改訂について：
当記事をご愛顧いただき、ありがとうございました。古い本を最新版に変更する改訂をしました。そこで、現在の記事で紹介されている本の１〜３世代前が実際に使った本とご理解いただければ幸甚です。

なお、平成２３年春季特別試験プロジェクトマネージャにも合格しましたので、体験記をアップしております。
PM未経験者のプロジェクトマネージャ試験（情報処理技術者試験）１ヶ月合格体験記 - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常

本日は、平成２２年春期情報処理技術者試験の合格発表の日。
幸いにも、今年の４月に行われた情報セキュリティスペシャリスト試験（SC*1）に合格することができた*2。
今年１月*3の受験勉強開始時には知識はほぼ０で、

TCP／IP？
なにそれ？　美味しいの？

という感じであった*4ことから、独学で、知識０から３ヶ月半の勉強で情報セキュリティスペシャリスト試験に合格したことになる。
２０１０年度秋期試験ないし２０１１年度春期試験に向けて勉強されている皆様の勉強の際に、少しでも参考になればと思い、やや長文になってしまうが、この３ヶ月間どのような勉強法をとってきたかを紹介させていただきたい。

１．情報セキュリティスペシャリスト試験とは
　IPAの情報処理技術者試験のうち、応用情報技術者試験の上の「高度試験」に位置づけられる試験。昔のセキュアド*5、テクニカルエンジニア（セキュリティ）に相当*6。
　基本情報・応用情報との最大の違いは「プログラミング・アルゴリズムの知識がほとんどなくとも合格できること」である。基本情報・応用情報の午後の問題は、プログラミング・アルゴリズムの比率が相当あり*7、回避して合格することは相当困難といえよう。これに対し、情報セキュリティスペシャリストでは、一部セキュアプログラミング等の問題は出題されるものの、問題の選択によっては、プログラミング・アルゴリズムを回避しても合格できる。この点は、文系に優しい試験と言えよう。
　なお、午前Iの問題は応用情報の午前と同じ*8であり、応用情報に合格することにより、午前Iの免除が可能である*9。午後IIは、専門知識の４択問題、午後Iと午後IIが記述式問題となっている。

２．戦略立案
　法学部卒、仕事持ち（法律系）のため、仕事やこれまでの経験が試験に生かせず、しかも、勉強に使えるのは休日と通勤時間くらいしかない。
そこで、最小限の時間の勉強で最大限の効果を立てるため、合格のために以下の３点の戦略を練った。

１．基本→応用→高度と徐々にステップアップ
　情報処理技術者試験のよいところは、試験のレベルが階段状になっていることである。それを最大限利用して、最初は基本情報技術者試験*10の勉強をし、ある程度身についたところで、応用情報技術者試験*11の勉強をし、その上で、情報セキュリティスペシャリストの勉強へと移行した。

２．アウトプット中心勉強
　いくら知識を詰め込んでも、結局、試験当日に解答できなければ意味がない。イメージとしてはインプット２対アウトプット８の割合で勉強時間を使った。

３．６割クリアのためだけの勉強をする
　高度試験は、満点を目指そうとすると猛烈な勉強が必要になる。例えば、スペシャリスト系試験の午後を完璧にしようとすると、まさに基本知識から最新知識まで網羅的に勉強する必要がある。しかし、IPAの出している合格基準によれば、素点で６０％を獲得すれば必ず合格する試験である。そこで、あくまでも６０点クリア*12だけのための勉強をすることにした。つまり、「６０点」のクリアのために必要な過去問プラスアルファだけの勉強をして、それ以外の雑誌の最新知識等は捨てたのである。

３．各時期の勉強内容
（１）年末年始の休暇で基本情報技術者レベルを仕上げる
　年末年始は３ヶ月半の勉強期間で唯一まとめて勉強できる時期。これを利用して、基本情報技術者午前レベルを固めることにした。
　具体的には、帰省先*13行きの新幹線で

を読んだ*14。ITパスポートレベルの内容からわかりやすく解説しており、何もシステムのことを知らない人が理解するにはもってこいだと思う*15。
　その後、の２２期分（当時）の過去問を、１日当たり３年分のペースで午前だけを解いた*16。最初は正解率が２０〜３０％*17だったが、過去問の使い回しがものすごいというのが、情報処理技術者試験である。１０期分くらいを行うと、ここでみた、あそこでみたという問題がほとんどになり、２１期分を終わらせた時には、過去問の使い回し問題だけは完璧になった。実際には、過去問使い回しの割合が８割くらいなので、いつの間にか基本情報の午前は８割取れるようになっていた*18。
解き方としては、問題と選択肢を読む→当然分からないので解説を読む→なるほど→次の問題へという方法であり、最初は見直しにかなりの時間がかかったが後の方ではかなり速く解けるようになった。

（２）１月に応用情報技術者試験を仕上げる
高度試験の午前I対策として、

を３回解いた*19。
 åŸºæœ¬æƒ…報技術者試験の午前レベルだけの理解でどこまで対応できるのか、試しに問題を解いてみたところ、間違える問題も多いが、間違えた問題でも解説が理解できる。これは、基本情報技術者試験の過去問を何度も繰り返して、その解説を読んで、どうしてこれが正解になるかを考えたことの効果だと思う。おかげで、問題集を３回解いた時には、安定して７割正解できるようになっていた。

（３）２〜４月の専門知識対策
　上記のような応用情報レベルの知識を前提に、２月からは専門の勉強を始めた。
　まず、重要事項を知ろうと、

を読んだ*20。この本は「はじめに」に「低空飛行型合格本」と書いているように、かなり情報量が限定されているが、非常に重要な基本事項をわかりやすく解説しているので、基礎固めにはもってこいである。
　その後で、の問題を解こうとした*21。しかし、同書は、「本番レベル問題」が詰まっており、かなりレベルが高く、当時の生半可な知識では、これらの問題を解こうにも、まったく歯が立たなかった。もっとも、解説は充実していてわかりやすいので、問題と解説を「読んだ」。すると、３回目くらいから、やっと問題をみて「あれ、ここは、S/MIMEだっけ、それともSMTP-AUTHだっけ？」等と悩める程度*22まで、おぼろげに知識が入ってきた。そこで、３回目と４回目は解答を予想してから正答例を見るようにした*23。
　*24素人が情報セキュリティスペシャリストを受験する際の一番の壁は「用語」だと思われる。個人的な経験でも、MACアドレスをやっと覚えて、MACだったらみんなMACアドレスのことだと思ったら、Message Authentication Codeの意味だったりして混乱した経験や、TLSはトランスポートレイヤーセキュリティの略語だから、トランスポート層のものだと思ったら、セッション層だったりした経験がある。こういうややこしい用語は、数をこなして慣れ、「お友達」になるしかない*25。情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版を繰り返し読むことで、ややっこしい用語とお友達になったのが、情報セキュリティスペシャリストの合格にとってはかなり重要だと思う。

情報セキュリティスペシャリスト[午後]オリジナル問題集2010年度版 (Shuwa SuperBooK Series)の勉強は２月で一段落ついた。
その上で、最後の１月半を、徹底的な問題演習に宛てた。使ったのは、

というiTECの情報セキュリティスペシャリスト本シリーズの三冊である*26。使った順番は、本試験問題→「専門知識+午後問題」の重点対策→予想問題である。基本的には、過去問が一番重要で、それを踏まえて、予想問題で過去問の知識と情報セキュリティスペシャリスト[午後]オリジナル問題集2011年度版で問題が解けることを確認した*27。
　個人的に一番感動したのが、「専門知識+午後問題」の重点対策の「OSI参照モデル７層とプロトコル・回線中継装置の関係」をわかりやすくまとめた図である。ずっと欲しかったのになかった図だったので、とても便利であった*28。
　恥ずかしながら、専門知識をなかなか覚えられず、同じ間違い*29ばかりしてしまっていたので、２回目*30を一通り解いた後に、カンニングブックを作成した。要するに、当日現場でこれを覚えていれば合格するという知識をまとめたワードファイルを作成したのである。過去問で自分が解けなかった問題のうち「知識があれば解けていた」部分の知識を箇条書きにし、その部分に関連する「情報セキュリティスペシャリスト「午後」オリジナル問題集」の知識のうち重要そうなものを盛り込んだものである*31。以下に、その一部を引用する。

・ハーフコネクションはTCPコネクションのSYNとSYN／ACKのやりとりが終わった段階をいう。
・DoS攻撃により、DoS攻撃を受けているサーバの資源が占有され、閲覧者はWWWに接続できなくなったり、接続に時間がかかるようになる。
・SYNFlood攻撃に対向するため、WWWのTCP制御プログラムにおける設定変更としては、ハーフコネクション用のバッファサイズを大きくする（バッファあふれが遅くなる）、応答時間監視タイマのタイムアウト時間を短くする等の対策が考えられる。
→タイムアウト時間を短くすると、すぐにハーフオープンが無効になり、資源占有状態が終了
・ハーフオープンになっている接続開始処理と同じ送信元IPアドレスからの接続開始要求を拒否しても、SYNFlood攻撃の対策としては不十分である
→同じ送信元IPアドレスを使って接続要求するとは限らない

　通勤時間中は、このカンニングブックをひたすら読み込み、土日で繰り返し上記の３冊*32の問題を解いた。あてずっぽではなく正解した問題はパスしたので、正確な繰り返し数はわからないが、合計５回は繰り返したと思う。最初の３回はかなり正答率が低かったが、平日に読んだカンニングブックの知識が土日に生きるので、４月になってからの最後の２回はかなりスムーズに問題を解くことができるようになっていた*33。

（４）模擬試験としての過去問演習
　試験前日の土曜日に、模擬試験代わりに2008 徹底解説 テクニカルエンジニア情報セキュリティ 本試験問題 (情報処理技術者試験対策書)を解いた。要するに、「使ってた問題集に収録される前の古い過去問」である。時間を測ることで、「午後の問題は意外と時間に余裕があるが、問題の選択を誤るときつい*34等、本番の模擬体験ができた*35。なお、前日夜の風呂に入っている時に、最後に残っていた基本情報技術者試験の直近の過去問（午前）を解き、いわゆる「午前?」の勘を復活させた*36。

４．当日の「問題の解き方」のポイント
　（１）問題選択がキモ
　高度情報の午後*37は問題選択で決まるといっても過言ではない。合格レベルの人でも、午後Iの４問全部について確実に６割正解できる人は少ないだろう。これに対し、過去問と「情報セキュリティスペシャリスト「午後」オリジナル問題集」の知識さえがあれば、２問くらいは６割正解できそうな問題があるはずである*38。
　問題選択の方法として個人的に採用した方法は、問題が配られたら最初に４問をざっと見て、きっとこれならいけるという２問*39を決め、１問１０分*40の制限時間で解答をパパっと問題用紙にメモして、「本当にこの解答で６割行けそうか」を自問し、行けそうなら解答を解答用紙に書き、行けなそうなら別の問題を選択するというものである。１０分という制限時間があるので、仮に一度解いた後で*41その問題を放棄したとしても最小限のダメージで済む*42。
　午後IIについては、少し時間が余る感じだと思われるので、どちらも同様の難易度であれば、２問とも解いてベターな方を選ぶということもあり得るだろう。

　（２）知識問題だと思う前に、読解問題であることを疑う
　情報セキュリティスペシャリストは国語だけでは受からないが、問題文のどこかに解答が書いている問題が非常に多い。
　例えば、午後IIの問３では、パスワード忘れの場合の本人確認方法の問題であったが、本文の「なお、初期パスワードの通知書は、パスワードを変更した後も、各利用者が保管するようにP社*43からお願いしている」という問題に使う以外に何ら記載する必要性がなさそうな一文に目を付けていたので、この点を記載*44したら正解となった。
　特に出題されやすいポイントとしては、IDの共用やログを失敗時だけ取っている等*45であり、こういう事項が問題文にあったら絶対にマークをしておくべきであろう。また、情報セキュリティポリシーが問題文にあれば、ポリシーの該当部分を引用するとそのまま解答になる問題が出る可能性が高い*46。また、上記のような「なお」といった特別な接続詞も要チェックである。
　国語が得意な人もそうでない人も、こういう出題されやすいポイントを意識すると、より迅速に解答を見つけられるのではないか。

　（３）絶対に空欄を埋める
　意外とわからない問題があると、解答欄を空欄のままにして提出する人が多い*47が、「間違っても０点になるだけで、更にマイナスにはならない」ことから、空欄は何かかにか埋めておいた方がよい。
　午後IIの問１ではDNSのセキュリティの拡張方式の名前が聞かれたが、覚えていないものは覚えていない*48。ただ、ここで何も書かなければこの問題について得られる点数の期待値は０点である。なんとか、０．１点でも期待値を上げたい。そこで、IPを安全にしたのがIPsecなら、DNSをより安全にしたのはDNSSECではないか？という超安直な発想でDNSSECと入れ、正解となった。
　わからなくとも、何か適当に書けば、*49期待値は０ではなくなる。特に、「（必要）最小限の権限」「責務の分割」といった過去問頻出ワードを入れておくと、正解率が上がったりする。なお、「どういう被害か」と聞かれれば「〜という被害。」というように、質問にキッカリ対応した解答をすることも重要である*50。

まとめ
　セキュアプログラミングを捨て、アウトプット中心で勉強すれば、文系の仕事持ちが、３ヶ月で知識０から情報セキュリティスペシャリストに合格することも可能である。その際には、「徐々にステップアップ」「アウトプット中心」「６割クリアのためだけの勉強」という３つの戦略が有効である。
最後に、参考にさせていただいた本の著者の皆様やホームページの作成者の方に謝意を表させていただきたい。本当にありがとうございました*51。

IT関連エントリ
知識０からの情報セキュリティスペシャリスト３ヶ月合格法 - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常
なれるSEと法務〜リスキーな対応を強要するユーザとトラブった場合の法的判断 - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常
なれる！ SEと法律〜中小企業の法律理解が浮かび上がる - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常
ほむほむのプロジェクト・マネジメント〜ぷろ☆マネ！？ - アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常