情報システム部でAWS周りの運用保守をしている「ねぎ」です、こんにちは!
この度、情報処理安全確保支援士(第026074号)に登録されました!
今回のブログでは、受験のきっかけから~受験~登録までのお話をしていきたいと思います。
情報処理安全確保支援士とは
IT初の士業資格として、経済産業省が促進しているものとなります。
- 法律名:情報処理安全確保支援士
- 通称名:登録セキスペ(登録情報セキュリティスペシャリスト)
- 英語名:RISS(Registered Information Security Specialist)
情報処理推進機構が試験の運営などを実施しています。
現在は士業登録を行っても、独占名称資格となっていて、独占業務はありません。
一方で資格の更新のためには、1年に1回オンライン講習と、3年に1度の集合研修があります。
将来的には情報処理安全確保支援士の企業における必置化が議論されているようなので、今後も情報を注視していきたいと思います。
受験のきっかけ
FY23からCCoEを兼務することになりました。
担当はAWSのセキュリティとガバナンスですが、
セキュリティに関して詳しくない人にセキュリティ対策をしてくれと言われてもな…。
と思われる方も出て来てしまうかなと思い、ある程度の知識を備えてCCoEに臨もうと考え、取得しようと思いました。
ちなみに情報処理技術者試験は、社会人1年目に会社から強制的に受験させられて以来、10何年振りでした。
基本情報技術者は取得していますが、応用情報処理技術者試験はすっ飛ばして、情報処理安全確保支援士試験を受験しました。
受験
試験の内容は以下のページで紹介されていますが、午前から午後まで1日がかりの試験となります。
※2023年秋試験より、午前Ⅰ、午前Ⅱ、午後の試験区分に変更されました
※受験時は2023年春試験だったので、午前Ⅰ、午前Ⅱ、午後Ⅰ、午後Ⅱの4つの区分でした
以降では各試験区分の感想を記載していきたいと思います。
2023年の試験問題は以下からご確認ください。
午前Ⅰ
個人的には一番難しいんじゃないかと思っています。。。
人によっては午前Ⅰ試験の合格だけ(※)を目指す人もいるとか。
とにかく問われる範囲が広いので、広く浅く知識を付けておかないと足切りになってしまう鬼門でした。
一番勉強したんじゃないかなと思います。。。
四肢択一のマークシートです。
※午前Ⅰ試験に合格すると2年間免除される
午前Ⅱ
午前Ⅰよりはセキュリティとネットワークの分野に特化した範囲となるため、人にもよりますがこの試験区分は対策が立てやすく、一番やりやすいのではないでしょうか。
四肢択一のマークシートです。
午後Ⅰ
午前のマークシートから変わって、記述式となります。
20字~70字程度の短文記述、語句記述、回答選択式の記述、のどれかが問われます。
- Webアプリケーションのプログラム開発における脆弱性などが問われた問題
- 本社と工場をネットワークで接続されたシステムにおけるセキュリティインシデントに関する問題
- クラウドサービス利用に関する問題
上記の3問が出題され、2問を選択して回答する形式となります。
私は「2」と「3」を選択しました。
情報処理安全確保支援士は、どの問いも5ページから6ページの分量となるので、中々読みごたえがあります。
問2はセキュリティインシデントの痕跡が見つかったので、どういう点でそれが気づけたのか?、再発防止はどうするべきなのか?、など実務でも役立ちそうな設問となっていました。
問3は弥生でも多く利用しているクラウドサービス。
特に頻出となっているSAMLの認証に関して、在宅勤務導入におけるリモートワークのセキュリティ確保、などが問われました。
問1も解けそうでしたが弥生に入社してからアプリケーション開発からは遠ざかっているので、選択をしませんでした。
午後Ⅱ
最後の試験区分です。
午後Ⅰの試験もかなり長文でしたが、さらに倍くらいの12ページから13ページ規模の長文が出されます。
午前Ⅰ試験(9時30分)から午後Ⅱの開始(14時30分)まで、すでにかなり長時間試験で疲れている中で、この長文の分量です。。。。
問題冊子を開いただけで、ちょっと目がくらんでしまいますが、なんとか負けずに問題文の内容を見ていきます。
- Webサイトの脆弱性診断に関して
- Webサイトのクラウドサービス移行に関して
春試験で問われたのは上記2問で、1問を選択して回答する形式です。
どちらも実務で経験があるような内容でしたが、弥生に入社してからは問2のほうが実務に近いな、と感じて選択しました。
IaaS、PaaS、SaaSの区分に関する設問や、イベント検知に関するJSON形式を問う問題、認証・認可に関する問題、セキュリティトークンの扱いに関する問題
などの内容でした。
脳みそフル回転で2時間の試験を一気に駆け抜けました。
※個人的な感想ですが、すべての解答欄をなんとか埋めれば温情点があったのでは?と思っていますw
登録
合格証書のコピー、登録免許税の収入印紙(9,000円)・登録手数料(10,700円)の振り込みなどを行って、登録に必要な申請書類を郵送します。
詳細は以下となります。
郵送した後、1カ月くらい経って申請書類の受付完了通知が来ました。(7月18日に郵送して、8月初旬に受付メールが来たという感じです)
その後、10月1日登録の前日に登録証(カード型)と一緒に情報処理安全確保支援士のポータルサイトログインに必要なID、パスワードの通知書類が届きました。
10月1日になると情報処理安全確保支援士の検索サイトからも、登録した内容が表示されるようになっていました。
現在は21,201人登録されているようです。(2023年10月登録時点)
今後
なんとか一発合格出来た情報処理安全確保支援士の試験。
1月から3月の繁忙期の3カ月間で、時間を見つけて勉強していた感じでした。
勉強時間きっちり計ってはいませんが、100時間から200時間くらいだったと思います。
高度情報処理試験に合格して午前Ⅰ試験の免除が2年間使えるので、今後はその他試験もチャレンジしてみようかなと思っています。
あとがき
セキュリティの分野に関して幅広く知識を整理出来るいいきっかけとなりました。
今回の試験では問われませんでしたが、試験範囲にはWAFの分野も入っていたので、実務で使っているWAFと、勉強のWAF両面から役割が整理出来たなと思っています。
また頻出となっているSAML、認証・認可のフローについても改めて確認することが出来ました。
引き続き資格の更新を通じて最新のセキュリティ情報のキャッチアップや、社内へのフィードバックをやっていきたいと思っています。