「速攻サプリ」のために買ったんだが、これはいくつかの分野について表形式で問題文(の抜粋)と解答が並んで記載されており
- 左側に「解答(例)」
- 右側に「問題文(の抜粋)」
が並んでる形式で、つまり最初にまず「解答」を述べるのである。
そこから、その解答を導くに至った問題文の該当箇所等を、右側に載せている形になっている。
まずこういう答え→なぜなら問題文のこことこことここにこんなことが書かれているから、という順序になるわけだが、本番時にはまず膨大な量の「問題文」があってそこから解答を導かなければならないので、答えありきで問題文(しかも抜粋)のここにこういうヒントが(ないし答えに類するものが)あるんだよ、と言われても、正直個人的にピンとこなかった。
逆に言えば答えから問題文を辿っていくならそりゃわかるに決まってるじゃん、という感じでもある(それが狙いだったのかもしれないけど…)
なんというか…競馬で一位になった馬を見て「ほら、あいつ一位だったろ?だって◯◯だから一位だと思ったんだよね」というのをレース後に突然言われる感覚?に似てるというか。(そんな経験はないけどw)
うん…まあ…結果から言うならそりゃなんとでもいえるよね…みたいな…
いや別に批判するわけではなく単に俺には合わなかったということが言いたいだけなのです。
実際、この本はとても役に立ったと言っている人もネット上で何人か見かけているので、ちゃんと使いこなせる人にはよい本なんだろう。
支援士登録
正直「登録費や維持費がこんなに高いんだったら登録しないっすww」と思っており、これは現時点でも同じ気持ちなのは間違いない。
が、今後どんどん進化していく様々な攻撃手法やセキュリティ技術を追いかけるのに、仕事の傍らで偶然目に触れた情報から知識を得たり、Twitterにたまたま流れてくる情報で「へぇ~…」なんて言ってたり、そんな程度で足りるのかなっていう不安は漠然としてある。
この不安が、上述した「維持」(年に1回のオンライン講習、3年に1回の集合研修)によって補えることが保証されているわけではないんだが、どうせ、この後2年か3年もすれば、今回学習したセキュリティ知識も「時代遅れ」になってくる(違うものがトレンドになっている)だろう。
「情報処理の安全確保を支援する人」という名目の資格でありながら、いざ3年後に「支援してくれ!頼むぞ」って言われても(そんなこと言うやついないだろうがw)「(´・ω・`;!?イヤ無理ッス!!」って返すのが目に見えており、そのための自発的な学習を促す目的で、この登録制度は少なからず有効に生きるのでは、と期待している部分があるのは事実である。
…こういう他力本願な性格が登録云々以前にそもそもダメな気もしてきたな(;´Д`)
まあ、そんなわけで、正直合格した今となって登録するかどうか悩んでいる、というのが現状なのである。
実は高い登録費や維持費は会社が出してくれることは確認している。
しかしちょっと特殊な事情での費用捻出のため、その制度を利用するかどうかも悩んでいる。
う~~ん。
って、やっぱり、こうやって悩む程度に、「登録費や維持費が高い」っていうのが事実として登録に向けたハードルになっているってのが残念な気がするのよなあ。
これ「登録費維持費ともに1000円」って言われたら、上記のような不安もありつつで、たぶん何も考えずに登録したもん、きっと。
まあいろいろあるんだろうけどなあ~
悩むなあ~
今後
H29秋に応用情報合格したので、今年の秋が午前1免除の期限である。
午前1免除で受けられる限界があと1回。
令和になってから初の情報処理試験ということもあり(?)、1回は記念でもいいので受験しておきたいという気持ちがあるw
ただ、転職してからIPAとは違う側面のスキルを磨きたいと思うようにもなっており(これは今年の頭に書いた目標にも少しその気が表れている)、特にTOEICなんだけど(;'∀')、まあ、そっちのほうの勉強に時間を費やしたいなあという思いがあるのも事実であり、ちょっと迷ってるところ。
IPAの試験のうち、自身の今の強みや今後のキャリアの指向性を考えて、今後会得したいと思えるスキルの高度試験があまりない(秋に限定すると特にない)というのもその思いに拍車をかけている。
一方で、多分今回の午前1免除期間を終えるともうIPAには挑まないような気もしているので、この機会を逃す手はないという気持ちもあり、その辺をちゃんと考えて計画したい。
また、情報処理安全確保支援士に関して言えば、上述した支援士登録のジレンマもあって、悩みも多く、時間はないのだが、慎重に考える必要もある。
みんなそうなんだと思うのだが、「受かったはいいが、これが新たなスタート」という感じ。
合格の余韻に浸る時間も僅か、せわしないが、自身のスキルアップ計画を真面目に考えて具体化していきたいと思う。
余談
俺が受験した教室には受験番号的に63人の受験者がいた。
が、まずそもそも数えられた限りで12人の席が空席(欠席)だった。
この12人が「受験者」の実績としては数えられていない(と仮定する)と実質の受験者は41人になる。
かつ、俺の視界にいてわかった範囲で最低2人が午後1もしくは午後2からいなくなった。(右隣の人と2つ前の席の人で両方とも近くにいたからよくわかった)
言わずもがなこの2人は絶対不合格である。
この途中離脱組の割合が、全国的に同様に発生したと仮定する。
41人中2人だから、2/41≒0.0487…
IPAのホームページによれば、H30年の受験者数実績は45627人。
45627×0.0487=2222.0349→つまり全国で2222人も途中で離脱している計算になる。(そんなにいないか…さすがにw)
この人らは途中で試験を放棄して離脱してるので不合格確定で、実質合格が見込める受験者の内数から外しても支障あるまい。
とすると、45627ー2222=43405人が実質の(合格が見込める)受験者数となる。
一方、H30実績では合格率17.7%となっているので、45627を母数にした場合の合格者数は45627×0.177=8075.979、ここでは8076人とするか。
途中離脱組を除いた母数43405に対する実際の合格者8076人の割合は0.18606…で約18.6%くらいになる。
かなりざっくりした計算だし根拠も何もないのだが、少なからず途中で離脱する合格放棄組を視野に入れると、実質1%くらいは合格率高い気がする、というのがこの辺の考察から言える。
正直個人的にもうちょい伸びてもよさそうと思ったんだが、まあこんなもんなのか…
とにかく!
こういう「途中で試験を諦める人」がいることを前提にすると実際の合格率はもっと高いはずなのだ。
これから受験する人においても、その辺を自信にして頑張ってほしいと思う。
(俺自身も、今後の受験においてこの考察を強みに生きていきたいと願う!w)
余談2
午後一と午後二の試験問題の定義の違いがわからん。
なんか明確な定義あるのかなこれ?