仕事の事情で情報セキュリティを学ぶ必要に迫られたため、情報セキュリティスペシャリストの資格を取得しました。
勉強期間は2ヶ月。得点率は以下の通りです。
ここに至るためにぼくがやった試験対策や勉強方法を書いていきたいと思います。
ガチで実務に活かすことを目的とした勉強なので、最低限の勉強時間で合格ギリギリラインを狙い撃ちしたい人や資格取得が目的化している人向けではありませんのでご了承ください。
※2016/06/28更新
後続の資格である情報処理安全確保支援士に関し、IPAから正式にプレスリリースがありました。
参考 プレス発表 “情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて:IPA 独立行政法人 情報処理推進機構
試験内容に大きな変更はないと見られています。
また本質的に必要な情報セキュリティ知識は制度の形とは無関係です。
そのため、情報セキュリティスペシャリスト試験を対象とした勉強方法や対策は、情報処理安全確保支援士の試験でも引続き有効と見ています。
情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)とは
情報処理安全確保支援士とは、IPAの運営する情報技術者資格の中でセキュリティに特化した上位資格です。
前身である情報セキュリティスペシャリストの合格率は例年およそ12〜15%。
後続資格である点、また情報セキュリティに必要な知識は本質的には変わらないことを考えると、合格率はおおよそ例年通りになると予測しています。
今後最も注目される技術にセキュリティが名を連ねる等、セキュリティはこれからより需要が増えていく分野。
そのため、情報書処理安全確保支援士という資格もよりポピュラーになっていくものと思います。
参考 IPA 独立行政法人 情報処理推進機構:制度の概要:情報処理安全確保支援士試験
情報セキュリティスペシャリストを取ろうと思った理由
情報セキュリティスペシャリストの資格を取ろうと思った理由は、仕事で必要に迫られたからです。それも、強烈に。
ある夏、ぼくは全社セキュリティ改革プロジェクトをリードすることになりました。
クライアントの期待値は、第三者の立場から改革をドライブすること。
現状を理解し、あるべき姿を描き、そこに至る筋道をつけるよう求められたのです。
担当者は、ぼく一人。
お相手は、セキュリティ畑を歩んで20年の大ベテランCSO。
にもかからわず、当時のぼくはITは知っていてもセキュリティは疎かった。
そこから短期間で、熟練ベテランと同じレベルで議論ができるようになる必要があったのです。
そんな時、一週間後に情報セキュリティスペシャリスト試験の申し込み期限が迫っていることに気がつきました。
どうせ勉強するならついでに資格も取ってやれ!
・・・と、なかばエイヤで申し込んだのでありました。
情報セキュリティスペシャリストに高得点合格した勉強法
期限ギリギリで申し込んだその日の夕方から、ぼくの情報セキュリティスペシャリスト合格に向けた勉強がはじまりました。
与えられた期間は、2ヶ月。結果は冒頭にお見せした通り、9割近い得点率で合格することができました。
なぜ短期間で高得点合格できたのか?どのような戦略を選んだのか?
一言で言うならば、コンサルの仕事で身につけた王道アプローチを勉強にも適用し、コミットした、です。
小手先の受験テクニックは全く使っていません。
順を追って、お話していきます。
- 現状を理解し (As Is)
- ゴールを決め (To Be)
- 現実的な計画を立て (Plan)
- 実行していく (Execute)
勉強開始前の状態を把握する
情報セキュリティスペシャリスト試験を受ける前のぼくのIT関連の知識や背景は以下の通りです。
- 大学~大学院でIT(システム工学)を専攻
- 9年前に基本情報技術者、8年前に応用情報技術者を取得
- IT戦略コンサルティングの仕事で日々ITやシステムには触れる
- 情報セキュリティは大学の講義で概要を学んだ程度
IT系の基礎知識は身についているが、分野ごとにムラはある。
特にセキュリティに特化した知識は一部を除きほぼ皆無、というのが正直なところでした。
そこでまず自分の地力を知ることにしました。
今の自分が情報セキュリティスペシャリスト試験にどこまで通用するかが未知数だったので、合格というゴールまでの距離をそもそも測れません。
勉強とはスタートからゴールに到達するための手段です。スタートとゴールが明確でないと適切な勉強方法などできません。
そのためまずは無勉強の状態で1回分の過去問を全て通しで解き、その結果をもとに得意・不得意分野を把握することとしました。
結果は・・・
- IT基礎知識を問う午前Ⅰは60%程度
- セキュリティや関連技術の高度な知識を問う午前Ⅱ問題は30%程度
でした。特にネットワーク関連がぼろぼろ。
IT基礎知識の全般的な底上げとともに、セキュリティや関連技術についても体系的に身につける必要がありました。
試験における得点率の目標を設定する
スタート地点はわかりました。次はゴールの設定です。
ぼくは「午後問題を素早く完璧に答えられること」をゴールとしました。
試験合格の60%得点は当たり前として、実務でバリバリ使えるレベルでセキュリティ知識を身につけるというレベルです。
担当することとなったプロジェクトの現場では、目の前で様々なセキュリティ課題が起こります。
ぼくに期待されていたのは、全社セキュリティ改革を推し進めるかたわら、日々の課題の対応サポートや根本解決にむけた施策立案とプロジェクト化し、全社セキュリティ改革との整合確認をリアルタイムで行うことです。
- リアルな(=午後問題レベルの)課題を、片手間で(=短時間で)解決できる
- 自分で手を動かさないにしろ、少なくとも対応方針を立てて指示出しができる
これがぼくが身につけるべき情報セキュリティのスキルだったんです。
そのため「午後問題を素早く完ぺきに答えられること」はぼくにとってある意味必達条件でした。
もちろん午後Ⅱへ至るまでのハードル(午前Ⅰ、午前Ⅱ、午後Ⅰ)は超えて当たり前。
スタートとゴールをつなぐための、勉強アプローチとスケジュールを決める
スタート地点とゴール地点が明確になりました。
そこをつなぎ、ギャップを埋めるために、勉強のアプローチとスケジュールを考えていきます。
勉強アプローチ
午前ⅠはITの基礎知識を問う試験です。
もともと60%正解できていた範囲のため、安全に通過できることを目標に可能な限り省力化する方針としました。
また午前Ⅰ問題は過去問から出題されやすいという性質を知っていたため、なるべく新しい過去問を中心に攻略していくこととしました。
午前Ⅱ〜午後Ⅱは情報セキュリティの専門知識と応用力を問う試験です。
無勉強での午前Ⅱの正解率が30%というお話をしましたが、その内訳をよく見てみると、
- 言葉の意味を問う基礎問題は正解率が高め
- 文章題に近い応用問題は完全にお手上げ
という状態でした。つまり、知識も足りなければ応用力もない。
このまま「不正解の問題をひたすら正解できるようにしていく」という問題演習ベースのパッチワーク型の勉強をしても、遠からず頭打ちになってしまうことが予測できました。
そのため
- まずセキュリティ知識を体系的に理解すること
- 自分で説明できる状態になってはじめて演習に臨む
という方針としました。
制約事項をふまえたスケジュール
平日は仕事があり、帰宅後は家族との時間を大事したい。週末は家族と過ごす時間を確保したい。
そのため、勉強時間に充てるのは
- 平日の通勤時間(2時間弱/日)
- 土日の早朝~昼まで(6時間程度/日)
に限定しました。(土日の時間の使い方は妻の了承を得ました)
片手間でできそうな午前Ⅰ対策は通勤時間を、知識を体系的に理解する必要がありまとまった時間が必要な午前Ⅱ~午後Ⅱ対策は土日の時間を充当する方針としました。
・・・
というわけで立てた全体スケジュールがコチラ。
のちほどご紹介する教科書を1週間あたり2章分ペースで確実に理解していき、後半で問題演習モードに切り替えて一気に応用力をつけていく。
・・・という算段です。
計画に沿って勉強する
ここまでくれば、あとは計画通りに実行するだけです。
- いかに勉強時間を確保するか
- 時間確保が難しい、もしくは足りない場合はどうリカバリするか
- どのような教材を使って効率的に勉強するか
もちろん、途中で勉強アプローチに無理を感じたら適宜方針を見直していきます。
章ごと時間配分(1周間で2章)も、章のボリュームや自分の理解の進み方に応じて配分を変えます。(なるべく前倒しな感じで・・・)
2ヶ月しかないので無駄な回り道をしているヒマはありません。
情報セキュリティスペシャリスト試験勉強に使ったおすすめ参考書やアプリ
以上の勉強アプローチとスケジュールを実行するにあたって、ぼくが使った参考書やアプリ、それらの使い方について触れていきたいと思います。
午前Ⅰ対策
通勤時間帯に勉強するため、スマホアプリを利用しました。
情報セキュリティスペシャリスト試験対策アプリはいろいろありますが、ぼくにはこちらが最もシンプルで使いやすかったです。
思い立った時に午前Ⅱの問題演習もできるのも便利でした。古い過去問から順番に解いていきます。
午前Ⅱ〜午後Ⅱ対策
情報セキュリティの知識を体系的に理解してからの問題演習。
内容的に片手間では済まないと感じたため、腰を据えて勉強すべく、本を買いました。
(以下ご紹介する本は、ぼくが使っていた書籍シリーズの最新版です)
情報セキュリティ知識の体系的理解
まずは教科書。頭から読んで理解を進めます。
初回演習で自分の得意・不得意分野がわかっているはずなので、得意分野は軽めに、不得意分野は重点的にと濃淡をつけます。
わからない言葉があったら適宜Webで調べて補強します。
重要なのは、ただやみくもに言葉や仕組みを暗記するのではなく、なぜそのような仕組みになったorしなければならなかったのかまで理解することです。
でないと午後問題を解く際に応用が効かないし、実務でも使えません。
章末にサンプル問題があるので、自分の知識チェックのため必ず解いていきます。
問題演習
次に問題集。体系的に頭に入って言える知識をいかに使うか、応用力(技能)を磨くため問題演習をやっていきます。
こちらの問題集は非常によくできていて、
- よく出題される分野ほど最初の章に、そしてボリュームが多く
- そうでもない分野は後ろのほう、ボリュームも少なめ
と章立てされているんです。
頭から解いてマスターしていけば自然と得点率が上がっていく作りになっています。おすすめ。
以下、出題方式が異なる午前Ⅱと午後(Ⅰ、Ⅱ)について、この本を使ってぼくが行った勉強法をご紹介します。
午前Ⅱ対策
4択の選択問題です。とにかく数をこなしながら、知識の補強をしていきます。
- 問題を解く
- 間違えた問題、および正解だったとしてもなぜその答えが正しいか説明ができなかった問題にはチェックをつけ、ページに折り目をつけておく
- ページ内の問題すべてについて、根拠も含めて正解できたら折り目を外す
- 以上を折り目がなくなるまで繰り返す
ここで大事なのが、正解の「なぜ」まで掘り下げること。
当てずっぽうで正解しても、間違えた根拠で正解しても、それはただの役に立たない正解です。
全く使い物になりませんし、むしろ午後の応用問題を解くにあたって弊害にすらなりえます。
ガチで実務に活かすことを考えるなら、正解の根拠まで説明できるレベルを目指すべき。
問題の解説文のみで理解ができなかった場合は、適宜上記の教科書やWebで補っていきます。
午後Ⅰ、Ⅱ対策
午後問題はいずれも、記述式の文章題です。問題文の分量は非常に多く、正しく読み解くには情報セキュリティの知識が体系的に頭に入っている必要があります。
午後問題は時間との勝負と言われています。文章も考えさせられる量も午前問題よりもはるかに多い。
さて、スピード勝負となると設問を先に読んで本文から情報を逆引きするというテクニックを使うことがありますよね。
でもぼくはそのテクニックは使いませんでした。
理由は、問題の全体像を正しく捉えないと適切な解答が書けないからです。
解答の前提とすべき重要な情報が、問題文中にしれっと書かれている場合もあります。そのため問題文を頭から読んでいき、表現されている状況を正しく把握するほうが正しい解答にたどり着きやすい。
設問の内容をベースにスキミングしてパッチワークした答えには一貫性がなく、重要な情報が見落とされていることが多いもの。
必要な情報や要素をきちんと網羅しようとすると問題文と設問を行き来することになり、結局頭からしっかり読んだ場合よりも時間がかかるんです。
とはいえ時間勝負というのは事実。そのため演習のときは本番の制限時間の半分弱(午後Ⅰは30分/問、午後Ⅱは50分/問)を制限時間に設定していました。
解答スピードをつけたかったはもちろんですが、勉強に割ける時間が少なかったため、うんうん思い出したり悩んだりするだけの非生産的な時間をなるべく減らしたかったという事情もあります。
3分ゴリゴリ考えて思い浮かばないものは、10分たっても20分たっても出てこないものなんです。ならばその時間をPDCAを回すほうにあてたほうがよいかなと。
答えあわせの際は、自分の解答と模範解答を見比べ、その差分を確認します。
不足部分がなぜ必要なのか、書きすぎた部分はなぜ不要なのか、その理由を解説文から読み取り、必要十分な解答というものの温度感を身につけていきます。
情報セキュリティスペシャリスト試験にかけた勉強時間
情報セキュリティスペシャリスト試験向けにかける(かけられる)時間について。
勉強時間(予定)
そもそも勉強に使える時間を足し合わせると128時間になりました。
- 予定:128時間(平日2時間+土曜6時間)×8週
- 午前Ⅰ向け:80時間
- 午前Ⅱ〜午後Ⅱ向け:48時間
つまり勉強時間の上限は128時間という状況でスタートしたのですが・・・
勉強時間(実績)
実際に進めてみると予定通りにはいかないもの。
結局、勉強時間の実績は112時間でした。予定時間より16時間少ない計算です。
- 実績:112時間(平日1時間+土曜6時間)×4週+(平日1時間+土日12時間)×4週
- 午前Ⅰ向け:40時間
- 午前Ⅱ〜午後Ⅱ向け:72時間
予実に差が出た理由
予実に差が出た理由は、トピックごとの進捗や勉強に対するやる気のブレがあったからです。勉強時間の総量と午前・午後問題にかけるバランスを調整する必要がありました。
- 前半は概ねスケジュール通り
- 苦手分野のネットワーク技術や関連するセキュリティ技術の理解に苦戦
- 午後問題の演習ボリュームが思いのほか多かったため、午前Ⅱにかける期間を3週から2週に短縮
- 午後問題の演習でのスピードアップに苦労し、最後の1ヶ月は土日両方とも早朝〜昼を勉強時間に充当
- 仕事の疲れその他事情により、通勤時間の2時間弱をフルに勉強にあてるのが困難だった
かける勉強時間の総量は16時間減ったものの、情報セキュリティの専門知識を体系的に学ぶ時間や問題演習の時間が48時間→72時間に増えた結果となりました。
情報セキュリティスペシャリスト試験当日の過ごし方
試験当日、会場までの移動時間を使って教科書巻末の単語帳で知識の最終チェックをしながら、午前Ⅰ問題の過去問をスマホでざっと問いて頭を試験モードに切り替えていきました。
試験直前や休み時間は、とにかく最高パフォーマンスを発揮すべく心身のコンディションを整えることに注力します。
これまでの自分の努力を信じ、焦らず、リラックスすることを心がけました。
試験は滞りなく終了。スピード重視の勉強が功を奏してか、午前午後とも試験時間の半分すぎくらいで見直しを最終チェックまで完了し、途中退室しました。
試験が進むたびに試験会場の空席が増えていく印象的でした。情報セキュリティスペシャリスト試験の合格率の低さは、
- そもそも最初から試験にこなかった(来られなかったor諦めた)
- 途中で合格をあきらめ、試験を放棄した
という事情があったんだなあと。
最後まで試験に挑んだ人が母数ではない以上、12-15%という合格率は若干盛られていることになるかもしれませんね。
まとめ:試験がんばってください
以上、ぼくが2ヶ月で情報セキュリティスペシャリストに高得点で一発合格した際にやったことでした。
- 現状を理解し (As Is)
- ゴールを決め (To Be)
- 現実的な計画を立て (Plan)
- 実行していく (Execute)
今後情報セキュリティスペシャリスト試験(情報処理安全確保支援士試験)を受験される方の参考になればと思います。
(追記)情報処理安全確保支援士について
2017年度より、情報セキュリティスペシャリスト試験は情報処理安全確保支援士試験へ移管されます。
参考 【セキュリティ ニュース】2017年度に「情報処理安全確保支援士試験」が開始 – セスペ合格者は試験免除(1ページ目 / 全1ページ):Security NEXT
本試験はこれまでの情報セキュリティスペシャリストとは異なり、定期的な更新が必要な資格です。
なお、すでに情報セキュリティスペシャリスト資格を持っているなど、一定のレベルを認められる場合は試験が免除されるとのこと。
なお資格更改に10,700円かかるそうです。高い・・・
肝心の出題範囲や出題形式ですが、情報セキュリティスペシャリスト試験のものから大きく変わることはないと予測します。
その理由は以下。
- 資格試験名が変わっても、情報セキュリティそのものは変わらない
- 情報セキュリティスペシャリスト試験セキュリティ知識を非常にうまく網羅している
- そのため、わざわざすべてを刷新するのは無駄でしかない
資格試験の制度や名称にふりまわされず、情報セキュリティの本質的な知識は何かを理解することが最も重要。
本質さえ体得すれば、情報処理安全確保支援士だろうがCISSPだろうが合格できるはずです。
日本では日給8,000円で買い叩かれてしまうような情報セキュリティの専門家。
しかし世界的には、そしてデータがそこら中を流れるデジタルやIoTの時代においては、情報セキュリティは最も需要あるスキルです。
ガッツリ学んで実務やキャリアに活かしていきましょう!
おまけ
資格取得が目的の方、最小の労力で60%得点ギリギリを目指している方はこちらの書籍がおすすめです。
2014年発売と少し古いですが、情報セキュリティの定番ネタはおさえられています。
コメント