応用情報技術者試験〔午後〕情報セキュリティ 対策 「過去問で知識を増やす」
2021-06-07 公開
応用情報技術者試験の午後問題において、必須問題になっている情報セキュリティ分野(通常は問 1 で出題)をどうするかを考えて行きましょう。
もくじ
選択すべきかどうか
情報セキュリティ分野の問題は、平成 26 年度 春期試験から必須問題になっています。避けては通れません。
加えて、情報セキュリティ分野は、令和 2 年度から高度系のプロジェクトマネージャ試験を除く他の高度系区分でレベル 3 からレベル 4 に引き上げられました。それまではネットワークスペシャリスト試験だけがレベル 4 で、他の高度系区分はすべてレベル 3 だったのですが、今ではプロジェクトマネージャ試験以外は全て、情報セキュリティ分野はレベル 4 なのです。
それにより、情報セキュリティの問題の比率が、質量ともに上がっています。
つまり、情報セキュリティ分野に強くなっておけば、応用情報技術者試験に合格した後、高度系に挑戦する時にも多くの分野で有利になるというわけです。したがって、ここでしっかりと “実力” を身に着けておかなくてはいけない分野だと言えるでしょう。
特徴や課題、対策方法
情報セキュリティ分野を攻略するには、まずは “知識の絶対量を増やす” ことです。
午後の試験は、問題文が長文で記述式の解答を求められることから、国語力や、状況把握能力、状況判断なども求められることがありますが、情報セキュリティ分野の問題は、あまり関係ありません。知識の絶対量の有無で合否が左右されます。これは、応用情報技術者試験に限らず他の全区分(基本情報技術者試験、高度系の情報処理安全確保支援士、情報セキュリティマネジメント)で同じです。
但し、範囲が広く覚えないといけないことも多いので、どの部分をどのレベルにまで絞り込んで対策を行うのかが基本になります。
どんな知識(何について)を、どのレベルまで知っておくべきか?
したがって、まずやらないといけないことは、 “知識の絶対量を増やしていく” ために、どんな知識(何について)を、どのレベルまで知っておくべきか?を把握することです。
IPA が公表している平成 16 年以後の過去問題(平成 20 年以前は、旧ソフトウェア開発技術者試験の問題)をテーマ別に分類したものが次の表です。
| カテゴリ | 年 | 期 | 問題番号 | テーマ |
|---|---|---|---|---|
| 暗号化、電子署名、PKI | 16 | 春 | 1 | 暗号化、電子署名、PKI |
| 21 | 秋 | 9 | PKI( 1 ) | |
| 25 | 秋 | 8 | PKI( 2 ) | |
| 26 | 春 | 1 | PKI( 3 )、SSL | |
| 17 | 秋 | 3 | SSL | |
| ネットワーク | 19 | 春 | 1 | ファイアウォール( ACL ) |
| 21 | 春 | 9 | ファイアウォール( 1 ) | |
| 23 | 春 | 9 | ファイアウォール( 2 )、IDS | |
| 26 | 秋 | 1 | ファイアウォール( 3 )、IDS 、IPS 、WAF | |
| 22 | 秋 | 9 | 検疫ネットワーク( IEEE802.1x 、VLAN ) | |
| サーバセキュリティ | 24 | 秋 | 9 | 電子メールのセキュリティ( 1 ) |
| 27 | 春 | 1 | 電子メールのセキュリティ( 2 ) | |
| 22 | 春 | 9 | DNS サーバのセキュリティ( 1 ) | |
| 03 | 春 | 1 | DNS サーバのセキュリティ( 2 ) | |
| 28 | 春 | 1 | Web サーバのセキュリティ( 1 ) | |
| 29 | 秋 | 1 | Web サーバのセキュリティ( 2 ) | |
| 17 | 春 | 3 | マルウェア対策 | |
| 25 | 春 | 9 | マルウェア対策 | |
| 29 | 春 | 1 | マルウェア対策(標的型攻撃) | |
| 01 | 秋 | 1 | 標的型サイバー攻撃 | |
| 23 | 秋 | 9 | Web アプリケーション( 1 ) | |
| 20 | 秋 | 3 | Web アプリケーション( 2 ) | |
| 30 | 秋 | 1 | 総合的な問題(脆弱性診断) | |
| 19 | 秋 | 3 | 総合的な問題 | |
| 02 | 秋 | 1 | 内部不正による情報漏洩対策 | |
| 利用者認証 | 31 | 春 | 1 | 利用者認証 |
| 18 | 春 | 3 | 利用者認証( IC カード認証) | |
| 28 | 秋 | 1 | 利用者認証(生体認証、IC カード認証) | |
| 27 | 秋 | 1 | 利用者認証( Cookie ) | |
| 20 | 春 | 3 | 利用者認証(シングルサインオン) | |
| インシデント対応 | 24 | 春 | 9 | インシデント対応、ログ |
| 30 | 春 | 1 | インシンデント対応 |
looks_one暗号化、電子署名、 PKI
暗号化の基礎知識は、基本情報技術者試験から重視されているテーマになります。それは応用情報技術者試験でも同じですが、応用情報技術者試験では、特に PKI に関する知識が求められます。基本情報技術者試験の時に、暗号化と電子署名に関する基礎知識を会得している方は、それらに加えて PKI に関する知識も整理しておきましょう。
looks_two利用者認証技術
基本情報技術者試験では、パスワード認証が中心だったのですが、応用情報技術者試験では、パスワード認証だけではなく様々な認証技術が問われています。そこで、応用情報技術者試験の対策として、ここでいろいろな認証技術について整理しておきましょう。
looks_3境界防御(ネットワーク)
基本情報技術者試験では、ファイアウォールの設定が中心に出題されていましたが、応用情報技術者試験では、それらに加えて幅広いネットワークセキュリティの技術が問われています。最近では “ゼロトラスト” が話題ですが、だからと言って境界防御がなくなったわけではありません。平成 22 年には IEEE802.1X 認証も出題されています。広く浅くネットワークセキュリティの技術を理解しておきましょう。
looks_4サーバセキュリティ
サーバセキュリティは応用情報技術者試験から本格的に勉強していきましょう。メールサーバ、 DNS サーバ、 Web サーバの基本的な仕組みと脅威、対策などを整理しておく必要があります。
looks_5標的型攻撃
標的型攻撃に関してはしっかりと理解しておく必要があります。ここ 10 年、常に脅威の中心になっているので、出題も必然的に多くなっているからです。できれば IPA の資料に目を通すレベルで知識を整理しておいた方が良いでしょう。
looks_6その他
後は、総合的な問題ですね。脆弱性診断、インシデント対応などです。総合的な問題に対しては、基本的には午前で対策します。午前として、攻撃の種類や代表的な攻撃手法は “知識” として覚えていれば対応できると思います。
参考書
過去問題を中心に学習を進めていく上で、必要に応じて参考書を使うと効率的です。
参考書は、高度系に挑戦する時にも活用できるので、ここは一つ高度系の情報処理安全確保支援士試験の対策本を活用しましょう。筆者も ITEC から出しているので、よろしければぜひ。
また、時間的に余裕があれば、日経 NETWORK や日経クロステックを利用するのもいいと思います。有償サービスになりますが、基礎をしっかりと身に着けたい方にはおススメです。
『定額制』
高度試験対策研修 KOUDO 初公開!
定額制だから、どの区分でも何名でも受け放題!!
- 略歴
- 株式会社エムズネット代表。
大阪を主要拠点に活動するIT コンサルタント。 本業のかたわら、大手 SI 企業の SE に対して、資格取得講座や階層教育を担当している。高度区分において脅威の合格率を誇る。 - 保有資格
-
- 情報処理技術者試験全区分制覇(累計 32 区分,内高度系 25 区分)
- ITコーディネータ
- 中小企業診断士
- 技術士(経営工学)
- 販売士 1 級
- JAPAN MENSA 会員
オフィシャルブログ 「自分らしい働き方」Powered by Ameba
