えこみみのブログに慣れるためのブログ

ブログに慣れるためにジャンル考えずに書いていくブログです

情報セキュリティスペシャリスト試験に合格したので勉強法と参考書を書いてみる

f:id:ecommimi:20160618090950j:plain

こんにちは、えこみみです。

今年の4月に情報セキュリティスペシャリスト試験を受けていたのですが、合格することができました。

二回目の挑戦で、勉強期間は約3ヶ月(一回目の勉強期間含めるともっとありますが…)。勉強していた期間は辛かったですが、合格できたのでほっとしています。

ということで、今後、試験を受ける方に(役立つかはわかりませんが)、私の勉強方法や、使った参考書などを書いていきたいと思います。

なお、情報セキュリティスペシャリスト自体は、来年から「情報処理安全確保支援士」という資格の名前に変わるようです。なんだか、仰々しい名前ですね。でも、試験の内容は情報セキュリティスペシャリストをベースとするそうなので、基本的な勉強内容は変わらないのでは、と思います。

私の試験成績

f:id:ecommimi:20160618111512p:plain

午前I得点 74.80点
午前II得点 80.00点
午後I得点 84点
午後II得点 85点

私の試験成績です。午前Iが一番低いです。午前Iは、必要最低限しか勉強していなかったのですが、当日は見たことがない問題がやや多かったので、午前Iで足切りされないか不安でした。 結果的にはなんとかOKでした。

午後Iは、問2と問3を選択。午後IIは、問2を選択しました。 午後I、IIはともに80点以上とれました。こんなに取れるとは思っていなかったので少し意外でした。IPAの解答例と自分の解答を見比べても「こんな答えにしていたっけ?」と思う箇所もあったので、午後の採点は、けっこう甘めにつけられているのかもしれません。

ちなみに、IPAのサイトには、統計情報として、合格率や、受験者の平均年齢、地域などが記載されているので、受験を考えている人は自分がどの位置にいるのか、参考にしてみるといいかもしれません。

www.jitec.ipa.go.jp

今回の合格率は、16.5%。 前回(平成27年秋)も16.6%と高い結果ですが、過去は14%~あたりで推移していたので、年々、合格しやすくなっているのかもしれません。

過去の合格率
平成28年度 春期 16.5%
平成27年度 秋期 16.6%
平成27年度 春期 14.5%
平成26年度 秋期 13.7%
平成26年度 春期 14.4%
平成25年度 秋期 14.9%
平成25年度 春期 13.1%

勉強していると感じる事と私の解決方法

勉強を始めると、どうしても、やる気がでなかったり時間が取れなかったりします。勉強法や参考書を説明する前に、 そうなった場合の、私なりの解決方法を書いてみようと思います。

やる気がでない

まずは、これですね。意気込んだはいいけれど、実際やり始めると、やる気がでない。すぐ眠くなってしまう。机に向かうと数分後には眠くなって仕方がありませんでした。 こういう時の対処法として、資格を取得する意義を再確認するといいなどとよく言われますが、 私の場合、数ヶ月先の未来を想像しても実感が湧きにくくて、あまり役に立ちませんでした。

では、どうやって解決したか、というと、とにかく毎日、勉強するために机に向かうことをしました。 やる気があろうがなかろうが、眠くなろうが、とにかく机に向かう。そして、機械的にできる作業から取り掛かるようにしました。 具体的には、私はAnki(Ankidroid)(※)というアプリを使って、スマホで一問一答できるようなフラッシュカードを作ることから始めました。 とにかく、勉強のために机に向かう習慣がなかったので、勉強のための習慣付けをするところから始めました。

また、作業をキリが悪いところで中断するというのも効果的でした。 キリが悪いところでやめることで、残りの作業が気になるようになるので、次の日もすんなり作業に取り掛かれることが多かったです。

ちなみに、勉強が習慣付いてくると、やる気があろうとなかろうと、勉強しなきゃという気分になります。 これは、勉強すればするほど、時間が足りないことがわかってくるのと、これだけ勉強したのだから、無駄にはしたくないという意識が出てくるからだと思います。 こうなると、一気に勉強に身が入るようになります。

※Ankiに関しては下記のサイトが参考になると思います。
rs.luminousspice.com

勉強に時間を割けられない

今までの生活習慣の中に「勉強のための時間」をぶっ込むので、当然といえば当然ですが、なかなか勉強する時間が取れませんでした。 でも、これはもうそういうものだと思って諦めるしか無いのですね。 資格試験という期日が決まった勉強なので、その期間は、少し我慢する。予定は意識的に減らす。でも、勉強が終わったら遊びまくる。 そういう考えで、どうにかして時間を確保するようにしました。

また、朝、早く起きて勉強する時間に当てるようにしました。 それまでは夜に勉強していたのですが、仕事の疲れもあって、頭がまわらず、全然内容が入ってこない状況でした。 朝型に切り替えて勉強するようにしたところ、夜に比べて思考がすっきりだったので、効率よく勉強できるようになりました。 ただ、朝型にいきなり切り替えるのは大変なので、 「まずは起きて机に向かう(せめて参考書は眺める)」ところから徐々に身体を慣らして行きました。

勉強が辛い

これは仕方がないです。

集中できない

私は45分前後で休憩を取るようにしてました。

おすすめ参考書

さて、ようやくですが、私が使っていた参考書を、紹介したいと思います。ただ、参考書は向き、不向きがあると思うので、実際に中身をみてから決めたほうがいいです。

情報セキュリティスペシャリスト試験 午前 厳選問題集

午前対策に使いました。一問一答という形でページ単位(ページ表が問、裏が解)でまとめられているので、 Ankiのカード化するのが楽でした。 私は、この本をスキャナで取り込んで、Ankiカード化して、スキマ時間にスマホで問題を解いてました。

午前問題は過去問の出題率が高いので、いかに多くの問題と解答を覚えることができるか、に尽きると思います。 ただ、午前問題はネット上にも過去問と丁寧な解説があるサイトがあるので、 お金に余裕がない人は、ネットで勉強するのもいいかもしれません。

情報処理教科書 情報セキュリティスペシャリスト

情報セキュリティスペシャリストの全体的な知識を蓄えるために使いました。 本を読んだだけでは知識として定着しないため、本の内容をまとめてノート化することをしました。 ただ、この本自体はかなり分厚くてボリュームがあるのと、最初のほうと最後の方はクドい表現があるので、ある程度流し読みしました。

また、巻頭にある「試験直前チェックシート」が役立ちます。 私はこれもAnkiカード化してスキマ時間に眺めてました。

情報処理教科書 情報セキュリティスペシャリスト 2016年版

情報処理教科書 情報セキュリティスペシャリスト 2016年版

絶対わかるセスペ

午後対策に使いました。問題文から詳しく解説してあるので、どうやって問題を解いていくかが分かるようになっています。 私は主に、午後問題Iを繰り返し解きました。

また、この本には「合格するポイント15」と、「セキュリティ一問一答150」というのが掲載されています。 特に「セキュリティ一問一答150」は、情報セキュリティの基礎的な内容を確認するために何度も見て暗記しました。 (これも、Ankiでカード化して、スキマ時間に解いてました。)

「合格するポイント15」では、試験に関しての心構えや、記述式問に関しての解答方法(「理由」を問われたら「~から」と答える、など)、精神的な部分(「超難関ではない」など)などが書かれていて役にたちました。

絶対わかるセスペ27秋 2016年春版

絶対わかるセスペ27秋 2016年春版

絶対わかるセスペ27春 2015年秋版

絶対わかるセスペ27春 2015年秋版

ポケットスタディ 情報セキュリティスペシャリスト

午後対策の記述試験対策で使いました。文体にクセがあるので、読み進めるのがやや苦痛なのですが、「速効サプリ」が役立ちます。 「・・・とくれば、×××と答える」系のパターンを「暗記」するように覚えました。 実際の記述問題では「どういうことについて書いたらいいか検討つかない」となることもあると思いますが、 この「速効サプリ」を暗記することで、少なくとも「なにか」は書けるようになると思います。(「なにか」を書けるようになることは非常に重要だと思います)。

また、記述式問題だけをまとめて一覧化することで、「こういう問題も出ている」と把握しやすくなる点もいいです。 少しテクニック系ではありますが、とても役立ちます。

オススメのサイト

勉強で役にたったサイトを書いていきます。

情報セキュリティスペシャリスト - SE娘の剣 -
「絶対わかるセスペ」の著者のサイトです。かなり多岐に渡った説明があり、サイトを眺めるだけでも勉強になります。

応用情報技術者試験ドットコム
午前対策として、応用情報処理の問題を解いてました。

※私はIPAのサイトを見ていなかったのですが、IPAのサイトは要チェックらしいです。
情報セキュリティ10大脅威 2015:IPA 独立行政法人 情報処理推進機構

その他、勉強で出てきたサイトは一度確認するようにしました。

JPCERT コーディネーションセンター
Japan Vulnerability Notes
内閣サイバーセキュリティセンター
CWE - Common Weakness Enumeration
CVE - Common Vulnerabilities and Exposures (CVE)

など。

私のやった勉強法

ここからは、実際の私の勉強法を記載していきたいと思います。

1. スマホのスキマ時間で勉強できるようにする
スキマ時間に勉強することが重要になるのですが、本をずっと持っているのも大変なので、 私はスマホのアプリを使って勉強できる環境を整えました。 具体的にはAnki(Ankidroid)というアプリで一問一答形式のフラッシュカードを作りました。

2. 午前I、IIの問題をひたすら解く
上記のアプリを使ってスキマ時間にひたすら問題を繰り返し解いてました。 時間を置くとすぐに忘れてしまうので、定期的に繰り返してました。 午前Iはセキュリティ関連と関係ない問題も多いのであまり深追いはしないで、 答えが導ければいい、という意識で進めました。

3. セキュリティ一問一答150をひたすら解く
これも繰り返し解いてました。すべて情報処理試験の中からピックアップされていて どれも重要な用語ばかりなので、しっかりと理解するまで繰り返しました。

3. 参考書をノートにまとめる
1ヶ月半ぐらいかけて、「情報処理教科書 情報セキュリティスペシャリスト」の内容をまとめました。 参考書の説明だけではわからないところは他で調べながら進めたので、 結構時間がかかりますが、ここでしっかり腑に落ちるまで理解するようにしました。 PKI、CA、暗号化処理、SSL/TLSHTTPS、セッションIDなどは最近のトレンドのようなので、少し時間をかけました。 ただ、法制度(ISO/IEC関連、書かれている内容など)は中々覚えられなかったので、あきらめました(笑)

4. 午後の問題を解く。
私は主に午後Iの問題を繰り返し解くようにしていました。午後IIはボリュームがあって疲れるのと、午後Iとレベルとしては大差ないと思っていたので、あまり解いてません。 午後Iを過去2回分を3回ほど、時間を図りながら解きました。

5. ポケットスタディ 情報セキュリティスペシャリストの「速効サプリ」を暗記する
私がこの本を知ったのは、試験日2週間を切ってたころだったので、「速効サプリ」をひたすら暗記するだけでしたが、 それでもかなり役にたちました。 クセがある文体なのでサラッと読むことができず、全部を読むのは諦めたのですが、 もっと早くにこの本を知っていればよかったです。

もっとやっておけばよかったなと思うこと

資格勉強で勉強を網羅するのは時間的に難しいのですが、 試験を終えて、もっとやっておけばよかったなあと思うことを書いておきたいと思います。

過去問をもっと解く
私は、午後試験の過去問に関しては、広く浅く、ではなく、 同じ問題を繰り返し解く、という方針にしていました。 時間も足りなかったので、過去2回分を繰り返し解くようにしていたのですが、 やはり、あと1回分ぐらいは、問題を解いておいたほうがよかったなと思いました。

記述式問題のアウトプットで使えるものをまとめておく
「速効サプリ」である程度補えましたが、記述式の問題はもう少しパターン化して そのパターンの中から記述できるようになると良かったなと思います。

文章をまとめる力をつける
記述式問題で、制限文字数にまとめるのは大変です。 今回の試験でも書いては消し、書いては消し、を繰り返してました。 うまい言い回しを身につけるには資格の勉強だけでは間に合わないのかもしれません。 簡潔にまとめる力をもっと身につけて置く必要がありました。

IPAのサイトを見る
IPAのサイトにはセキュリティ対策に関連する内容が数多く掲載されていたので 見ておけばよかったなという印象です。

法制度、セキュリティ対策に対する理解
今回の試験問題では、CSERTに関する試験がでました。表面しか理解していなかったので 試験選択から外せざるを得なかったのですが、 残りもう一つが手がつけられる問題でなかったら合格できませんでした。 ISO/IEC、セキュリティインシデント対策、など用語としては把握しているけれど、 具体的にどういうことをやっているのか、に対しての理解をあまりしていなかったのは反省したい点です。

まとめ

以上、私の勉強法と参考書を記載しました。 書いていて思ったのですが、やっていることは基本的なことばかりですね。 試験に受かったのも運がよかっただけかもしれません。 でも、これだけでも、合格することができるんだ、と思っていただければと思います。

情報処理試験は、朝起きて会場にたどり着くまでが一次試験と言われることもあるぐらい、 日曜日の朝から夕方まで、昼も満足に休めない試験日程なので、受けるだけでも大変です。

実は、ちゃんと会場に向かって、試験を受けて、最後の最後まで諦めないで問題をすべて解ききる、 というのが一番大事なことなのかもしれません。

  <追記>
ネットワークスペシャリストにも合格しました! 体験記を書きましたのでよろしければどうぞ。

ecommimi.hatenablog.jp