情報処理安全確保支援士試験合格しました

セキュリティ
この記事は約9分で読めます。

確か18歳の頃…、第二種情報処理技術者試験起床試験に失敗したあと、「情報処理技術者試験なんて、飾りだよ」と言い続けた自分に一区切りつけました。

情報処理技術者試験とは

情報処理技術者試験は、「情報処理の促進に関する法律」に基づき経済産業省が、情報処理技術者としての「知識・技能」が一定以上の水準であることを認定している国家試験です。

IPAサイトより引用

試験は以下のように13種類あり、そのレベル4には専門知識を問う9種類の試験(高度情報処理技術者試験/スペシャリスト試験)があります。

情報処理安全確保支援士試験とは

情報処理安全確保支援士試験合格者は、情報セキュリティに関する知識・技能を有するものとして、経済産業大臣から合格証書が交付されます。

情報処理安全確保支援士試験合格者は、所定の登録手続きを行うことで、国家資格「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。

IPAサイトより引用

 

情報処理安全確保支援士試験」は他の試験とは少し性格が異なります。元々の名「情報セキュリティスペシャリスト試験」から分かる通り、情報セキュリティに関する試験ですが、合格すると国家資格である情報処理安全確保支援士(RISS:Registered Information Security Specialist)に登録できる資格を得るというものです。

その情報処理安全確保支援士は、登録セキスペ(ダサい名称と思いますが、登録「情報セキュリティスペシャリスト」の意味なのでしょう)とも呼ばれ、サイバーセキュリティ分野においては唯一の国家資格となります。

また、情報処理安全確保支援士試験に限らず、高度情報処理技術者試験に合格すると、一般社団法人情報処理学会のCITP(認定情報技術者)に認定してもらえるようですね。それなりの費用がかかるようですが、ちょっと調べてみようかと思っています。

情報処理安全確保支援士試験の難易度は?
情報処理安全確保支援士試験 推移

情報処理安全確保支援士試験は高度情報処理技術者試験9種類のうちでは一番難易度が低いと一部では言われており、加えて春・秋の年2回試験があるため、受験者数はかなり多くなっています。

試験の受験者数、合格者数、合格率などをグラフ化したのが右の図です。2016年秋までは情報セキュリティスペシャリスト試験で、2017年春から情報処理安全確保支援士試験となっています。政府はサイバーセキュリティ戦略本部のサイバーセキュリティ人材育成総合強化方針において、2020年までに3万人超の有資格者の確保を目指すとしている様ですが、情報処理安全確保支援士試験となってからは毎回受験者が減少している傾向がわかります。セキュリティブームが去ってしまったかのようです。結果2019年10月時点で2万人弱の登録にとどまっており、セキュリティ人材の不足が明らかです。

実はこの試験に合格しなくとも

  • 警察庁又は都道府県警察でサイバー犯罪の取締りのための情報技術の解析に関する事務
  • 自衛隊においてサイバーセキュリティに関する知識及び技能を要する事務
  • 内閣官房において内閣の重要施策に関する情報の収集調査に関する事務であってサイバーセキュリティに関する知識及び技能を要する事務
  • 情報処理推進機構において情報処理安全確保支援士試験又は情報セキュリティスペシャリスト試験の問題作成

に2年以上従事した者で、それぞれの長(警察庁長官、防衛大臣、内閣情報官、情報処理推進機構理事長)が認めれば情報処理安全確保支援士に登録できるようです。

これは、先に述べたとおり日本でのサイバーセキュリティ、情報セキュリティの人材が深刻なレベルで不足している状況を鑑み、少しでも人材を増やそうとしているのではないか、とも思えます。

他の高度情報処理技術者試験と比べて難易度が低いと言われる情報処理安全確保支援士試験ですが、他の試験と異なり難易度が高いと思われる点もあります。セキュリティは日々新しい攻撃手法が出ており、またそれに対抗するための新しい技術もどんどん生まれています。そうした最新の情報を常に試験に反映している様なので、古い知識では午後Ⅰや午後Ⅱは合格できないのではと思います。

また、その出題範囲の広さも他の高度情報処理技術者試験を圧倒するものと思います。なので、詰め込み式の暗記型勉強が得意な方は有利かもしれません。そういう意味から難易度が低いと言われているのかもしれませんね。

情報処理安全確保支援士の維持は大変

先に書いたとおり、セキュリティは日進月歩の世界のため、資格を維持するのにそれなりのコスト(時間、費用)がかかってきます。試験に合格し、情報処理安全確保支援士に登録したとしても、士業を名乗り続けるためには厳しい試練があります。

  1. 登録は随時ではなく年2回(4月/10月)のみ
  2. 毎年オンライン講習の受講が必要(費用2万円)
  3. 3年毎に集合研修の受講が必要(費用8万円)
  4. 3年毎に更新手続き(再受験?再登録?)が必要となる見込み

最後の更新手続きは費用不明ですが、多分初期登録と同様の2万円くらいはかかると想定すると、3年間で16万円くらいかかります。個人でこれを維持するのはかなり厳しいのではないかとも思います。

この費用は、セキュリティのスペシャリスを必要としている企業にとっては安いものかもしれません。大きめの企業であれば、資格取得/更新補助などの支援があると思います。もし該当する補助がなくとも、セキュリティの重要性を説明すれば情報処理安全確保支援士の維持費用は会社が負担してくれるのではないでしょうか。(考え甘いですかね)

費用面だけの問題ではありません。知識や技術を維持するのは、この年々進化するブラックハットの技術、そして対する情報セキュリティの高度化を考えると、実務で向き合っていないとかなり大変です。

私が情報処理安全確保支援士を目指す理由

ではそんなに面倒な情報処理安全確保支援士をなぜ目指すのか。それは私のバックボーンに理由があります。

記憶が曖昧なのですが、まだコーディングが楽しくて仕方なかった1989年か1990年、某社にてファイル改ざんを防ぐ目的のセキュリティツールキットを開発しました。

当時社内では「日本初のアンチウィルスを作った」と言われていました。アンチウィルスという言葉の意味では、まあその通りなのですが、特定のウィルスを発見したり、駆除するような代物ではありませんでした。でもシングルバイナリでPC98FMRAXDynaBookDOS/Vなんかで動きました。

ほぼ同時期に日コン連のいてこましや、JADEのスキャンワクチンが出現、その時にはMcAfeeのscanを国産PCに対応させる事をやっていたと思います。

その後もウィルスとは縁の切れない仕事をしばらく続けていたため、ウィルスの解析やら、防御方法を理解し、セキュリティのなんぞや、アンダーグラウンドのなんぞやを肌で感じていたんですね。

その後紆余曲折があり、ん十年の月日が流れ、インフラやソフトウェア開発などに関する一通りのITに関する知識を得た今、やっぱりセキュリティは大事だと思うに至ったわけです。

だがしかし、そのセキュリティに関する力を証明するモノサシがない、自分が何を言ってもその意味に重さを感じてもらえない。ならばという事で情報処理安全確保支援士を目指したのです。

私はそのモノサシとして情報処理安全確保支援士を選びました。他の人にとってはPMPだったりITストラテジストだったりするのでしょう。普段私は資格や試験を軽視していますが、「最低限必要な知識は一通り学んでいる証拠」としてモノサシが必要な事もあるんだな、と再認識しています。

受験勉強はどんな感じ?

今回はなかなか時間が取れなくて、試験対策を言えるほどの事はやれませんでした。事実受験後は、

午後Ⅰは時間配分を間違えて点が取れなかった〜。恥ずかしくて受験したことは人に言えないよ。

と思っていたくらいです。

受験申し込み時は張り切ってそれなりに勉強し始めていたので、その内容を少しだけ。なお、アマゾンのリンクはアフィリエイト等一切ありません。また実際に使った書籍ということで、おすすめの書籍という訳ではありません。ご注意を。

①試験対象の全域をゆるーく総点検

ブックオフで見つけた「ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)」にざざざっと一通り目を通して、試験範囲と思われる内容を確認しました。古い書籍なので最新のものには敵わないものの、定番というか、頻出問題を掴むのには悪くないかなということで。

②午前対策

過去に情報処理技術者試験を一度も受けていないので、午前Ⅰからの受験です。そのため午前の情報処理全般の基礎知識部分を確実にするため、Kindle本を購入。通勤時間を使って全問解きました。

③午後対策

ここからが本気モードになるのですが、やはり午後が重要です。長文の読解力とセキュリティの知識フル動員が必要ですし、試験のクセというか、出題の仕方の傾向を見ておくためにははやり過去問ということで、これもKindle本。

Kindleの大きな問題点として、2〜3箇所を相互に見ていくというのが非常に面倒な点があります。朝のラッシュで本を読むというのは非常に辛いので、どうしてもKindle一択になるのですが、「本文」を読んで「設問」を読んで考え、「回答と解説」を読むという動作が非常にやりづらいです。このあたり、Kindleにも脚注や目次で使われている書籍内のリンクをきちんと使ってくれれば良いのになあと思いました。

とはいえ、このあたりから力尽き、というか仕事が忙しくなって、これは全体の3分の1くらいしかちゃんと取り組めてなかったと思います。ただこれで試験のクセはつかめた感じでした。

④総仕上げ

最後8月末頃と思いますが、前述の本文と設問と解説を見比べることが面倒ということとで紙の本を購入しました。

ただ、正直言ってこの本は10ページも読んでないまま終わってしまいました。かなり忙しかったことだけでなく、本がかなり厚く、持ち歩きに不便で、通勤時に読むことも難しかったためです。

最初はナイフでバラバラに分割して持ち歩こうかと思ったのですが、結局そのままタイムアウト、受験と相成りました。

総勉強時間

記録をとっていないのですが、40〜50時間くらいでしょうか。流石にこれで合格するとは思ってませんでした。自己採点で「午後Ⅰ」は惨敗と確信して、春に再受験しなきゃと思っていました。

「午後Ⅰ」は、しっかりした思考と用語に関する知識両方が備わっていないと時間内に納得して回答し切るのは難しいと思います。自分の弱点は用語に関する部分なのでしょう。合格とは別に知識をしっかり体系立てて叩き込む必要がありそうです。

今回合格できたのは、日頃のセキュリティに関する情報収集と原因分析が結果的に良かったのかと思いますが、ラッキーだったという点も多分にあると思います。

まとめ

改めて思いますが、情報処理安全確保支援士の資格なんてただの飾りです。これはあくまで道標でしかありません。知識、技能は資格の有無とは全く関係ありません。引き続き切磋琢磨しセキュリティを役立たせるために邁進するのみです。

とかなんとか、格好つけても、やっぱり合格は嬉しいものです。やったね!

予定では、2020年4月より、情報処理安全確保支援士を抱えることとなるJトラストシステムです。セキュリティに関しては最近多くの企業が活躍されていて、当社はひよっこ同然ですが、当社の関わるシステムでセキュリティの問題を発生させないよう尽力させて頂いております。
開発のみならず、セキュリティでお困りのことがありましたら、ぜひ当社にご相談ください
また、セキュリティに強い方、興味のある方、同士になりませんか。今なら社内ナンバーワンになれるチャンスです。応募お待ちしております
:)