情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

来年の春試験を受験しようと考えている者です。
先日行われた午後試験の問4を私も拝見し、個人的には余りにもイレギュラーかつ実験的な問題だなと感じました。
やはり午後統一に伴った実験的な問題なのでしょうか？今後しばらくあのような問題が出る可能性はありますか？
「あなたの知見に基づき答えよ」という問題文自体初めて見ましたし、選択肢問題も締まりがなくギャンブル性高っ...と思ってしまいました。
かなり環境が変わり、今後の午後対策法は今まで通りでいいのかと悩んでいます。

選択問題は4つもあるのですから、あのような問題が出た際に回避できるように勉強する、と考えるのが正しいと考えます。
例えば今回の試験でセキュアプログラミングを選択できた受験生は、そのほとんどが問4は選ばなかったのではないでしょうか。

今回セキュアプログラミングは無かったような…

もしかしたらIPA側には「今後この問題のような実務型の支援士を量産していきたい」という考えがあるかもわからないですね。

実践講習だと、6年目で選択できるのが企画寄りかセキュリティ攻撃の実演とかそういうのが混じってきて、後者はそういう仕事やってないと受けられないですが、そういうのが人気がある（むしろ企画側の講習は消極的選択な気がする）とIPAが踏めば、実務寄りの試験にする方向性でもそんなに驚きはしないです。最長7年選手のゴールド免許が今年出てきて、6年目のときの講習の選択状況がどんなもんなのかRISSが公開しているわけでもないので、あんまり具体的な話はできませんが、曲がりなりにもこの資格でペーパードライバーみたいな集団だらけだと締まりがないだろ、とさすがに自覚し始めたんじゃないですか。
他の高度は、実務寄り上等（監査は除く）な側面が大きくて、SCはそうじゃないってのも、変なところありますからね。

確かに、当該設問に出くわした時に選ばなくて済むように勉強を進めるというのはごもっともですね。結局そっちに落ち着くと思います。
こんなに支援士のように細かくシチュエーションが決められている問題に多様性がついてしまうのはもはや試験が破綻している気がしないでもないです。

UNIXアクセス制御と公開鍵&秘密鍵はコンピューターセキュリティの根本的な基礎技術ですので（知識ではなく）理解するべきです。
今はIPA公式の解答例が掲示されるまで何もできませんから、実際にLinuxの実機などで試して疑問をつぶしていきましょう。操作するうちに午後問3に登場した環境変数なども理解できるはずです。

もしWindows(NT)アクセス制御を理解している場合は、そちらのほうが複雑なためUNIXアクセス制御の知識だけでも十分かと思います。

この投稿は投稿者により削除されました。(2023.10.21 09:36)

初受験さん(No.3) 

テストスさん(No.2) のおっしゃっているセキュアPGの問題とは、
問１のXSSに関する問題のことだと思います。

ちなみに、問１と問３は全く解ける気がしなかったので、
問２と、（ギャンブル性が高いが）問４を選んで正解だったと感じています。
もっとも、今回も不合格なのではないかと感じています。

初受験ですが、同じく問１、問３で拍子抜けでした
確実に初受験合格を確信しました
ちなみに初受験で勉強期間は1週間です

初受験さんはすごい方なのでしょうね。
どんどん高みを目指して日本のIT産業を支えてください。

尊敬していただいてありがとうございます！
高みとは思っていませんが尊敬してもらってるようなのでありがとうございます！

水を差すようで大変恐縮なのですが...

過去のスレッドを見ると「自分の手応えと結果が反比例しがち」とか「自己採点80点だったのに結果は40点だった」みたいな事もあるみたいでめっちゃビビってます...
記述試験の嫌なところですよね

まぁ一部の人でしょうし大抵の人は手応え通り順当に受かるんでしょうけども

問1は敷居が高いといわれるC言語やJavaではなくjavascriptだったし、問われている内容もXSSっていう王道な出題だったので確かに人によっては拍子抜けしたかもしれないけど問3は拍子抜けするほど簡単ではなかったと思います。

テーマがコンテナで実行されるCIサービスでありかなり最新のトレンドからの出題で問われる知識もTOTPやWebAuthn、またCAAレコードなどマイナーなDNSレコードに関する出題もありました

自分は問3を選択したからと言って、問2や問4を選んだ人と比べて有利であったとは全く思いません。(ただ、問1選択はほかの問題を選んだ人に比べると有利だったと思います)

午後が今後もだいたい
（１）プログラミング
（２）NW
（３）インフラ（クラウド、オンプレ含む）
（４）マネジメント
の大問２択選択、各５０点満点、標準偏差方式、合格率２０％前後、合格平均年齢約３５歳とし、
「学習計画の立てやすさ」
「難易度」
「合格直結率」
「総合評価」
を独断と偏見で午後各問題の学習対策を考えてみました。

（１）プログラミング
学習計画は最も立てやすい。過去問蓄積あり。
難易度も今の所は中から易しめ。
プログラミング選択者が少なく、ほぼ満点を狙えるなら他大問から３０点確保で十分合格圏内。
総合評価は高。（おすすめ）
しかし、今後は難化すると勝手に予想。

（２）ネットワーク
学習計画は立てやすい。過去問蓄積あり。
難易度は中。ネスペレベルのセキュリテイに特化したマニアックともいえる設問も稀にあり。
 NW選択者は多いため、満点を狙えても他大問の出来に左右される可能性大。
総合評価は高から中。
今後はやや難化すると勝手に予想。

（３）インフラ
学習計画は立てにくい。コンテナは最先端ゆえに過去問の蓄積も無い。
難易度は高。
選択者は少ないと思われるので現役クラウドエンジニアで満点を狙えるなら合格率は高めと予想。
総合評価は中。
今後はやや易化するのではと勝手に予想。とはいえオンプレ回帰はあまり考えられない。

（４）マネジメント
学習計画は最も立てにくい。出題範囲が広く、かつ深い。
難易度は中から高。
合格率は未知数。
総合評価も未知数。
今後は易化すると勝手に予想。しかし、今最も増やしたい人材がマネジメント系だろうとも勝手に予想する。
非常時、現場で実際にインシデントハンドリングできる人材が少なすぎる。
ペーパードライバーでも兼業でもいい。最低限CSIRTの窓口として最前線に立てる人材がいたら。
ここに一人でも安確士がいたらここまで酷いことにはならなかったのでは？
そう想像している経営者は案外多い、かも、しれない。



以上、独断と偏見による午後対策でした。あんまり参考にならないですね。申し訳ない。

コンテナが最先端…？そもそも基本的なコンテナの知識は過去の午後試験で出題実績があります(穴埋めですが)

戦略を立ててみたさん(No.15)  さん

こういう見立ても面白いですねー。
なるほど参考になりますー。
この掲示板は「あーでもないこーでもない」と、
活発な意見交換があってとても有難いw

>戦略を立ててみたさん
学習対策読ませて頂きました。非常に興味深かったです。
私の経験から一つ推測があります。

IPAの試験は一回の試験問題作成に1年かかると言われています。
そのため、年二回実施のAPとSCは春と秋の試験問題が同時並行かつ
2チーム体制で作成されていると思われます。
それゆえに
・春と秋で問題の傾向が若干違う
  作問者の違いによるものと思われる
・R6春の試験問題は既に作成が始まっているため、R5秋の試験問題に
  対する批評・評価は次回のR6春には反映されない
  反映されるとしたらR6秋から
以上のような推測から、R6春はR5秋とはまた別傾向の試験問題が
出題されると考えています。