BETA

情報処理安全確保支援士試験に合格したので勉強法など

投稿日:2019-01-25
最終更新:2019-01-25

昨年秋の情報処理安全確保支援士試験(登録セキスペ)の合格証書が届いたので、私が行った勉強法について書きます。
午前1は免除。試験対策に費やした期間は9月25日から10月20日までの25日間です。

基本方針

午前2対策

できればこちらはあまり時間をかけずに午後対策に重点を置きたいです。
過去問を解いてみて、合格点が取れているようならさらっとで大丈夫だと思います。
新しいテクノロジーからも出題されますが、出ても数問なので特段対策をするのはコスパが悪いです。

午後1・2対策

  • 問題の流れを覚える。
     長文はある程度決まった流れがあり(後述)、これを理解しておくことが重要です。
  • 大切なのは想像力。
     この試験では「情報処理安全確保支援士のあるべき姿」が問われます。
     問題文の世界を頭の中で構築(トレース)し、登場人物になったつもりで、自分ならこのインシデントはどう対応するかを考えます。
     実務経験がない場合は過去問を通して、疑似体験をします。
  • どの問題を選択するか。
     当日の問題の選択によっても合否が左右されます。
     あらかじめ自分の得意分野・不得意分野を把握しておくことはもちろん、問題を見て選ぶかどうかの選択ができるようになっておきます。

午後の考え方

長文の流れは大まかに言うと5ステップ
  1. まず、現状の構成、設定が説明される。(たいていガバガバ)
  2. セキュリティインシデントが発生する。
  3. 現場で一次対応をする。(ただし、不十分)
  4. 凄腕の安全確保支援士さんが登場し、インシデントの分析・原因究明
  5. 二次対応を検討・適用
ステップ別のやること
  1. 現状を読みながらマイナスイメージ(ヤバそうなポイント)を書き出す。
      - 権限分離がされていない。暗号化されていない。など
     これを分類する。
      「脆弱性なのか脅威なのか」
      「組織的なものなのか、人的なものなのか、技術的なものなのか」
     それらを踏まえた上で、想定リスクを書き出す。
  2. 何が起きたかを見抜く。
     どの部分でインシデントが発生したのかを図に書く。
  3. どこに対策を施したのかを図に書く。
     なにが不十分かも考えられればGood。
  4. 指摘されるガバガバポイントが1で書いたマイナスイメージのうち、どれに当たるのかを考える。
  5. 行われる対策が1で書き出した想定リスクや3でび不十分ポイントのうち、どれをカバーするものなのかを考える。

(1番で書き出すものの例)
 マイナスイメージ    脆弱性or脅威 分類    想定リスク
パターンマッチングによる  脆弱性   技術  ゼロデイ攻撃・標的型攻撃
 ウイルス検出
不用意な操作        脆弱性   人   マルウェア感染
ランサムウェア感染     脅威    技術  業務停止・バックアップ消失
対応マニュアルがない    脆弱性   組織  間違った対応・感染拡大

試験当日に心がけること

当日は脳の体力勝負です。

  • 脳の省エネを心がける。
  • 開始前に詰め込まない。
    今までの学習した中で気になる部分をまとめたメモや、試験自体の考え方をぱらぱらっとおさらいする程度で。
  • 短時間でもリフレッシュする。
    午後1と午後2の間の休み時間は、可能ならば外に出て空気を吸う・糖分を補給することをおすすめします。



なにか不明点があればコメントください。

技術ブログをはじめよう Qrunch(クランチ)は、プログラマの技術アプトプットに特化したブログサービスです
駆け出しエンジニアからエキスパートまで全ての方々のアウトプットを歓迎しております!
or 外部アカウントで 登録 / ログイン する
クランチについてもっと詳しく

この記事が掲載されているブログ

セキュリティ勉強中のエンジニアがアウトプットの練習でいろいろ書くブログ

よく一緒に読まれる記事

0件のコメント

ブログ開設 or ログイン してコメントを送ってみよう