Top > 最速攻略情報処理安全確保支援士

情報処理安全確保支援士対策 6月は出題傾向を知ろう｜2023年度秋期

三好康之
2023-06-26 公開

さぁ 6 月も後半になりました。今年 2023 年（令和 5 年）の試験日は 10 月 8 日。試験まで、あと 3 か月半です。そろそろ試験対策に着手しようと考えているのではないでしょうか。

以下の記事にも書いている通り、情報処理技術者試験は、令和に入ってから DX 重視になっています。それから 4 年、もう過渡期とは言えないかもしれませんが、（年 1 回の試験につき 4 回の試験が開催されているものの）はっきりと方向性が定まったとも思えません。しかも、その（変更の） “程度” は … 試験区分や時間区分によって異なっているのが現状です。

新傾向 DX に関する記事

情報処理技術者試験の新傾向 DX に対応する資料・動画まとめ

そこで、令和 5 年の試験対策では、次のように考えて対策をしなければなりません。

令和に入ってからの過去 4 回の出題から “傾向” を把握する
その傾向を踏まえて、取り組み方法の優先順位を考える

時間が無尽蔵にあれば、平成 30 年までの過去問題の傾向と令和に入ってからの新傾向の過去問題の両方を押さえればよいと思います。しかし、ほとんどの人が限られた時間の中で試験対策をおこなっているはずなので、それも難しいでしょう。

そこで、合格確率を上げる … つまり、より効果的な対策になるように、これまでの傾向を加味した対策の優先順位を考えました。午後Ⅱ、午後Ⅰ、午前Ⅱとそれぞれの時間区分ごとに見ていきましょう。

1 午前Ⅱ
- 1.1 分野ごとの出題比率と過去問題の再出題の割合
2 午後Ⅰ
3 午後Ⅱ
4 まとめ

午前Ⅱ

令和 5 年春期の午前Ⅱ試験は、前回試験（令和 4 秋期試験）と比べると情報処理安全確保支援士試験の午前Ⅱの過去問が再出題されている割合が高くなっていました。ただこれは例年通りなので、令和 4 年秋期試験が異常に低かっただけかもしれません。

分野ごとの出題比率と過去問題の再出題の割合

令和 5 年度の午前Ⅱ試験は、全 25 問中 20 問がセキュリティ分野とネットワーク分野の問題でした。内訳は、セキュリティ分野が 17 問、ネットワーク分野が 3 問なので、そのあたりの割合は何も変わってはいませんでした（平成 22 年春期試験からずっとこの割合）。

その 20 問のうち、情報処理安全確保支援士試験の午前Ⅱの過去問題がほぼそのまま出題されているのが 6 割に当たる 12 問です。前回試験（令和 4 秋期試験）は 7 問だったので大幅に上昇した形になっています。

ただこれは、令和 4 年秋期試験の午前Ⅱ試験だけ極端に新規の問題が多かったというわけではありません。確かに情報処理安全確保支援士試験の午前Ⅱ試験の過去問題が再出題されたのは 7 問だけだったのですが、他に「ネットワークスペシャリスト試験」の午前Ⅱ試験で出題されていた過去問題が 4 問、「応用情報技術者試験」の午前問題で出題されていた過去問題が 1 問あったので、それを含めると 12 問になります。同じでした。

また、セキュリティ分野とネットワーク分野のうち、新しく作成されたと思われる問題（ 8 問）のうち、完全に新規の問題（過去問題をたとえ完璧に理解していてもそれだけでは解けない問題）が 3 問で、残りの 5 問は過去問題の派生型の問題（過去問題で問題文や選択肢に出てきている用語が使われていたり、過去問題を理解して解くことができれば解けるだろう問題）でした。

そして最後に、ネットワーク分野とセキュリティ分野以外の問題（レベル 3 の分野の問題）の 5 問についてですが、各分野から 1 問ずつ出題されるという点は変わっていません。情報処理安全確保支援士試験の午前Ⅱで出題された過去問題も、 5 問中 1 問（データベース分野の問題）だったので例年通りです（例年 1 ～ 3 問なので）。

分野	内訳		出題数
情報セキュリティとネットワーク			20
	情報セキュリティ		17
	ネットワーク		3
	ほぼそのままの過去問題		12
	新規作成		8
		過去問題のアレンジ	5
		完全に新規	3
その他の分野			5

以上のような傾向から、午前Ⅱの対策も例年通りで良いと思います。

優先順位: まずは情報処理安全確保支援士試験の過去問題を解けるようにしましょう。全 25 問のうち平均で 13 問（セキュリティ分野とネットワーク分野で 12 問、その他の分野で 1 問）は過去問題から出題されているからです。令和 5 年の春期試験では、前回と前々回を除く 3 回前（令和 3 年秋期）～ 12 回前（平成 28 年秋期）の過去 10 回分の情報処理安全確保支援士試験の午前Ⅱ試験から出題されていました。そこで今回も、平成 29 年春期から令和 4 年春期までの 10 回分の過去問題を中心にチェックしておきましょう。
単に過去問題と同じ問題が出題された時に正解できるだけではなく、しっかり理解していれば、新たに作成された問題のうち「過去問題の派生問題」も解けます。そこまで仕上げれば 15 問以上の正解は狙えるでしょう。
優先順位: 令和 4 年秋期のように、年度によっては情報処理安全確保支援士試験の午前Ⅱだけではなく、ネットワークスペシャリスト試験や応用情報技術者試験の過去問題から出題され、その分、情報処理安全確保支援士試験の過去問題からの出題が減ることがあります。そうした状況にも対応できるように、ネットワークスペシャリスト試験の午前Ⅱの問題と応用情報技術者試験の午前問題のうち、ネットワーク分野とセキュリティ分野の問題に目を通しましょう。ここでも平成 29 年春期から令和 4 年春期までの 10 回分の過去問題を対象にします。なお、ネットワークスペシャリスト試験の午前Ⅱのネットワーク分野の問題では、ルータや IP 電話等出題されない問題もあるので、情報処理安全確保支援士試験の過去問題をチェックして取捨選択することをお勧めします。の対策でネットワーク分野の問題の範囲を見極めましょう。
優先順位: これまでの対策で、ほぼ大丈夫だとは思います。ただ、それでも時間があれば平成 28 年以前の問題に範囲を広げていきましょう。多くはありませんが、 8 年以上前の問題が久しぶりに出題されたケースもあります。

午後Ⅰ

令和 5 年春期の午後Ⅰ試験は、問 1 が「セキュアプログラミング」、問 2 が「セキュリティインシデント」、問 3 が「クラウドサービスの認証（ SAML 認証）」というラインナップでした。

問 1 は「セキュアプログラミング」の問題でした。題材は、SQL インジェクションとレースコンディションです。セキュアプログラミングの問題の午後試験における出現率（午後Ⅰもしくは午後Ⅱで出題された回 / 平成 21 年以後の全 28 回）は実に 89 % 。かなりの高確率ですが、これでも令和に入ってからはやや減速気味です。令和 3 年春期や令和 4 年秋期には出題されていません。平成 30 年までは、ほぼほぼ午後Ⅰの問 1 で出題されていましたからね。 20 字を超える記述式の設問はありませんでした。

問 2 は「セキュリティインシデント」の問題でした。ファイアウォールのログ解析、 C & C サーバを使った攻撃、 DNS サーバの仕組みなどの知識が問われる設問になっています。 40 字以内で答える記述式の設問が 2 つ、 30 字以内で答える同設問が 2 つ用意されています。

問 3 は「クラウドサービスの認証（ SAML 認証）」の問題でした。解答に当たっての必要知識は IDaaS 、 SAML 認証、 PKI や電子証明書、 CASB などです。認証とアクセスコントロールを題材にした問題も定番です。午後試験における出現率はセキュアプログラミングと並ぶ 89 % です。今回は SAML 認証が題材でした。 40 字以内で答える記述式の設問が 2 つ、 30 字以内で答える同設問が 1 つ用意されていました。また、選択式の設問も比較的多かったので解きやすかったと思います。

こうしたことを総合的に考えれば、午後Ⅰの対策方針は次のようになると思います。

優先順位: 例年通り午前Ⅱ対策を先に進める
情報処理安全確保支援士試験の午後Ⅰ試験では、「知識」があれば合格できます。一見すると当たり前のことを言っていると思われるかもしれませんが、他の試験区分はそうではないことが多いのです。時間との戦いであったり、国語力（問題文を速く読解する能力や、相手の問に速く正確に表現する能力）が必要だったりします。ただ、情報処理安全確保支援士試験はそうではありません。知識の絶対量の多さが合否を左右する最大の要因になるのです。そのため、まずは知識の絶対量を増やさなくてはいけません。それに最適なのは午前Ⅱ試験の問題なのです。
優先順位: 午後Ⅰの過去問題を使って学習する
午前Ⅱで問われることが頭の中に入ったら、続いて、午後Ⅰの過去問題でしか問われないことを覚えます。そのために、午後Ⅰの過去問題を使います。認証技術や PKI 、境界防御、ログ解析、 CSIRT 、標的型攻撃への対応、電子メール他各種サーバの設定など、午後Ⅰ試験の過去問題がいい教科書として使えることも少なくありません。他の試験区分のように時間を測って解く必要はありませんし、何なら「一度自分で解いてみる」ことも不要かもしれません。問題文と解答・解説を読みながら、知らないことがあれば覚えるというスタンスでも構わないでしょう。
優先順位: セキュアプログラミングの問題を解けるようになる
令和に入ってからセキュアプログラミングの問題が出題されることは少なくなっています。また、出題されてもこれまでの傾向では 1 問だけです。そのため、プログラムのソースが読めない人でも避けて通ることはできます。しかし、セキュアプログラミングの問題が解けるようになれば、選択肢が増えるだけではなく、記述式の設問が少ないので自信をもって正解できる設問が増えるというメリットもあります。
そこで、時間的に余裕があればセキュアプログラミングの対策も進めましょう。他のテーマと違って、いくつかのプログラム言語を覚えないといけないので時間がかかるので、じっくりと腰を据えて挑みましょう。具体的には HTML の基礎、 C++ や Java 、 ECMAScript 、 SQL です。ソースが読めるようになれば、問われるポイントは決まっているので取り組みやすいと思います。

午後Ⅱ

令和 5 年春期の午後Ⅱ試験は、問 1 が「 Web セキュリティと題したセキュアプログラミング」、問 2 が「クラウドサービスの認証・認可」の問題でした。いずれも、総合問題として様々なことが問われています。

問 1 の「 Web セキュリティと題したセキュアプログラミング」の問題では、新規 Web サイトの開発に対して脆弱性診断を実施し、 SQL インジェクション、 XSS （クロスサイトスクリプティング）、 cookie の HttpOnly 属性などについて問われています。設問は 6 つで、問われていることは約 20 問。そのうち 30 字以上の記述式の問題は半数の 10 問、総最大字数 400 字でした（ 30 字以内の記述式が 3 問、 40 字以内の記述式が 5 問、 50 字以内と 60 字以内の記述式が各 1 問）。これらは問題文の状況を読み取って解答しなければならないものもありますが、知識が無ければ解答できないものが中心です。

問 2 の「クラウドサービスの認証・認可」の問題では、クラウドサービスの基礎、適切な権限付与、 OAuth2.0 、 JSON 、 CRYPTREC などの知識が必要になる問題です。設問は 5 つで、問われていることは 24 問。そのうち 30 字以上の記述式の問題は 5 問で総最大字数 240 字でした（ 40 字以内の記述式が 3 問、 50 字以内と 70 字以内の記述式が各 1 問）。問 1 に比べて記述式が少なく、午前問題で問われるような問題も多かったと思います。

以上より、午後Ⅱ試験も例年通りの対策で構わないと思います。次のような優先順位で進めていきましょう。

優先順位: 午後Ⅰの優先順位と同じ。午前Ⅱ問題を確実に仕上げる
優先順位: 午後Ⅰの優先順位と同じ。午後Ⅰの過去問題を使って学習する
情報処理安全確保支援士試験の午後Ⅱ試験と午後Ⅰ試験では、問われていることはさほど変わりません。午後Ⅰ試験が特定テーマを対象にした問題で、午後Ⅱ試験が総合的な問題になっているぐらいでしょうか。そのため、午後Ⅰ対策を進めていけば、おのずと午後Ⅱでも点数が取れるようになります。
優先順位: 午後Ⅱの過去問題を使って学習する
午後Ⅰ試験と午後Ⅱ試験の違いをもう少し細かく見ると、令和 5 年春期の午後Ⅱ試験の問 1 のように、 30 字以上の記述式の設問の比率が多いことに気付くと思います。他の試験区分のように、問題文の状況を読み取って、問題文中の言葉を引用しながら解答するという類のものではないので国語力はさほど必要はありませんが、それでも苦手な人もいるでしょう。仮にそうなら、午後Ⅱ試験の過去問題を活用して記述式の設問を中心に練習するのもひとつの手だと思います。