今回の記事では、事業会社の情報システム部門に務めている私が、「情報処理安全確保支援士試験」に特別な試験勉強をすることなく受験し、実務で得た知識のみで合格したのですが、どの様な実務経験が試験問題に活かされたのかを自分なりに考察して紹介していきます。
情報処理安全確保支援士とは
まず初めに、「情報処理安全確保支援士」という資格について簡単に紹介しておきます。
情報処理安全確保支援士とは、独立行政法人 情報処理推進機構(以降IPAと呼称)が管轄する国家資格であり、サイバーセキュリティの専門家として政府や企業の情報セキュリティ確保支援の役割を期待されて新設された資格です。
情報処理安全確保支援士になるには、IPAが実施している筆記試験に合格することが必要になります。
また、情報処理安全確保支援士として国家資格を維持するには、IPAなどが主催する有償の講習に定期的に参加することが必要です。
尚、情報処理安全確保支援士の筆記試験はIPAが実施しており、同団体が行っている「情報処理技術者試験制度」の高度区分のなかに含まれているように見えますが別の試験です。
但し、試験問題は「情報処理技術者試験」と共通している内容も多く、受験方法や試験内容の構成などは「情報処理技術者試験」とほぼ同様です。
また、試験の難易度のレベルは情報処理技術者試験制度のレベル4と同等とされており、一般的には難易度の高い試験という扱いです。
情報処理安全確保支援士は、試験に合格すると自動的に情報処理安全確保支援士に登録されるわけではなく、試験に合格後に必要な書類を用意したうえで情報処理安全確保支援士として登録申請をする必要があります。
また、この登録は任意であり、試験に合格したからといって必ず登録申請をしないといけないものではありません。
試験に合格することで、いつでも登録申請をすることができるようになります。
情報処理安全確保支援士における詳しい説明は以下のリンク先を参考にしてください。
情報処理安全確保支援士試験を受験しようと考えたきっかけ
当ブログ用のSNSアカウントでSNSの書き込みを眺めていると、「情報処理安全確保支援士」といった言葉を見掛けることが多々あり、前身の試験である「情報セキュリティスペシャリスト」から新しくなった試験程度の知識しかなかったため、詳しく調べてみると、以下のような特徴がありました。
- 国家資格である
- セキュリティ人材として肩書が持てる
- 副業などにも活かせる
独占業務はないがIT系初の士業でもあり(多分)、元々セキュリティ分野については仕事上でも長らく関わってきているため、強い興味を持ちました。
そこで早速本屋に行き、情報処理安全確保支援士のテキストや過去問をざっと読んでみると、
意外と簡単かも・・・
ちょうど試験の申込受付も始まった時期でもあり、そのノリで試験を申し込んでみたのが、申し込みまでの一連の流れです。
情報処理安全確保支援士試験の大まかな特徴や出題傾向
私は情報処理技術者試験に対して、一般的な受験者以上の知識がないため、試験対策やテクニックを論じることはできません。
あくまで実際に試験に臨んだ際に出題された設問内容と、この記事を書くために最近の出題内容をいくつか確認したうえで、私の完全な主観で試験問題の特徴や出題傾向を簡単にまとめていきます。
個人的に感じた設問内容の特徴
情報処理安全確保支援士試験では、午前と午後で問題が別れており、設問の構成も異なります。
その簡単な説明をしつつ、私の個人的な感想を紹介していきます。
午前Ⅰ
こちらは試験日当日に応用情報技術者試験で出題される問題のうちから30問を抜き取って出題されます。
余談ですが、情報処理技術者試験ではIPAがその試験の難易度を「レベル」と称し、1から4までランク付けをしています。
そのレベルの内訳は以下です。
| 試験名 | レベル | 略号 |
|---|---|---|
| ITパスポート | 1 | IP |
| 情報セキュリティマネジメント | 2 | SG |
| 基本情報処理技術者 | 2 | FP |
| 応用情報処理技術者 | 3 | AP |
| ITストラテジスト | 4 | ST |
| システムアーキテクト | 4 | SA |
| プロジェクトマネージャ | 4 | PM |
| ネットワークスペシャリスト | 4 | NW |
| データベーススペシャリスト | 4 | DB |
| エンベッドシステムスペシャリスト | 4 | ES |
| ITサービスマネージャ | 4 | SM |
| システム監査技術者 | 4 | AU |
今回の記事で紹介している「情報処理安全確保支援士」はレベル4相当であり、情報処理安全確保支援士の午前Ⅰの問題は、他のレベル4の試験の午前Ⅰと同じ問題が出題されます。
応用情報技術者試験はレベル3に値し、ざっくり言えば「結構難しい」レベルの試験です。
私の感想では、そもそもこの午前Ⅰが一番難しいと感じました。
受験後一定期間が経つと試験結果が公開され、自身の点数も確認することができますが、私の場合は午前Ⅰが最も悪く、合格のボーダーラインである正解率6割をギリギリ上回ったと記憶しています。
このように午前Ⅰの点数が悪かったのは、設問内容はセキュリティ分野だけではなく非常に幅広い分野から出題され、且つ計算式を覚えておかないと解けない計算問題などもあり、これまでの実務経験で得た知識ではカバーできない内容が多かったのが原因です。
次にこの午前Ⅰを受験する機会があれば、その時は真面目に試験勉強をして臨もうと思います。
午前Ⅱ
こちらは情報処理安全確保支援士用の選択式の問題が出題されます。
午前Ⅱは基本的にその試験種類ごとの分野の専用問題ですが、一部は異なる分野の問題も出ます。
私の場合はデータベースにおけるテーブルの参照制約に関する問題や、ソフトウェアに関するテスト手法に関する問題なんかもでました。
選択式ということもあり、私の試験の際にも余裕のある点数を取ることができました。
ただし、セキュリティ関連の問題では私の聞いたことのない言葉や名称なども多く出題され、即答ができないものも結構ありました。
その場合は明らかに違う選択肢は除外して、問題の文面から最も正解っぽい選択肢を選択するなどして偶然正解できたものも幾つかあります。
情報処理技術者試験のイメージでは、良い意味で枯れた技術や流行りに左右されないスタンダードな技術を中心に出題してくるイメージがありますが、私が受験した際の問題では、AIの画像認識を意図的に誤らせる攻撃手法について問われたり、量子コンピューターにおける次世代暗号化技術について問われるなど、新しい技術も積極的に出題されていたのが印象的でした。
午後Ⅰ
午前Ⅰでは、大きく三つの問題が用意されており、そのなかから二つを選択して回答します。
これは情報処理技術者試験のレベル4の出題方式と同じです。
情報処理安全確保支援士でも、午前の問題は選択式ですが、午後からは記述式で回答することが必要になります。
よって、堪と運だけでは合格できません。
尚、私が受験したときは、解答欄をすべて記述して回答用紙を提出できました。
私が受験した際には、以下のような問題が出題されました。
- FWのログから不正アクセスが判明したインシデント対応
- 情報漏洩対策としてIRM製品の検討に伴う考慮内容
- マルウェア対策と感染時のインシデント対応
内容は企業内でも現実的に起こり得る具体的な内容であり、特にインシデント対応の流れについては問題文自体が逆に勉強になったと感じました。
上記の三つの問題から二つを選ぶのですが、私はIRM製品についてあまり詳しくないこともあり、上記の一つ目と三つ目の問題を選択しました。
午後Ⅱ
午後Ⅱでは、大きく二つの問題が用意されており、そのどちらかを選択して回答することが必要です。
こちらも午後Ⅰと同じように記述式で有り、且つ一つの問題自体のボリュームが大きいため、文章を読むだけで大変です。
私が受験した時には以下のような問題が出題されました。
- XSS(クロスサイトスクリプティング)などのWebアプリケーションの脆弱性対策
- Emotetがモデルと思われるマルウェア感染インシデント対応
どちらの問題でもセキュリティインシデントが発生し、その原因の調査や対策に関する内容であり、こちらも勉強になります。
また、内容的には、日々自社のセキュリティ対策に頭を悩ませる情シスであれば、それほど難しい内容ではないと感じました。
情報処理安全確保支援士の試験で役に立った実務経験
当項では、情報処理安全確保支援士の試験において、現在や過去の実務経験が役に立ったと感じた部分を紹介していきます。
パケットフィルタリングなどのネットワーク設計
情報処理安全確保支援士では、ネットワークスペシャリスト試験などでも出題されるようなネットワーク構成を対象としたセキュリティの知識も求められます。
具体的には以下の技術です。
- ファイアーウォールなどのパケットフィルタリング
- スタティックなルーティング
- VLAN
サイバーセキュリティにおいて、通信を適切に遮断して管理することは非常に重要であり、基本的な技術の一つです。
情報処理安全確保支援士の試験では、情報処理技術者試験における「ネットワークスペシャリスト」ほど高度なネットワークの知識は求められません。
実務で小規模なネットワークの構築や保守を経験していれば、その実務経験だけで十分各問題も解けると思います。
私の場合は過去のSIerに勤めていた頃に、自社が商流に入りデータセンターと契約し、顧客のサーバー環境の構築や運用、保守などのプロジェクトを長年担当しておりました。
実務経験としてはそこで基礎的なネットワーク設計の知識を習得しています。
当時の環境は、サーバーが20台ほど、ロードバランサーが2台、FWが4台、ルーターやL3スイッチ及びL2スイッチを多数使用しておりました。
かなり昔ということもあり、すべて物理筐体です。
インターネットに公開しているサーバーもあれば、内部ネットワークからしか接続させていないサーバーもあり、こういった環境ではインターネット側に配置したFWでパケットフィルタリングをしつつ、内部ネットワークとDMZとの境界にもFWを置きます。
セグメントは適切に分割し、そのセグメント同士で通信をさせるためにはルーティングが必要です。
また、ブロードキャストを論理的に分断するためにVLANも使用します。
サーバーのNICは複数使用し、それぞれ異なるセグメントに所属させます。
片側NICは業務用通信を通し、もう片側NICではバックアップ時の通信経路としたり、リモート接続用の通信として使用します。
ネットワーク機器や通信経路も冗長化します。
例えばリンクアグリゲーションを使用して物理的なNICを仮想的に一つにまとめてNIC障害に備えたり、ネットワーク機器で故障が発生した場合に備えてVRRPでゲートウェイまでの経路を冗長化します。
昨今ではIaaSの普及やプライベートクラウドの利用により、物理サーバーの大半は仮想サーバーに置き換わり、FWやルーターなども仮想アプライアンスが採用されることも増えていますが、ネットワーク設計における根幹の考え方は同じです。
セキュリティ寄りのネットワーク設計の実務経験において大きいのは上記の経験です。
また、現在は事業会社の社内SEとして勤めていますが、こちらではデータセンター内でプライベートクラウドを運用しており、上記と同様にインターネット公開サーバーを配置しつつ、内部ネットワークにもサーバーを置いて運用しています。
これらはすべて仮想マシンであり、通信経路の制御は仮想アプライアンスを利用したり、ハイパーバイザの仮想スイッチを組み合わせて行います。
当然これらの環境を自身で構築したり運用するにはネットワーク設計における基礎的な知識は不可欠であり、これらの知識は情報処理安全確保支援士の試験でもそのまま活かせました。
尚、当ブログでは、過去にネットワーク設計におけるセキュリティについて、記事で簡単に解説しております。
良ければ以下のリンク先の記事もご一読ください。
ウェブアプリケーションへの攻撃手法や対策
昔から、インターネット上で公開されているウェブアプリケーションの脆弱性を狙った攻撃は後を絶たず、情報処理安全確保支援士試験では、これらの攻撃手法やその対策に関する知識も求められます。
特に理解しておくべき攻撃手法は以下の二つです。
- XSS(クロスサイトスクリプティング)
- SQLインジェクション
ウェブアプリケーションで報告されるセキュリティインシデントの多くは、このどちらかだと言えます。
この二つの攻撃手法について、過去に当ブログでは記事で解説しております。
良ければこちらもご一読ください。
リンク先の記事でも説明していますが、これらの脆弱性がありそれを悪用されてしまうことで、本来外部からはアクセスできないようになっているデータベースに対して自由にSQLを実行出来てしまったり、アクセスしてきたユーザーをフィッシングサイトへ誘導してしまうことができてしまいます。
よって、情報処理安全確保支援士では、ウェブアプリケーションに対する攻撃手法に関する広い知識を習得しつつ、そういった脆弱性のあるウェブアプリケーションを見つけ次第、適切に対処できる能力が必要になります。
これらに関連する実務経験ですと、これも過去のSIer時代の話になりますが、顧客の「セキュリティ診断対応」の経験役に立ちました。
この「セキュリティ診断」では、セキュリティ系ベンダーが実施している診断サービスであり、前述したデータセンター内で稼働しているサーバー、ネットワーク、各アプリケーションを対象に、総合的にセキュリティ上問題がないかを診断してくれるものになります。
診断担当のベンダーには予めネットワーク構成図やサーバーの認証情報などの情報を提供し、以下のような項目を個々にチェックしていきます。
- サーバーOSのバッチ適用状態
- ネットワーク機器などのファームウェアバージョン
- OS及びミドルウェアの脆弱性検証
- 各ウェブアプリケーションへの攻撃検証
これらのチェックを実施して、各検証結果ごとに危険度や対応方法案を記載したレポートを作成し、報告会の場で顧客に提出します。
我々はデータセンター内の顧客環境の保守も担当しているため、そのレポート内容をもとに、危険度の高い項目から順に対応していくことになります。
その診断サービス内では、ウェブアプリケーションに対して、実際にSQLインジェクションやXSSを試してその結果も報告してくれます。
それらの経験から、ウェブアプリケーションにおける攻撃手法を理解し、その対策としてどの様な実装が必要なのかを知りました。
また、ウェブアプリケーションの開発プロジェクトのプロマネやSEとしての経験もあり、そのプロジェクトでも上記の対策は必須であるため、嫌でも意識することになります。
例えば、ウェブのフォームに入力した文字列をそのまま文字列変数などに入れて、その変数を組み込んだSQLを生成してデータベースに投げるといった処理は、業務システムの開発経験があれば誰でも一度は実装したことがあるかと思いますが、ウェブアプリケーションにおいては、そのような実装はSQLインジェクションで悪用されます。
XSSでもテキストボックスに入力された文字列に対して無効化の処理をしないまま受入てしまうと、不正なスクリプトを実行させるといった悪用ができてしまいます。
ウェブアプリケーションに対する攻撃手法を理解しようとした場合、実際にアプリケーション開発に携わった経験があるとプログラム内部の処理のイメージがし易くなります。
情報処理安全確保支援士の試験で出題されるウェブアプリケーションの脆弱性に関する問題は、それほど高度な内容が問われるわけではなく、ウェブアプリケーションの開発経験があれば、比較的容易に答えることができるレベルの問題です。
よってウェブアプリケーションの開発経験があると試験でも有利です。
暗号化技術の種類や各種用途
情報処理のセキュリティを語るうえで、暗号化技術に関する知識も欠かせません。
当然情報処理安全確保支援士の試験でも、暗号化に関する問題が出題されます。
暗号化とは、その技術単体で使用するものではなく、何らかの技術と併用しながら利用します。
よって、幅広い実務経験のなかで、間接的に暗号化技術も身に付けていくことになります。
暗号化の知識が必要とする実務例としては以下です。
- SSL/TLS証明書の発行やインストール
- 無線LANの暗号化規格の選定
- VPNの暗号化方式の選定
- ファイルの暗号化やキーの共有方式の選定
現代の暗号化技術は様々なもので利用されており、上記は暗号化技術が関連する実務経験のなかのほんの一部です。
上記の一例で言えば、「SSL/TLS証明書」はサーバー証明書として広く利用されています。
このSSL/TLS証明書の一般的な発行プロセスは以下のようになっています。
- サーバー側で秘密鍵を作成
- 作成した秘密鍵を使用してCSR(証明書署名要求)を作成
- 作成したCSRを認証局(CA)に渡し証明書の発行を依頼
- 認証局はドメインの所有者や企業の実在確認を実施
- 認証局はCSRに対して認証局の秘密鍵で署名(暗号化)をしてSSL/TLS証明書を作成
- 認証局が発行した証明書をサーバーに読み込ませて秘密鍵とセットで利用する
ここまでが、SSL/TLS証明書の一般的な発行の流れです。
この手順の個々の工程の意味を理解しないまま、作業として手順書をもとに実施することもできますが、それでは知識として身に付く実務経験にはなりません。
秘密鍵を2048bitで作成することにどんな意味があるのか。
認証局は何故依頼者の顧客が本当に実在しているのかを厳格に確認するのか。
CSRなどのデータをハッシュ化して、認証局の秘密鍵で暗号化したものが、何故通信元の身元を保証する「デジタル証明書」として扱われるのか。
このように個々の工程を理解して、何のためにその工程が必要なのかを考えながら作業を行うことで、初めてそれが実務経験による知識となります。
また、実務では「IPSec VPN」を構築する場合もあります。
IPsec VPNは、インターネット上でデータを保護しながら安全に通信を行うためのプロトコルであり、そのIPsecを構成するプロトコルとして、さらに「AH」「IKE」「ESP」があります。
これらのプロトコルのうち、「ESP」がデータを暗号化するためのプロトコルであり、この暗号化方式を以下の三種類から選択できます。
- DES
- 3DES
- AES
この暗号化方式は、IPsec VPNを構築する場合のパラメータの一つでもあり、任意で選択することになるため、パラメーター例などが提供されていない場合、必ず自身でその違いを調べて選択することになります。
そのような実務経験を経て、各暗号化方式の仕組みの違いや強度の違いなども理解していくことに成ります。
因みに「AH」はパケットの改ざんをチェックするためのプロトコルであり、IKEは鍵交換で使用するプロトコルです。
このように暗号化技術は、現代のITにおいて直接的、または間接的に広く利用されています。
情報処理安全確保支援士の試験で問われる暗号化技術では、上記のように暗号化技術が組み込まれたプロトコルやツールなどを構築したり利用する際に、その仕組みを少しだけ踏み込んで理解しようとすることで、試験で必要になる知識は十分身に付きます。
ランサムウェアなどのマルウェアの仕組みと対策
昨今の企業におけるセキュリティ対策として、最も重要視されているのは、前述したFWなどを活用して構築する境界型防御ではなく、侵入されることを前提とした対策です。
この「侵入」手段として最も注意するべき攻撃手法の1つが「ランサムウェア」を始めとした「マルウェア(コンピューターウィルス)」です。
情報処理安全確保支援士の試験では、この「マルウェア」に感染した場合の対応方法や、それを今後防ぐための対策も出題されます。
これは、現代の企業の情報システムにおいて、最も攻撃が身近に発生しており、且つ被害が発生した場合の影響が甚大になるケースも多いこともあり、「情報処理の安全確保」の意味合いにおいて、必ず抑えておく必要があります。
マルウェアに関する知識を得る実務経験としては、企業の情報システム部門はマルウェアと戦う最前線でもあり、嫌でもその知識は身に付いていきます。
企業のシステム管理者は、その企業の情報システムを守ることも仕事の1つですが、前述したFWなどのネットワーク設計や、ウェブアプリケーションの脆弱性対策は、システム管理者自身が手を動かして対策をするより、そのネットワークやウェブアプリケーションの構築や開発を委託しているシステムベンダーが実作業を担っているケースも多いです。
その意味では、委託しているシステムベンダーが優秀であれば、システム管理者自身が浅い知識しか持ち合わせてなくても何とかなります。
それに比べて、マルウェア対策については、運用を外部に委託し辛い分野であり、システム管理者自身が自ら導入、運用を担うケースが大半です。
よって、システム管理者自身でもマルウェアに対する適切な知識が求められます。
また、システム管理者は自社で利用するマルウェア対策製品を選定する役割もあり、従来から広く利用されている「アンチウイルスソフト」や、従来のアンチウイルスソフトではカバーしきれていなかった未知のウィルスに対する検出の強化や、感染検出時にネットワークから対象端末隔離を主な目的とする「EDR(Endpoint Detection and Response)」製品の選定に伴い、製品の仕様や個々の製品ごとの違いや特徴を調べる機会も多くあります。
また、このようなセキュリティ製品を選定するシステム管理者に対して、自社のセキュリティ製品を売りこむことを目的としたセミナーをあらゆるセキュリティベンダーが常時開催しています。
このように、セキュリティ製品の選定に伴い製品の仕様や特徴を調べつつ、セキュリティベンダーが開催するセミナーに参加して専門家の話を聞くことで、自然とマルウェアに関する知識も身に付いていきます。
情報処理安全確保支援士試験において求められるマルウェアの知識については、上記で説明したような、セキュリティ製品のユーザーレベルの内容で十分かと思います。
具体的に理解しておくべき知識は以下です。
- マルウェア(ランサムウェア)の一般的な仕組み
- マルウェア(ランサムウェア)感染時の影響
- マルウェア(ランサムウェア)感染時の対応方法
敢えて「ランサムウェア」と書いていますが、情報処理安全確保支援士で出題されるマルウェア関連の問題内容の多くは、ここ数年で被害が急増している「ランサムウェア」を取り扱っています。
よって、抑えておくべきマルウェア関連の知識としては、ランサムウェアの一般的な感性経路には何があるのか?
ランサムウェアに感染した場合、一次感染では被害は発生せず、その後C&Cサーバーと通信して、そこからランサムウェアが必要とするファイルをダウンロードしたりリモートで指示を受けて、感染端末のデータを暗号化するなどの処理に進みますが、そういったプロセスの具体的な流れはどうなっているのか?
どのように感染を検出できるのか?
感染を検出したら、どのような対応をしたら良いのか?
といった部分を、システム管理者の視点に立って答えられるようにしておくことが必要です。
最後に
今回の記事では、情報処理安全確保支援士試験を受験し、実務経験のみで合格できた自身の体験を振り返り、どのような実務経験が試験に活かされたのかをまとめてみました。
今回の記事でお伝えしたいのは、私自身特別頭が良いわけではないですし、セキュリティ関連の専門的な業務を専業でやっているわけではありません。
昔はSIerで勤めていましたが、今はただのどこにでもいる情シスです。
社内のITリテラシーも低く、サイバー攻撃の対策以前に、社会人として理解しておくべき最低限のパソコンの知識や使い方を周知させるだけで精一杯の環境で働いています。
それでも、SIerの頃に顧客のインフラ環境の構築や、業務アプリケーションの開発などで身に付けた知識と、事業会社のシステム管理者として企業のIT全域を管理してきた経験から、幅広いセキュリティ周りの知識を得ることができました。
情報処理安全確保支援士の試験では、システム管理者として幅広くセキュリティ周りの実務を経験していれば、特別な試験勉強をしなくてもある程度答えることができる出題内容になっており、非常によくできた試験だと思います。
現代のITにおいて、セキュリティは切っても切り離せない重要な要素の1つです。
もし情報処理安全確保支援士試験を受験したことがなければ、ご自身の力試しも兼ねて、一度受験してみることをおすすめします。
試験勉強をして試験に臨むなら、そこで学んだ知識は必ず自身の仕事に活かせると思いますし、試験で出題される問題は、実際のシステム管理の現場で起こるセキュリティインシデントをモデルにしており、とても参考になります。
受験してみても損はありません。
今回も長々と読んでいただきましてありがとうございます。
それでは皆さまごきげんよう。
