情報処理安全確保支援士、勉強始めます

情報処理安全確保支援士、勉強始めます

–以下、おすすめ–

▶︎IPA 情報処理安全確保支援士:公式サイト
▶︎情報処理安全確保支援勉強おすすめサイト:過去問道場
▶︎セキュリティを勉強する上でおすすめの動画:【ウォッチドッグス2】元海外特殊部隊のハッカーが解説するゲームのハッキング〜前編〜【特別出演:ひろゆき】
▶︎次回記事(午前I 試験に関する頻出をまとめた表を掲載):情報処理安全確保支援士>午前I 試験とは
▶︎次回記事(午後I 試験の知識部分を抽出):情報処理安全確保支援士>午後I 試験の巻
▶︎次回記事(午後II 試験の知識部分を抽出):情報処理安全確保支援士>午後II試験の段
▶︎必修リンクをどうぞ:情報処理安全確保支援士 “必読リンク集”
▶︎︎情報処理安全確保支援士を受ける人へ、必読リンク集をどうぞ:情報処理安全確保支援士 “必読リンク集”

–以下、本文–

IPAの試験というのがよくわからない人に向けて

■独立行政法人である情報処理推進機構(通称:IPA)は、春と秋の年2回試験を行っております。
■基本情報技術者試験(FE)と情報セキュリティマネジメント試験(SG)は、現在、CBT方式(テストセンターやパソコン教室に、試験に関する予約を行い、PCで受験する方式)のため、期間はあるものの、試験日は定められておりません。
■一般的なIPAの試験は年2回(※試験によっては年1回)となっています。

私情:IPAさん、、全ての試験でCBT方式にしてくれませんかね… 社会人になって、日程が決められることの不便さを一層感じるようになりました。。

IPAの資格は、情報系の従事者にとっては、ある程度重要な位置付けです。
ただし、必ずしもというレベルではありません。
その理由が以下の通りです。

  • 大抵の工程であれば、ポートフォリオをGitHubにアップロードすることで、定量的にアピールできる。
  • 工程にかかわらず、YouTubeやQiitaなどで、定性的にアピールできる。
  • 国内外を問わず、情報系の試験は適度に存在している。

資格をとった方がいい人とは

「あれ、じゃあ資格保有する必要ないのでは?」と考える人もいると思います。
”ある程度”重要な位置付けという表現を用いたのは、以下に該当する人に向けてのお話です。

  1. 従事者の能力評価が、資格>>ポートフォリオといったSI(システムインテグレーション)業界に勤めている人
  2. 実務経験があまりない、知識や経験が少ない
  3. 情報系企業に未経験からの就職、また同業他社の転職を検討している
  4. セキュリティ関係の仕事に携わる予定の人、もしくは現在携わっている人

以上の4点に当てはまる人にとって、この年2回の試験に合格することは今後のキャリア形成に大きく関わることになります。
今回、私は「情報処理安全確保支援士(SC)」という情報系における士業資格を手にするために、試験を受けることにしました。
進捗状況、試験を受けた感想、試験結果は随時更新いたしますので、見ていただければ幸いです。

資格とは、「君がやってきたことは何か」と聞かれた時、答えるために準備することの一つです。

—-以下、追記—-

午前II試験の勉強状況

▶︎午前試験II 新しい方から150問解いてみた結果 → 正解数:71問/出題数:150問 正解率:47.3%でした。
▶︎150問解いてみて、よく聞かれる用語(24項目)とその説明を表にしましたので、よろしければ以下の表をご参考ください。

項番カテゴリ用語説明(目的、定義、ポイントなど)
1.OP25B
(Outbound Port 25 Blocking)
ISP管理外のネットワークに向けて、ISP管理下のネットワークから送信されるスパムメールを制限する。
2.CRYPTREC暗号リスト共通鍵暗号」「公開鍵暗号」「ハッシュ関数」「擬似乱数生成系」の4種類の暗号技術に対して、国内外の暗号研究者による評価を行い、評価レポートや推奨可能な暗号のリスト
3.サイドチャネル攻撃暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって,当該装置内部の秘密情報を推定する攻撃
4.XMLディジタル署名デタッチ署名を付けることができる
5.ファイアウォールステートフルインスペクション方式
(=ダイナミックパケットフィルタ方式)
過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
6.IEEE 802.1XRADIUS(認証サーバ=(Remote Authentication Dial In User Service))、オーセンティケータ(認証スイッチ)
7.SMTP-AUTH送信側メールサーバにおいて利用者IDとパスワードによる利用者認証を行う。利用者が認証された場合,電子メールの送信が許可される仕組み
8.MITB
(Man-in-the-Browser)
攻撃に有効な対策
トランザクション署名
9.HSTS
(HTTP Transport Security)
WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダー(=強制的にHTTP over TLS(=HTTPS)にする)
10.DHCPクライアントDHCPDISCOVERメッセージの送信時点で自身の属するネットワークが明らかになっていない場合、宛先IPアドレスを「255.255.255.255」にしてブロードキャストします。
11.TLSデジタル署名、ICカードにも関与、暗号化
TLSにはサーバ認証や改ざん防止の機能もある
12.DKIM
(DomainKeys Identified Mail)
送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み
13.Dos攻撃Smur攻撃ICMPの応答パケットを大量に発生させ、それが攻撃対象に送られるようにする
14.ブロックチェーンハッシュ関数を必須の技術として,参加者がデータの改ざんを検出するために利用する。
15.エクスプロイトコード
(Exploit Code):
攻撃コードとも呼ばれ,ソフトウェアの脆弱性を悪用するコードのことであり,使い方によっては脆弱性の検証に役立つこともある。
16.ビヘイビア法マルウェアの実際の感染・発病動作を監視して、マルウェアを検出する方法
17.DNSSECドメイン応答に電子署名を付加することで、①正当な管理者によって生成された応答レコードであること、②応答レコードが改ざんされていないことの検証が可能になります。
18.CRL
(Certificate Revocation List
=証明書失効リスト)
有効期限内に失効したディジタル証明書のシリアル番号を登録してリスト化にする
19.SPF
(Sender Policy Framework)
SMTP接続してきたメールサーバのIPアドレスをもとに、正規のサーバから送られた電子メールかどうかを検証する技術。
送信側は、送信側ドメインのDNSサーバのSPFレコード(又はTXTレコード)に正当なメールサーバのIPアドレスやホスト名を登録し、公開しておく必要がある
20.NISTが制定したAESにおける鍵長の条件128,192,256ビットから選択する
21.Miraiネットワークカメラや家庭用ルータやスマート家電などのIoT機器に感染してボット化するマルウェア
22.テスト駆動開発プログラムを書く前にテストコードを記述する
23.IP25Bインターネットサービスプロバイダ(ISP)がスパムメール対策として導入、不審な送信元からのメール受信を拒否
24.OCSP
(Online Certificate Status Protocol)
リアルタイムでデジタル証明書の失効情報を検証し、有効性を確認するプロトコル

以上

資格勉強カテゴリの最新記事