はじめに
isubでアプリエンジニアをしています、中野です。
合格発表から数週間経ち、合格証書が送られてきました。 改めて賞状を見ると感慨深いです。
前回は試験対策として、事前勉強の方法をまとめました。
IT分野の幅広い知識が必要な試験ではありますが、「暗記量で殴る試験ではありません(by ChatGPT)」戦術としての対策は諸々あると考えていました。
今回は試験の問題への対策についてまとめたいと思います。
これらは試験の方式がCBT方式になり、最適化は必要になりますが、参考にはなると思います。
午前試験について
午前1・2ともに全て四者択一で不正解箇所への減点もないため、答えを書かないことにメリットがありません。当てずっぽうでも書いた方がマシです。
自分の中での正攻法ですが、午前問題は以下のような手順で分類し、進めていました。
まず、一度最後まで問題を読み、分類してマーキングしておきます。
そして最初に戻り、2巡目で解答を転記します。
最後に3巡目に時間をかけて答えを考えるようにします。
| No | 問題の分類 | 初回マーキング | 2巡目 | 3巡目 |
|---|---|---|---|---|
| 1 | ・計算問題でノータイムで答えがわかる問題 ・正しい選択肢がわかる問題 | 問題番号と正解選択肢に丸をつける | ・見直しをしつつ、解答シートに転記 | ・解答済み |
| 2 | ・間違っている選択肢を除去できる問題 | 問題番号に三角印、除外できる選択肢に斜線をつける | ・集中して考え、勘を入れつつ正解と思う選択肢に丸を付ける ・解答シートに転記する | ・解答済み |
| 3 | ・計算問題で式がわかっている(計算すればわかる)問題 | 問題番号に三角印をつける | ・飛ばす | ・計算し、解答シートに転記 |
| 4 | ・計算問題で式に自信のない問題 ・選択肢で除外できる項目がない問題 | 何も書かないままにする | ・飛ばす | ・計算、勘を使って解答し、シートに転記 |
自分の場合は、2が多く、4と合わせて決め切る思い切りが足りず時間を使ってしまい、時間ギリギリまで解いていました。
しかし、自己採点していた限りでは1、3は正しいものを選択していて落とすことがなかったので、効率的だったと自負しています。
午前2特有の試験当日対策
セキスペでは、「午前の問題が午後でも関連する」と言われているらしいです。
過去問は何度か解いていれば、みたことない用語の問題はあまりない状態になります。その中でも初出・初見の問題があれば、関連する内容が午後でも出るかもしれない。と警戒しておく必要があります。
ですので、解きながら「これは初見」と思った用語をメモ欄に書き出して、午前・午後の間の休憩で調べておくと良いです。
午後の大設問選択について
午後の問題は大設問4問中の2問を選択して回答します。 ですので、当たり前ですが「点数が取れるような問題を選択する」ことが合格へのポイントになります。
今回は以下のような設問がありました。
- Webアプリのセキュアコーディング
- 暗号資産の運用セキュリティ脆弱性対応
- リモートワークを含む社内情報システムのセキュリティ強化対応
- 製造業工場のセキュリティ管理
この中で自分は1と3を選択しました。 理由は、斜め読みした時に、「ノータイムで自信を持って答えが書ける問いの多さ」と全体のイメージのしやすさを重視しました。
大設問選択の考え方は書籍に詳しいのですが、各設問の中の問いは、基本的に以下に分類できます。
- 知識がないとわからない問い
- 設問中から解答を見つけ出す問い
前者の知識問題では、知識があればすぐに答えを書き出せます。
しかし、後者は問いの前提を理解できていても、問題文をよく読み込まないと見落としが発生し、点を落とす可能性があります。
この点で自分は、大設問2の最初の設問が「楕円曲線暗号を用いたデジタル署名アルゴリズムを解答軍の中から全て選べ」となっていて、知識問題で早速「EdDSAってどんなだっけ・・・?」と悩んだりしたのですぐに諦めました。
後から解いてみても、”ECDH,ECDSA,EdDSA”の3点だと思ったら、「ECDHは楕円曲線暗号を使用した鍵交換プロトコルであってデジタル署名アルゴリズムではない。」という引っ掛けで確実に点を落としていたので、選択しなくて良かったと確信しました。(過去問は公式に公開されています。)
大設問全体で見ても、以下の理由から1、3を推していました。
- 1はhtmlやJavaScriptのコーディングレベルの問題があり、自分の中に実務経験値がある点
- 3は実際に自分がリモートで働いてることで状況をイメージしやすく、過去問でもこの手のネットワークは何度か見ているという点
判定は個人の経験から解きやすいと思えるものが変わると思います。
ご自身の得意分野やイメージしやすい問題であるかなど、判断基準を持っておき、迷う時間を減らしましょう。
文章での解答作成について
セキスペでは過去、「〇〇文字以内で答えよ」的な問題が多かったと聞きます。 しかし、直近では文字数制限の無い問いになっていることが多く、自信のない漢字をひらがなで書くデメリットが減りました。 また、回答を絞りきれないときに、併記してしまうという解答ハックができると説く本もあります。
つまり、基本的に書けば得になるということで、思いつくことを適当な接続詞で繋いで正答性を高め、厳しく文章を推敲する時間も不要になったと言えます。
これらを知っているだけで、文章での解答のハードルは確実に下がると感じます。
午後試験の予測について
問われるシュチュエーションや内容は毎回変わるため、「これがわかれば合格に近づく」というようなチートシートはあまりないと思われます。 しかし、実は問題に出てきやすい事柄は実際の社会問題に沿っていることが多いため、心づもりしておくことは可能です。
そもそも試験問題を作成しているIPAは、資格試験の実施だけでなく、インシデント分析や注意喚起、ガイドライン策定など、日本全体のセキュリティ水準向上に取り組んでいる組織です。
そのため、「今、社会全体で何が問題になっているか」という知見が、試験問題にも自然と反映されます。
具体的には、毎年報告されている10大脅威について、今回の出題で言えば以下の点の関連を見ることができます。
大設問1:3位のシステムの脆弱性を狙ったものの対応で、さらに、4位の内部不正についても触れています。
大設問2:5位の機密情報等を狙った標的型攻撃を防ぐ取り組みに関しての内容です。
大設問3:6位リモートワーク等の環境や仕組みを狙った攻撃そのものです。
大設問4:サプライチェーンに関連してセキュリティ管理が急務になったという背景で設問を作成しています。これは脅威の2位の内容です。
日頃からこういった脅威について、自分なりに理解しておくことで問題文の背景をイメージしやすくなり、午後問題の意図や問われる対策も掴みやすくなると思われます。
まとめ
今回は試験問題そのものへの対応についてまとめてみました。
一旦ここまででセキスペの取得に関する内容は終わりにします。
今後は、アプリエンジニアが知っておくと良いセキュリティ情報など、ちょっとした内容を随時お伝えできればと考えております。
投稿者プロフィール
最新の投稿
【ETC】2026年1月27日情報処理安全確保支援士(セキスペ)試験対策について ~試験対応編~- 【ETC】2026年1月11日情報処理安全確保支援士(セキスペ)試験対策について
- 【ETC】2025年12月31日情報処理安全確保支援士(セキスペ)について
【Flutter】2023年3月23日【Flutter】Flutter実装メモ enumの拡張
