情報処理安全確保支援士に一発合格しました!
受験を目指される方のために、勉強方法、おすすめテキスト・問題集 過去問対策のまとめたいと思います。
※「情報処理安全確保支援士」(旧名:情報セキュリティスペシャリスト 別名:登録セキスペ)
【今回合格率】
18.5%(例年16~17%なので若干高め)
【動画解説】
【合格率の推移】
開催年度 |
受験者数 | 合格者数 | 合格率 |
30年秋期 | 15,257人 | 2,818人 | 18.50% |
30年春期 | 15,379人 | 2,596人 | 16.90% |
29年秋期 | 16,218人 | 2,767人 | 17.10% |
29年春期 | 17,266人 | 2,822人 | 16.30% |
28年秋期 | 22,171人 | 3,004人 | 13.50% |
28年春期 | 18,143人 | 2,988人 | 16.50% |
27年秋期 | 18,930人 | 3,141人 | 16.60% |
27年春期 | 18,052人 | 2,623人 | 14.50% |
26年秋期 | 18,460人 | 2,528人 | 13.70% |
26年春期 | 17,644人 | 2,543人 | 14.40% |
25年秋期 | 17,892人 | 2,657人 | 14.90% |
25年春期 | 19,013人 | 2,490人 | 13.10% |
24年秋期 | 19,381人 | 2,700人 | 13.90% |
24年春期 | 19,711人 | 2,707人 | 13.70% |
23年秋期 | 17,753人 | 2,398人 | 13.50% |
23年特別 | 19,445人 | 2,712人 | 13.90% |
22年秋期 | 19,391人 | 2,759人 | 14.20% |
22年春期 | 19,951人 | 3,045人 | 15.30% |
21年秋期 | 17,980人 | 3,326人 | 18.50% |
21年春期 | 16,094人 | 2,580人 | 16.00% |
【受験対象者像・役割と業務】(IPAホームページ抜粋)
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者
(1) | 情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する。 |
(2) | 情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する。 |
(3) | セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する。 |
(4) | 情報セキュリティポリシの作成、利用者教育などに関して、情報セキュリティ管理部門を支援する。 |
【受験日】
2018/10/21(日)
【学習期間】
5ヵ月
※2018/5月~10月半ば
※約250時間(ベースの知識が乏しく、覚えることが非常に多く、過去の試験の中で一番勉強した感があります)
【受験前の保有資格】
プロジェクトマネージャ、システムアーキテクト、ソフトウェア開発技術者(現:応用情報技術者)
【受験動機と事前知識】
業務に特化したアプリケーション設計ばかりしていて、ミドルウェア、ネットワーク系の実務経験がかなり乏しいため、業務の幅を広げるためです。
また、4月に受験したデータベーススペシャリストが
午前2 92点 午後1 80点と 上位5%でしたが、午後2が51点(体力が持たず試験中気を失いそうになる)と悔しい思いをしました。
DBは年1回のため、試験感覚を落とさない為、スペシャリスト系で直近で受けられる「情報処理安全確保支援士」を選択しました。
【論文系とスペシャリスト系】
高度系試験は試験時間は 午前1:50分 午前2:40分 午後1:90分(2問) 午後2:120分(1問)と時間は共通ですが
論文系とスペシャリスト系で午後2が大きく違います。
・プロジェクトマネージャ試験、システムアーキテクト試験など(論文系)
→午後2が論文 約2500字~3000字を2時間なので 常に手を動かしてないと間に合わないレベル
初めの15分程度で骨子作成(書くことを決める)をしっかりすれば、あとはあまり考えずに手にお任せ状態
・その他スペシャリスト系(データベース、安全確保等)
10ページ以上の長文を読みながら問題を解き進めるので、常に集中力を保たないと前の文書の内容を忘れてしまう。
集中力(体力)が切れた時点でOUT
今回はDB試験の反省点をいかして、午後2に入る前にオロナミンC、水500ML、きのこの山大量摂取しました。
【解いた過去問】
午後1 平成17年~平成30年の春、秋試験 セキュアプログラミング以外 手に入る問題全て×2周
午後2 平成21年~平成30年の春、秋試験 全部×1周
午後1の選択問題でJAVAかC言語のプログラミング言語の問題(セキュアプログラミング)もありますが
専門性が高い(設計ばかりでプログラム経験はほとんどない)為、勉強対象から外しました。
10年前基本情報はJAVAで取りましたが、もう覚えてないです。
HTMLとJavascriptの基礎は身につけておいた方がいいです(避けては通れません)。
◆無料YouTube対策講座チャンネル
https://www.youtube.com/channel/UC_0LOFMRg60xDBfkzMAmkfA?sub_confirmation=1
こちらのブログでも紹介しています。
http://action-masa.com/2020/10/06/blogb1/
◆動画対策講座
【IT用語動画辞典】 2020年9月追記
大手予備校講義レベルの内容を動画で無料で公開しています。
難解なセキュリティ用語を動画で解説しているので非常に効率的に勉強ができます。
情報処理安全確保支援士、ネットワークスペシャリスト・CCNAの範囲はほぼ網羅しています。
【使ったテキスト】
☆セキュリティ技術の教科書 (専門分野シリーズ) ★超おすすめ
セキュリティ技術の教科書 (専門分野シリーズ)
4,536円
Amazon |
→値段は4536円と高いですが要点がまとまってて非常にわかりやすい
図を駆使していて流れがわかりやすい
昨年発売された本でまだマイナーですが、これのお陰で合格できたと思います。
500ページ 10 回以上は読みました。(読みすぎて最後は1時間で500ページの要点を確認できるレベル)
情報処理教科書 情報処理安全確保支援士
情報処理教科書 情報処理安全確保支援士 2019年版
3,110円
Amazon |
→定番書 700ページ 試験に出ない知識も多いイメージ 2回流し読み
ポケットスタディ 情報処理安全確保支援士
ポケットスタディ 情報処理安全確保支援士 (情報処理技術者試験)
1,620円
Amazon |
→持ち運びに便利だが読みずらい 結局半分読んだ程度で挫折
TCP/IP 最強の指南書(日経ネットワークのムック本)
TCP/IP 最強の指南書(日経ITエンジニアスクール)
2,592円
Amazon |
→ネットワークスペシャリスト向けですが、要点の基礎だけをざっくり読み
IPAホームページのセキュリティ関連の記事やPDF
https://www.ipa.go.jp/security/index.html
→実はここからよく出題されます。ただ、膨大な資料があります。
最新のウィルス情報の詳しい攻撃手法はチェックしておく必要があります。(直近ではランサムウェアの具体的な対策方法などが取り上げられています)
【学習方法】
通勤電車(座れる区間)の40分で午後1問題を1問解くことをノルマとしてました。
→印刷した問題、Amazonキンドル(答えの解説)、スマホ(用語チェック) 両手にやってました
その他の区間は座れないので、午前2対策としてスマホアプリで応用情報と高度区分の午前の過去問の答えだけ暗記。
応用情報の午前問題からもかなりの割合で出題されているので、応用情報午前の復習は必須です。
午後2は1問解くのに1時間以上は集中しないといけないので、土曜日に1問ずつ家で解いた感じです。
あとは、休みの日に家でテキストベースにインプット
用語の暗記(理解)だけではなく、とにかく流れを理解するのが大変です
例えば「SPF」の仕組みと言われたら以下のような内容を即イメージできるレベルが必要です。
※よく「このメールはなりすましの可能性があります」って警告がでるのに使われる技術
例)メールのドメイン認証のSPFの仕組み
送信されたメールになりすましがないかを確認するため
メールのエンベロープ部に記載された送信元IPアドレスとドメインを確認
↓
当該ドメインのDNSサーバのゾーン情報を取得する
※DNSサーバのゾーン情報のTXT(SPF)レコードにドメインに紐づくIPアドレスを定義しておく
example.jp. IN TXT "v=spf1 +ip4:192.168.100.0/24 -all"
→192.168.100.0以外からexample.jpドメインのメールが送信されることはないという意味
↓
取得したTXT(SPF)レコードのIPアドレスとメールのエンベロープ部に記載されているIPアドレスが一致すればOK 不一致ならNGとする。
基本情報や応用情報ならSPF=送信元IPアドレスがDNSに定義されているものと一致するくらいの理解でいいのですが、
高度試験になるとこのレベルが求められます
この試験受けた後に今年の応用情報のセキュリティ分野を確認すると(問題が素直なので)スラスラ解けます
この区分の場合は、午後1対策をきちんと理解すれば、ある程度午前2が解けるようになります。
また、午後2も午後1の問題が複雑になって、文章量が2倍になった感じです。
【習得しなければならない知識】
以下のような内容が複雑に絡み合ったものが物語(セキュリティインシデント)形式で出題されます。
・暗号技術 共通鍵暗号方式 公開鍵暗号方式の詳細な仕組み
・ネットワーク全般の基礎(サーバ構成)
・ハッシュ関数
・ディジタル署名
・認証方式
・通信制御技術(ファイアーウォール、プロキシ、IDS,IPS、WAF・・・)
・WEB技術(HTTP、Cookieの仕組み)HTTPSの具体的な仕組み(ハイブリッド暗号方式)を具体的に理解しておく必要があります。
・システムセキュリティ
・セキュリティマネジメント(ISMS、インシデント対応など)→ISMSは覚えることが多いので超さらっと
・セキュアプロトコル(TLS、SSH、IPsec、IEEE802.1X、無線LAN、SAML VPN全般 など)
・TCP/IP
・電子メールセキュリティ(SPF、DKIM、攻撃手法など)
メールのオープンリレー時に付与されるメール送信のエンベロープの内容を確実に把握しておく必要があります。
・攻撃手法の詳細(仕組み)
セッションハイジャック、SQLインジェクション、XSS、CSRF、クリックジャッキング、〇〇インジェクション
・マルウェア(コンピュータウィルス全般)
覚えることがめちゃめちゃ多いですが、単語覚えただけでは午後試験は対応できず
いろんな技術要素を体系的に組み合わせて長文問題を読解する力が求められる感じです。
【受験しての感想】(平成30年秋)
午後1は技術的な要素が多くネットワーク分野の内容が多かったです。
午後2問1は技術的な要素が少なく、4割はクラウド移行に関する国語力の問題でした。
日本語が非常に難しく始め40分悩んだ挙句、問2に方向転換。しかし、30分あせって解いて頭に入ってこなくて、また、問1に戻るという状態でした。
残りの6割が割と素直な問題だったので、その部分を落とさずに回答できたので合格できた感じです。
直近で成果を感じたのは、現場のPM(高度区分ほぼ制覇)がサーバ証明書申請してた時のメールに
AES、SHA256、EV証明書、オレオレ証明書、CSRなどの言葉を使ってましたが全て理解できました。
時間があれば、サーバー構築して対応するミドルウェアでトレースするのが一番いいのですが、そこまで時間がとれず。
今のところは座学での基礎知識だけ身につけた感じなので、今後実務に活かせるように継続していきたいです。
【午前2対策】
午前2に関してはセキュリティ用語をできるだけ多く暗記する必要があるため過去問題から
以下のような、「単語帳」を作成しました。
説明文から用語を即答できるレベル。
問題文 | 解答 |
Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する攻撃。 |
クロスサイトスクリプティング |
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする攻撃。 |
クラッキング |
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる攻撃。 |
バッファオーバフロー |
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする攻撃。 |
ディレクトリトラバーサル |
マルウェアのプログラムを解析して得られる,マルウェアを特定するための特徴的なコードのことであり,マルウェア対策ソフトの定義ファイルとしてマルウェアの検知に用いられる。 |
シグネチャコード |
FWの以下の特徴を何というか。 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。 |
ダイナミックパケットフィルタリング |
発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。 |
発信者の秘密鍵 |
認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。 |
CRLの特徴 |
成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。 |
虹彩 |
標的型サイバー攻撃などに関する情報を参加組織間で共有し,高度なサイバー攻撃対策につなげる取組み |
サイバー情報共有イニシアティブ(J-CSIP) |
URLのスキームがhttpsのページのときだけ,Webブラウザからcookieが送出される属性。 |
secure属性 |
cookieに指定された有効期間を過ぎると,cookieが無効化される。 | Expires属性 |
JavaScriptによるcookieの読出しが禁止される。 |
HttpOnly属性 |
WebブラウザがアクセスするURL内のパスとcookieによって指定されたパスのプレフィックスが一致するとき,Webブラウザからcookieが送出される。 |
Path属性 |
送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み |
DKIM(DomainKeys Identified Mail) |
送信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許可される仕組み |
SMTP-AUTH |
電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する仕組み |
SPF(Sender Policy Framework) |
ネットワーク機器において,内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み |
OP25B |
処理中に機器から放射される電磁波を観測して解析する。 | テンペスト攻撃 |
処理時間の差異を計測して解析する。 |
タイミング攻撃(サイドチャネル攻撃の1つ) |
チップ内の信号線などに探針を直接当て,処理中のデータを観測して解析する。 |
プロ―ビング |
内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策 |
インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて,危険なWebサイトとの接続を遮断する。 |
OSなどに不正に組み込んだツールを隠蔽する。 |
ルートキット |
DNSキャッシュサーバが得た応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証 | DNSSEC ※DNSコンテンツサーバは、ドメインの応答に自身のディジタル署名を付加して問合せをしたDNSサーバに送信する |
Webアプリケーション中でシェルを起動しない |
OSコマンドインジェクション対策 |
セッションIDを乱数で生成する。 通信の暗号化。 |
セッションハイジャック対策 |
パス名やファイル名をパラメタとして受け取らないようにする。重要なファイルを公開領域に置かない。 |
ディレクトリトラバーサル対策 |
プレースホルダ(バインド)を利用。データベースアカウントを必要最小限にする。 プログラムのソースコードでSQL文の雛(ひな)形の中に変数の場所を示す記号を置いた後,実際の値を割り当てる。 SELECT * FROM USER WHERE uid = ? |
SQLインジェクション対策 |
IPv4において,IPパケットで送られているデータが,ICMPメッセージであることを識別できるヘッダ情報は。 |
IPヘッダのプロトコル番号 ICMPは1、TCPは6 |
IEEE802.1QのVLAN機能を有したスイッチにおいて,複数のVLANに所属しているポートを何と呼ぶか。 |
トランクポート |
HTTPを拡張したプロトコルを使って,サーバ上のファイルの参照,作成,削除及びバージョン管理が行える。 |
WebDAV(Web-based Distributed Authoring and Versioning) |
UML2.0において,オブジェクト間の相互作用を時間の経過に注目して記述するものは | シーケンス図 |
プログラムを書く前にテストケースを作成するのはエクストリームプログラミング(XP:eXtreme Programming)における何の説明化。 | テスト駆動開発 |
鍵長によって,段数が決まるのはどの鍵か。 | AES(Advanced Encryption Standard) ・・ブロック長は128ビット,使用する鍵の長さは128/192/256ビットから選択が可能 |
暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる攻撃。 |
SSL/TLSのダウングレード攻撃 |
暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る攻撃。 |
サイドチャネル攻撃 |
企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ごみの中から探し出す。 |
スキャベンジング |
通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。 |
MITM攻撃(Man in the middle attack),中間者攻撃 |
データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。 |
SQLインジェクション |
PCなどに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)がもつ機能 | 鍵ペアの生成 |
悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。 |
セッションIDの固定化(Session Fixation)攻撃 |
オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。 |
DNS水責め攻撃(ランダムサブドメイン攻撃) |
暗号モジュールのセキュリティ要求事項といえば。 |
FIPS 140(Federal Information Processing Standardization 140) |
情報セキュリティマネジメントシステムに関する認証基準 | ISMS |
ディジタル証明書や証明書失効リストの技術仕様 | ITU-T X.509 |
無線LANセキュリティ技術仕様 | IEEE802.11i |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 情報の重要性と対策費用を勘案し,あえて対策をとらない |
リスク保有 |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 個人情報の保管場所に外部の者が侵入できないように,入退室をより厳重に管理する。 |
リスク低減 |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 個人情報を含む情報資産を外部のデータセンタに預託する。 |
リスク移転 |
「リスク回避」「リスク移転」「リスク低減」「リスク保有」の4種のうちどれか 収集済みの個人情報を消去し,新たな収集を禁止する。 |
リスク回避 |
製品に含まれる脆弱性を識別するための識別子 | CVE(Common Vulnerabilities and Exposures)識別子 |
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効な対策 | インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。 |
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトを実行させるもの | OSコマンドインジェクション |
ウイルスに感染しているファイルを,ウイルスに感染していないと判断する。 | フォールスネガティブ |
ウイルスに感染していないファイルを,ウイルスに感染していると判断する。 | フォールスポジティブ |
異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワーク |
OAuth2.0 |
ISP管理外のネットワークに向けてISP管理下のネットワークから送信されるスパムメールを制限する。 |
OP25B |
プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。 |
サンドボックス |
HTTP GETコマンドを繰り返し送ることによって,攻撃対象のサーバにコンテンツ送信の負荷を掛ける。 |
HTTP GET Flood攻撃 |
pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。 |
ICMP Flood |
以上