情報処理安全確保支援士の勉強法

まだ勉強中ですが書きます。

他のサイトと本記事を組み合わせることをおすすめします。

 【対象者】

・AP合格程度

 

覚えるポイント

資料を読む時は、具体的な攻撃方法と、その対策を覚えます。

そして攻撃名や脆弱性から対策が思い浮かぶ状態にします。

対策を読んだら理解できるレベルでは意味がないです。

試験ではそれを思いつき書かなければなりません。

 

過去問演習編

十分に知識が得られたあとに始めましょう。

情報処理安全確保支援士(以下、セキュスペと呼ぶ)では

あまり同じ質問は出ませんが、長文を読む練習と、

解答に関係しそうな場所を判断する勘が養えます。

例えば、

・文章の最後のほうにある「なお、」など逆説から始まる文

・妙に詳しく書いてある所

・図や表の注釈

が要チェックです。

意味不明な解答だった時は、「{解答の一部分} site:ipa.go.jp」と検索します。

私たちが見落としているだけで、IPAはどこかで解答を知らせているのです。

検索結果にpdfなど、何らかの資料があったら読みましょう。

 

教材

なんだかんだ、IPAの試験なのでIPAの資料が大切です。

解答がそのままIPAの資料に書いてあったりします。

なのでIPAの資料が多いです。

【全般】

・適当なセキュスペの本

確実に全て読み終えることが出来るものが良いです。

巷で勧められている上原本は過去出題されたところを多く収録しています。

前述の通り、セキュスペにはあまり同じ質問が出ないので、良し悪しです。

 

・3分間ネットワーク

[改訂新版] 3分間ネットワーク基礎講座

[改訂新版] 3分間ネットワーク基礎講座

 

ネットワークについてわかりやすく書かれています。

Webサイトを書籍化したものなので、そちらを読んでも良いです。

私は本のほうが読みやすかったです。

 

・10大脅威

IPAが発行している資料です。

攻撃手法の手口と対策などまとめられています。

毎年発行しているため、1~3つ読めば良いんじゃないかと思います。

 

・「標的型メール攻撃」対策に向けたシステム設計ガイド

IPAが発行している資料です。

標的型攻撃でなくても役立つ内容かと思います。

 

 ・セスペシリーズ

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

 

1冊がまるごと1回の解説です。 

ひとつくらいはもっていても良いんじゃないでしょうか。

 

・ポケットスタディ

過去問演習の効果が薄くなるので、最後に使いましょう。 

 

【セキュアプログラミング編】

・安全なWebアプリケーションの作り方

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

 

セキュスペの定番です。

構築済みの仮想環境で簡単に攻撃を演習できます。 

 

・安全なWebサイトの作り方

IPAが発行している資料です。

先程挙げた書籍には収録されていない攻撃についての記述があります。

 

・AppGoat

IPAが公開しています。

攻撃の演習が可能なファイルと、その手法や対策が解説されたWebサイトがセットになったものです。

Webアプリケーション版と、それ以外があるのですが、
前者はそれぞれ脆弱性をもつWebサイトが、
後者ではBOFなど脆弱性を持つソフトが、脆弱性ごとに用意されています。

特に解説が参考になりました。