いろいろ備忘録

雑記です。

情報処理安全確保支援士の勉強法

合格済です。

 

※一般的な内容は書いていないので、他のサイトと本記事を組み合わせることをおすすめします。

 

 【対象者】

・AP合格程度

・時間をかけて確実に合格したい人 

覚えるポイント

資料を読む時は、具体的な攻撃方法と、その対策を覚えます。

そして攻撃名や脆弱性から対策が思い浮かぶ状態にします。

対策を読んだら理解できるレベルでは意味がないです。

試験ではそれを思いつき書かなければなりません。

 

過去問演習編

十分に知識が得られたあとに始めましょう。

情報処理安全確保支援士(以下セキスペ)の午後問題では

あまり同じ質問は出ませんので直接点数は上がりませんが

長文を読む練習と、解答に関係しそうな場所を見つける勘が養えます。

例えば、

・文章の最後のほうにある「なお、」など逆説から始まる文

・妙に詳しく書いてある所

・図や表の注釈

が要チェックです。

意味不明な解答だった時は、「{解答の一部分} site:ipa.go.jp」と検索します

IPAがどこかで解答を知らせている場合があるのです。

検索結果にPDFなどの資料があったら読みましょう。

 

おすすめの教材

なんだかんだ、IPAの試験なのでIPAの資料が大切です。

解答がそのままIPAの資料に書いてあったりするのでおすすめです。

【全般】

・適当なセキスペの本

確実に全て読み終えることが可能な厚さのものが良いです。

巷で勧められている上原本(情報処理教科書)は過去出題された題材についての解説が多めです。

良い本ですが、前述の通り午後問題にはあまり同じ質問が出ないので、この本を読んだあとに過去問演習で良い点が出ても安心出来ません。

 

・3分間ネットワーク

[改訂新版] 3分間ネットワーク基礎講座

[改訂新版] 3分間ネットワーク基礎講座

 

ネットワークについてわかりやすく書かれています。

Webサイトを書籍化したものなので、そちらを読んでも良いです。

ただそちらには初心者向けでない部分もあるので私は本のほうが読みやすかったです。

午前午後の両方に必ず出題されるネットワークセキュリティ分野が解けるようになります。

・10大脅威

IPAが発行している資料です。

流行の攻撃手法の手口と対策などまとめられています。

毎年発行していますが重複も多いので、1~3つ読めば良いと思います。

 

・「標的型メール攻撃」対策に向けたシステム設計ガイド

IPAが発行している資料です。

汎用的な対策が書かれているので標的型攻撃でなくても役立つ内容かと思います。

標的型攻撃は上記の10大脅威に何年も連続でランクインしている最近のトレンドなので出題される可能性は高いです。

 

 ・セスペシリーズ

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

 

1冊がまるごと1回の解説です。 

解答に至る根拠、流れが詳細に解説されています。

必要十分な解答が書けるようになります

何冊かありますが1冊は買って流れを身につけることをおすすめします。

 

・ポケットスタディ

ポケットサプリという問題文の要約と解答がセットになった部分があります。

ここでIPAが好む単語や言い回しを身に着けます

同じに見える単語が実は違うことに気づきます。

過去問演習の効果が薄くなるので、ラスト1週間の最後の詰め込みに使いましょう。 

 

・応用情報, 基本情報, セキュマネの過去問

過去5年分くらいざっと目を通しておきましょう。

 

【セキュアプログラミング編】

・安全なWebアプリケーションの作り方

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

 

セキスペの定番です。

構築済みの仮想環境で簡単に攻撃を演習できます。 

もちろん対策も学べます。論理が飛躍する部分がたまにあり、最初は読みにくい本でした。一度通して読んで理解するとサッと読めるようになります。

 

・安全なWebサイトの作り方

IPAが発行している資料です。

ジャンルとしては同じですが、先程挙げた書籍には収録されていない攻撃の手口と対策についての記述があります。

IPA謹製なのでそのまま出やすいと思います。

・AppGoat

IPAが公開しています。

攻撃の演習が可能なファイルと、その手法や対策が解説されたWebサイトがセットになったものです。

Webアプリケーション版と、それ以外があるのですが、
前者はそれぞれ脆弱性をもつWebサイトが、
後者ではBOFなど脆弱性を持つソフトが、脆弱性ごとに用意されています。

解説が分かりやすくていい感じです。申請は必要ですが簡単に済みました。

 

以上です。多すぎましたか?

もちろん上記資料を全部やらなくても大丈夫ですが、本番で安心できます。