情報処理安全確保支援士 勉強法 午後Ⅱ

情報処理安全確保支援士試験の、午後Ⅱに向けた勉強法について記載します。

午後Ⅱの試験時間は、2時間です。

その時間内で、10ページ以上の問題文を読み、解答する必要があります。

これは、時間的にかなり厳しいです。

時間さえあれば、正しい解答を導き出せる方は、結構いると思うんですけど、

制限時間に解くことができず、不合格になった方も多いのでは、と思いました。

 

午後Ⅱの勉強法は、まず、問題文を、速く読む力を向上させることかなと思います。

問題文は、10ページ以上にわたりますが、

どの問題文も、ストーリーの流れは共通しています。

 

問題文は、企業のセキュリティ事故を発見し、対処するまでの

一連のストーリーを記載しています。

ストーリーには、たいてい、以下の登場人物が登場します。

まず、主人公のU君。

企業に所属する担当の方で、セキュリティ事故の調査・対策にあたる役です。

(※問題文によっては、I君の時や、T君の時もあります。)

それから、K課長。

U君の上司の方で、豊富なセキュリティ知識を持ち、U君にアドバイスする役です。

(※問題文によっては、I主任や、T部長の時もあります。)

それから、G君。

企業に所属する担当の方で、セキュリティ事故を起こしてしまう張本人の役です。

(※問題文によっては、I君の時や、T君の時もあります。)

 

ストーリーはまず、企業の概要の説明から始まります。

企業システムのサーバ構成や、ネットワーク構成を、表と文章で説明しており、

2ページから、長い場合は5ページにわたって記載されています。

 

そして、主人公のU君が、セキュリティ事故に気づきます。

セキュリティ事故の内容は、ウイルスソフトがウイルスを検知する場合や、

定期的にサーバのログを調べた際、企業の誰かが

不審なURLにアクセスしている形式を見つけた等です。

 

U君が原因調査を開始します。

そして、G君が犯人であることを特定します。

G君にヒヤリングすると、G君は特に、問題行動を取った意識はなく、

気軽な気分でインターネットでいくつかのサイトを閲覧したり、

メールに添付されていたファイルを、深く考えずに開いていた

ことが判明します。

 

U君は、G君の行動による、企業内に広がった被害範囲を特定していきます。

そして、被害の収束にあたります。

その後、同様の問題を繰り返さないための再発防止策を検討します。

その過程で、U君が知識不足で行き詰ることがあり、

対処方法が思いつかず苦悩するシーンがありますが、

K課長の的確なアドバイスにより、打開する道が開け、

ストーリーはハッピーエンドを迎えます。

 

問題を出題している方は、情報処理安全確保支援士に対し、

セキュリティ事故が発生時、U君のように調査を進め、K課長のように考え、

問題解決まで導く実力を、期待していると考えられます。

午後Ⅱに合格するためには、まず上記のストーリーの流れに慣れて、

問題文を、速く読む力を向上させることかなと思います。

 

次に必要なのは、解答を、出題者が期待している形で記載する力だと思います。

午後Ⅱの設問は、

「ここで実施すべき事を30字以内で述べよ。」

といった具合で、選択式ではなく、文章での解答を求められる設問が多いです。

この30字以内の中に、出題者の方が期待しているキーワードが入っていないと、

減点、あるいは不正解とされてしまいます。

 

例えば、「脆弱性K」に対し、どう対処すれば良いかという設問について、

模範解答が「脆弱性Kに対応した脆弱性修正プログラムを適用する」だとします。

この場合、

「脆弱性修正プログラムを適用する」

と解答するだけでは、減点、あるいは不正解とされてしまいます。

出題者が期待しているのは、解答文の中に

「脆弱性Kに対応した」を表す文章が含まれていることです。

ただ「脆弱性修正プログラムを適用する」と記載だけでは、

対処のターゲットが曖昧で、脆弱性Kに対する適切な対処とは言えない、

と判断されてしまいます。

(脆弱性Kに対応していない脆弱性修正プログラムを適用しても、意味が無いため。)

 

上記の対策は、IPAが公開している過去問を実際に解き、

IPAが公開している解答例と照らし合わせることだと思います。

この練習により、自身の解答の曖昧な箇所、表現不足の箇所が見えてきます。

過去問を、過去3回分ぐらいで良いと思うので、解いてみると、

出題者がどのような解答を期待しているのか、分かり始めてくると思います。

 

まとめると、

午後Ⅱの勉強法は、まず、問題文を、速く読む力を向上させることかなと思います。

次に必要なのは、解答を、出題者が期待している形で記載する力だと思います。