はいどーもー!
情報処理安全確保支援士試験の午後試験解答かるたが存在したら「く」の札は「クライアント証明書によるデバイス認証」ですよね!
エンタープライズ第一本部の宮澤響です!
本記事では、私が先日受験した、令和7年度春期情報処理安全確保支援士試験にまつわる体験を共有します。
これから情報処理安全確保支援士試験を受験する方々に向けたアドバイスというよりは、同じ令和7年度春期試験を受験した同志のみなさまと「こんな感じでしたよね!分かる分かる!」と共感し合うような内容ですので、あまり受験対策の参考にはならないかもしれませんが、温かい目で読んでいただけたら幸いです。
前提(受験歴や業務経験など)
ざっくり、以下のような状態でした。
- 初受験
- 応用情報技術者試験合格済み(ただし学生時代のため、午前Ⅰ試験の免除はナシ)
- CSIRTやSOCのような、いわゆるセキュリティ担当者としての業務経験はナシ
- 社内インフラの運用・保守のような業務経験もナシ
- アプリケーション開発は新人研修や業務で少々(そのおかげでセキュアプログラミング問題のソースコードは読める)
試験に向けて
学習期間
約4か月間(2024年12月中旬〜2025年4月中旬)でした。
なお、1日何時間勉強する、1日何問解く、というようなノルマは設けず、学習時間も特に記録していなかったため、トータルの学習時間が何時間かは不明です。
学習方法
「追加調査」以外はいわゆる王道の学習方法であり、他の合格体験記などでも詳しく述べられていることが多いため、本記事では概略のみ記載します。
- インプット:
- アウトプット:
- 午前Ⅰ試験対策:応用情報技術者試験過去問道場
- 午前Ⅱ試験対策:情報処理安全確保支援士過去問道場
- 午後試験対策:過去問(情報セキュリティスペシャリスト試験の過去問には着手せず)
午後試験の戦略
以下のような時間の使い方で午後試験に臨もうと考えていました。
- 全ての大問を"浅く"解く(MAX 60分(15分×4))
- 目的:前半が難しくても後半が易しい(またはその逆の)大問、問題文が難しくても設問が易しい(またはその逆の)大問、などに惑わされずに、"解ける"大問を見抜くため
- 内容:問題文および設問に一通り目を通し、頭の中で解答のニュアンスを把握(この時点で明らかに解答が判明する設問は、解答用紙に解答を記入)
- 得点できそうな大問2つを"深く"解く(MAX 80分(40分×2))
- 途中退室せず時間いっぱい見直す(MIN 10分)
「全ての大問を"浅く"解く」に関しては、他の受験者の方々とは異なる比較的珍しい時間の使い方かなと思います。
「この分野は絶対解く」「この分野は絶対捨てる」といった明確な得意/不得意分野がなく、文章読解スピードが比較的速い(且つ読解した内容を脳内メモリにキャッシュしておける)方には合うかもしれませんが、向き不向きが激しい戦略のため、万人におすすめはできないかなと思います。
そのため、上記戦略を採用してみたいと考えている方も、まずは過去問などで実際に試してみて、肌に合うか確認してから採用することをおすすめします。
当日の感想
午前Ⅰ試験
私の試験会場の教室では、思っていたよりも午前Ⅰ試験からの受験者が多かったです。
体感としては、受験者全体の7割くらいといったところでした。
初見の計算問題や知識問題がいくつか出題されましたが、出題数としては試験問題全体の1-2割程度であったため、初見問題が全滅だとしても6割を切ることはないなと安心していました。
午前Ⅱ試験
過去問と同一の問題やその類似問題が多く出題され、比較的簡単でした。
そのため、午後試験の倍率が高くなる(採点が厳しくなる)ことを懸念していました。
午後試験
ここからが本番です。
試験開始前、解答用紙が配布された段階では、以下のようなことを考えていました。
- 字数制限、復活してるじゃん。
- 大問2の欄に「EPSS値」なる初見の単語があるな…。「現状値」はCVSSだろうから脆弱性管理系の大問かな。これは選択しないだろうな…。
- 大問3の欄にURLを記入する箇所があるな…。開発系の大問だろうからこれは選択しようかな。
そして試験開始後、時系列に沿った頭の中(大問選択に関する考えの移ろい)は以下でした。
- まずは大問3を見てみよう。あんまり解けないな…。TLS 1.3のハンドシェイクの順番なんて暗記してないし、他の大問の方が解きやすいかもしれない。切り替えよう。
- 大問1を見てみよう。CI/CDパイプライン、耳なじみのある言葉。これは解けそう…!
- 大問2、「Attack Complexity」とか「EPSS値」とかって特に注釈ないのか…。厳しそうかな。
- 大問4、これも管理系か。大問2のように初見の単語はないけど、その分こっちの方が内容はとっつきにくい気もするな…。
- さすがにそろそろ深く解き始めないと間に合わないか。
- 大問3に戻ってきた。TLSハンドシェイクも推測である程度は解けそうだが、記号問題で部分点がないからかなりリスキーだな…。他の設問もあまり自信をもって解答できないし、管理系で部分点狙いの方が安定するか…?
- 大問2、改めて見ると、最後の記号問題はサービス問題だな。初見の単語は他のほとんどの受験者も初見だろうから国語力や推測力で勝負できそう。ある程度推測でそれっぽいことは書けそうだし、これにするか…!
大問選択に迷いまくっている様子が伺えますね。笑
正直、頭が真っ白になりかけていて、かなりテンパっていたと思います。
手汗で解答用紙が少しふやけて波打っていたほどです。
試験終了時点では、これは終わったわ…と思っていました。
部署の週報でも「さすがに落ちました」と投稿していました。
午後試験問題の振り返り
改めて午後試験問題を振り返ってみます。
なお、実際に選択した大問は、上述のとおり、問1と問2です。
問1:サプライチェーンのリスク対策
- 設問1(1):
- 設問3(2):
- このタイプの設問で空欄3つ中2つが「問題なし」になるなんて思わないですよね…!笑
- 純粋な設問の難易度だけを考えたら決して高くはないんですが、2つも「問題なし」になるわけないよな…?と何度も問題文や図表を見返して解答時間を吸われたのは私だけではないはず…。
- ちなみに私は結局bを「問題なし」、cを「問題なし、ただし〇〇することが望ましい」のような解答とし、cの正解が「問題なし」ではなかったときに部分点を1点でももぎ取ろうとする中途半端な解答にしました。
問2:脆弱性管理
- 設問1:
- 空欄が5つ、選択肢はア〜エの4つ、という状況で、アとイしか使わないなんてことあるのか…?と疑心暗鬼になりつつ解答しました。
- 設問3(1):
- iが曲線、kが鍵長なのは分かるとして、kとjは勘でしたね…外しましたが…。
- 設問3(3):
- クライアント証明書によるデバイス認証ォォォ!(冒頭挨拶の伏線回収)
- 設問4(1):
- Attack Complexity、初見だが???注釈もないが???シラバスにも載っていなかったが???と心の中で叫んでいました。笑
- とはいえ、名称的に攻撃の複雑さに関する指標だろうということと、LとHはLowとHighだろうということは十分推測可能な範囲だったため、攻撃者視点で簡単に攻撃できるならL、攻撃が複雑で困難ならH、ということだろうと推測して解答しました。
- 採点講評でも「正答率が低かった」と書かれていましたね。それはそうです。(?)
- 設問5(1):
- EPSS値、初見だが???注釈もないが???シラバスにも載っていなかったが???と心の中で叫んでいました。笑
- ただ、これも、「CVSS現状値だと手間がかかり、EPSS値だと手間がかからない」ということなので、算出し直したり再評価したりする手間が不要なのかな、といった推測で多少の部分点は稼げたのかなと思います。
- 採点講評でも「正答率が低かった」と書かれていましたね。それはそうです。(?)
- 設問5(3):
- 問題文の最初の状況説明のあたりにわざわざ「P社のWebアプリ診断は、脆弱性が実際に悪用できることを確認したうえで報告してくれるので、評判がよい」と(読み進めるうえでは特に不要そうな評判の良し悪しが)記載されているのは、謎解き的に考えたらさすがに怪しすぎないか?と思っていたので、この設問を見たときにピンときました。
- EPSS値のことは分からないながらも、ここは完答できました。
合格発表
記事タイトルのとおりですが、無事に合格していました。
合格できてホッとしていますが、主観として"解けなかった"ことは事実ですので、慢心せず、今後も継続的にキャッチアップを続けていきたいと考えています。
なお、午後試験に関しては、各社の解答速報などを参考に甘めに自己採点した点数よりもさらに上振れた点数であったため、かなり甘めに部分点を貰えたようです。
これは完全に推測ですが、今回に関しては、部分点はほとんどが加点方式で、解答文に多少ニュアンスがおかしい記述が含まれていても、減点はされなかったのかもしれません。
そのため、「若干見当違いな部分や方向性がズレた箇所が混入してもいいから、とにかく分かることや推測できることで解答欄を埋める」、といった姿勢が大事なのかもしれません。
おわりに
本記事では、令和7年度春期情報処理安全確保支援士試験に向けての学習や、実際に受験してみての感想について、共有しました。
本記事をお読みいただいたみなさまの合格を願っています!
最後までお読みいただき、本当にありがとうございました!
執筆:@miyazawa.hibiki
レビュー:@handa.kenta
(Shodoで執筆されました)
