情報処理安全確保支援士試験に合格しました

ALL-INユニットの鈴木です。
半年前に引き続き、情報処理推進機構のレベル4試験に合格いたしましたので、ここに受験記を残します。
これにてめでたく高度情報処理技術者試験三冠(SCを含む)になりました。

試験制度説明のコーナー

どういう試験なの?

(画像右上)在りし日の情報セキュリティスペシャリスト試験くん

かつては情報セキュリティスペシャリスト試験というものがありました。
情報セキュリティスペシャリスト試験は、情報処理推進機構が提唱する死語「ITスキル標準」(以下、ITSS)においてレベル4に対応する高度情報処理技術者試験のひとつです。
専門分野は名前の通り情報セキュリティで、業界において常に需要の高い知識領域であることから、応用情報技術者試験に合格した受験生が次の目標に定める試験としても人気が高いものでした。

それを発展的解消したものが情報処理安全確保支援士試験です。

情報処理安全確保支援士に改名されたようす

試験内容や難易度はかつての情報セキュリティスペシャリストを引き継いでいます。
試験制度の変更は何度か行われているものの、それでも難易度感や合格率はかつての試験と地続きになっていることに変わりはありません。

ではその情報セキュリティスペシャリストとの最大の違いは何かといえば、それは「情報処理安全確保支援士」への登録制度です。

情報処理安全確保支援士ってなに?

名称独占資格です。
基本的には情報処理安全確保支援士試験に合格したうえで、登録申請を行い、講習の受講や維持費用のお布施を行わなければこの称号を名乗ることができません。

例えばデータベーススペシャリストは名称独占資格ではないため、データベーススペシャリスト試験合格者がデータベーススペシャリストを自称するのは勝手です。
何なら試験に合格していなくても、名乗ったところで何か困ったことが起こるわけではありません。

ただ情報処理安全確保支援士は話が別で、試験に合格したからといって、登録せずに情報処理安全確保支援士を自称すると違法になります。30万円以下の罰金です。私は現状では登録を行う予定はないため、上記の理由から、この記事では「試験に合格しました」程度の表現に留めています。

なら登録すればよいのでは?

登録料が実質2万円、維持費が3年につき14万円はかかるという謎制度です。
実質30万円以下の罰金です。
実際、試験合格者の大半は登録を行っていないと思います。登録をしなくても、高度情報処理技術者試験に1部門合格するのと本質的に何も変わりありませんからね。

試験の感想

試験前

今回から試験制度が変更になり、午後Iと午後IIが統合されて「午後」試験のみになるとのことでした。午後試験は150分で4問中2問解答するルールです。
ちなみに旧午後Iは90分で3問中2問解答(各問は応用情報の問題より多少長い程度)、旧午後IIは120分で2問中1問解答(各問はめちゃくちゃ長い。10ページくらいある)でした。

単に問題の難易度を据え置きにするだけでは、合格率が従来の20%程度から40%レベルにまで上昇しかねないほどのドラスティックな試験制度変更であるため、「まさか合格率を維持するために、午後IIに毛が生えた程度の制限時間で午後II相当の問題を2問解かされるのでは……。」と戦々恐々としていました。

そのケースくらいでしか落ちる気がしなかったということもあります。

午前I

半年前にネットワークスペシャリスト試験に合格したおかげで免除!
午前Iがあるだけで午前対策の労力が誇張抜きで5倍くらいになるので、免除が適用できるととても気楽です。

午前II

例年より微妙に難しい気がしました。過去問使い回し系の問題も、答えを知らない受験生が直感だけで当てるのは難しくなった程度の改変が多めにされていた印象です。

午後・試験開始直前

解答用紙が配られた瞬間、いくつか不気味な大問があることを確認しました。

一つ目は問1で、最初の設問以外には「n文字以内で答えよ。」用の解答欄しか存在していませんでした。それもnが軒並み長文向けの文字数であったため、記号で答えよやら10文字以内で(本文中の用語を抜き出して)答えよやらの甘えは許さない姿勢を感じました。

二つ目は問4で、異様に自由度の高い記述欄がありました。データベーススペシャリスト試験の午後II解答用紙を彷彿とさせるような雰囲気です。一体何を書かされるんでしょうか……。

一方で、問題冊子のページ数は表紙・裏表紙を含めて32ページしかありませんでした。問題数が4問なので、各問題のページ数は平均8ページ弱ということになります。これは時間に余裕がありそうです。

午後・試験開始

「試験を始めてください。」の号令と同時に問題用紙を開きます。
まずは問1~4のうち、どの問題を選択するかを吟味しなければなりません。
選ぶのは2問。選択を間違えれば合格が大きく遠のきます。

まず解答用紙が不気味であった問1を見ると、どうやらセキュアプログラミングに類する問題のようでした。セキュアプログラミングは出題されたら絶対に選択すると決めていたので、問1を選択することは確定としました。ページ数もさほど多くはなさそうです。

次に問2を見ます。ネットワーク系の問題のようです。問題文をざっとみたところでは特に異変もなく、半年前の受験経験が活きる分野でもあるので、ひとまず選択の候補としておきました。

問3を確認します。コンテナ型仮想化やらCI/CDやらがテーマのようです。これは現在の私の業務と最も密接に関連する分野です。有力な選択候補であるといえるでしょう。

最後に問4を確認します……

おや?

???

あ な た の 知 見 に 基 づ き , 答 え よ 。

怖すぎる。どんな採点をされるかわかったものじゃありません。試験制度変更に伴う合格率の調整をここで行いたい、という試験運営サイドの思惑が露骨に透けて見えます。回避!

結果として、問1および問3を選択することに決定しました。

午後・問1

初歩的なECMAScript(実質JavaScript)の問題です。
攻撃者であるNice shirt!パイセンからは、クロスサイトスクリプティングを利用したセッションハイジャックが試みられます。

Nice shirt!

記述は主に攻撃用のソースコードを読んで何をしているのか答えさせるだけだったり、セッションハイジャックが行われると何が起こるのかを答えさせるだけだったりと、解答用紙の不気味さの割におとなしい問題ばかりでした。
最初の問題のみ3択の記号問題で、知識系の問題ではあったものの、地味にいやらしい引っ掛け的な罠が問題文に仕込んであってちょっと面白かったです。

たったの5ページしかなく、問題も簡単であったため、早くも楽勝ムードです。

午後・問3

CircleCI的なサービスが題材の問題です。
CIサービスベンダー企業だけど裏側で使用しているコンテナになんかやばそうなマルウェアを潜りこまされちゃいました編と、ユーザー企業だけど裏側で使用しているCIサービスのベンダーからなんかやばそうな連絡が来ちゃいました編の二部構成になっています。

全体的に知識問題が多めで、特にコンテナ型仮想化についての知見が無ければ、読解力によるゴリ押しでは合格点に到底届かないような作りになっていそうでした。
少なくとも未経験者が参考書による学習だけで対策できるような類いの問題ではなさそうです。大半の受験者があの問4を選択するように誘導されている気配を感じますね……

逆に言えば知識だけで確実に得点できるため、私自身は得点源にできたと感じていますが、正直受験生の中で問3を選択したのは少数派でしょう。

採点結果

80点ならず。

得点分布を見る限り、そう悪くはない程度の点数ではありそうなので良しとします。
なお意外なことに、試験が1つ減ったというのに合格率は21.9%しかなく、例年より1%前後高い程度でしかありませんでした。採点でどうにかしたんでしょうか……。

おわりに

非論文系高度試験をコンプリートしたので、来期はシステムアーキテクト試験を受験します。