こんにちは!やいさです!
私は情報処理安全確保支援士試験に独学で一発合格(午前88点、午後72点)しました!
私の具体的な学習戦略については、こちらの記事で詳しく解説しています。まだ読んでいない方はこちらを先に読むことをおすすめします!
一発合格できた勝因はWebセキュリティ対策を入念に行っていたからだと考えています。Webセキュリティ分野の特徴は以下の通り。
・最近はwebセキュリティがほぼ毎回出題されていること
・他の分野に比べて点数が安定させやすい分野であること
・他の分野を学ぶ上でのベース知識が手に入ること
支援士試験の合格を目指している方はwebセキュリティ分野の勉強をおすすめします。
webセキュリティってことは、プログラミングの知識とか必要なの?
プログラミングの知識は必要ないよ!
HTTPの知識は必要だけど、僕も支援士試験勉強を始めるまではHTTPの知識ほぼゼロだったから大丈夫!
よかった。。それなら安心だ。
webセキュリティってなに?
読んで字のごとくWebサイトのセキュリティのことです!
あなたが今見ているこの「やいさブログ」もWebサイトです。こういったサイトを攻撃から守る手法をWebセキュリティと呼んでいます。
支援士試験でのWebセキュリティというのは、IPAが出している「安全なウェブサイトの作り方」に載っている攻撃手法とその対策のことをさします。
例えば、以下のような攻撃が有名です。
XSS(クロスサイトスクリプティング)
CSRF(クロスサイトリクエストフォージェリ)
HTTPヘッダーインジェクション
初めて聞いた名前ばかりだ。。
僕も勉強を始めたばかりの時はそうだったから安心して!
情報処理安全確保支援士試験におけるWebセキュリティの重要性
支援士試験でなぜWebセキュリティが重要なのかについてお話しします。
ポイントは以下の3つ!
・最近はwebセキュリティがほぼ毎回出題されていること
・他の分野に比べて点数が安定させやすい分野であること
・他の分野を学ぶ上でのベース知識が手に入ること
一つずつ掘り下げていくよ!
①webセキュリティはほぼ毎回出題されている
まずは過去の出題についてみていきます。
nanchane氏がまとめているWebセキュリティ分野の出題を引用します。
R6秋4、R6春3、R5秋1(※)、R5春2-1、R4秋1-1、R4春1-2、R4春2-1、R3秋2-1、31春1-1、30春2-2、29春1-2、28秋2-2、27春1-1、24秋1-1、24秋2-1、23春1-4、21春1-2
※JSのプログラミング問題だが、他の問題ほど難しくない。非常に良問なので、少しでもJSが読めればオススメ。nanchane氏のnote記事より引用
https://note.com/nanchane/n/n1c7cfbfb0753
この内容を年度別に表にしてみると以下のようになります。
| 試験時期 | 出題 |
| 令和3年 秋試験 | 午後Ⅱ 問1で出題 |
| 令和4年 春試験 | 午後Ⅰ 問2、午後Ⅱ 問1で出題 |
| 令和4年 秋試験 | 午後Ⅰ 問1で出題 |
| 令和5年 春試験 | 午後Ⅱ 問1で出題 |
| 令和5年 秋試験 | 午後 問1で出題 ※この回から午後が一本化 |
| 令和6年 春試験 | 午後 問3で出題 |
| 令和6年 秋試験 | 午後 問4で出題 |
| 令和7年 春試験 | 午後 問3で出題 ※やいさ分析により追加 |
令和3年以降毎回出題されてる!
そうなんだ。ほぼ毎回出題されるのであれば
対策しない手はないよね!
②点数を安定させやすい
点数を安定させやすいだって?
そんなうまい話あるわけない!
もちろん全部とはいかないけど、
「安全なウェブサイトの作り方」からの出題が多いよ。
だから対策も立てやすいんだ!
どういうこと?という方もいると思いますので、試しに一つ事例を見てみましょう!
真ん中の列が「IPA公式解答例」、右の列が「安全なウェブサイトの作り方」に掲載されている対策例になっています。
1行目がXSS(クロスサイトスクリプティング)、2行目が「セッションフィクセーション」という攻撃の対策です。
これを見ると、ほぼ同じ内容になっていることが分かると思います。
うぉ、すごい!
じゃあ「安全なウェブサイトの作り方」を暗記すれば楽勝じゃん!
そんなに甘くはないよ(笑)
暗記だけでは対応できないのでそこは注意だよ!
このように同じような内容にはなっているとはいえ、「安全なウェブサイトの作り方」を暗記しただけでは合格できません。
なぜなら、出題される試験問題によって与えられた状況や条件が異なるからです。
とはいえ、解答のレパートリーとして「安全なウェブサイトの作り方」に記載されている攻撃への対策を暗記しておくとはとても有効だと思います!
知識だけでなく読解力も必要ということ!
読解力は過去問演習を通じて少しずつつけていこう!
③他分野で必要なベースとなる知識が身につく
例えば、認証分野(SAMLやOauth)について考えていきましょう。
この分野はSSO(シングルサインオン)がメインで出題されます。
SSOをするためにはHTTP通信を行います。このHTTP通信の知識はWebセキュリティを勉強していると自然とつく知識です。
鶏が先か卵が先かみたいな話になってしまいますが、このようにWebセキュリティ分野で学んだ知識はセキュリティの根幹的な位置づけの知識であると私は考えています。
Webセキュリティ分野から始めた方がいいということではないよ。
自分の興味のある分野(例えば認証分野とか)から進めていって問題なし!
例えば、
認証やメールなど、ご自身の興味のある分野を最初に勉強
↓
Webセキュリティ分野を勉強
↓
最初に勉強した分野に戻る
という進め方をしても効果があります。Webセキュリティ分野を勉強した後に過去問に取り組むと、過去問をより深い確度で見れる自分に気づくと思います!
かくいう私も勉強を始めた当時はWebセキュリティ分野なんて存在自体知りませんでしたので上記の流れで進めていました。
【公開予定】Webセキュリティ分野の勉強方法
ここまで読んでくださったということは、Webセキュリティ分野に少しでも興味をもっていただいたのではないかと思います!
Webセキュリティ分野の勉強方法については下記で詳しく解説する予定ですので記事の公開をお待ちいただければと思います!
記事公開まで待っててね!
まとめ
今回はWebセキュリティ対策の重要性について解説してきました。
ポイントは3点でした。
・最近はwebセキュリティがほぼ毎回出題されていること
・他の分野に比べて点数が安定させやすい分野であること
・他の分野を学ぶ上でのベース知識が手に入ること
Webセキュリティ分野の重要性に気づけている受験生はあまりいないと思います。
この記事を読んだあなたは試験本番前に気づけたので、それだけでも一歩リードです!
これからも支援士試験の対策記事を書いていきますので、合格を目指して一緒に頑張りましょう!!
コメント