どうも!ひよこSE(@PiyoOct)です。

情報セキュリティの勉強方法は?
基本情報技術者試験の科目B(午後問題)の情報セキュリティを攻略する勉強方法は、科目A(午前問題)と同じく過去問重視。
- 科目A(午前問題)の勉強を先に着手。問題・単語を覚える
- 情報セキュリティの過去問5年を解いて問題に慣れる
- わからないところは、イラスト付き参考書を見る
やることは、上記の3つで問題ありません。
「基本情報技術者試験の午前問題の勉強方法は「問題の暗記」を過去問5年分繰り返す」という記事を読んでくれた人は、科目Aの過去問暗記をしている段階と思います。
「午前問の問題を暗記しつつ、情報セキュリティの過去問演習を始める」が勉強方法の答え。
【用語集もみてね】情報セキュリティの用語集
旧試験制度の午後問を1問あたり5分で解く訓練を繰り返し、「なんとなく知っている」知識を体系化することができます。
基本情報技術者試験の科目Bの情報セキュリティの勉強方法は?
基本情報技術者試験の科目B(午後問題)の情報セキュリティと選択問題は、文章題です。
科目Aで覚えた知識を固めつつ、問題の形式に慣れること
科目Aのように暗記に頼ることはできませんが、科目Aで覚えた知識は活用できます。

やることは、科目Aと同じく過去問!
情報セキュリティの科目Bにむけて演習すればなんとなくの知識が固まるはず!
なので、情報セキュリティの勉強方法は、次のようになります。
- 科目A(午前問題)の勉強を先に着手。問題・単語を覚える
- 情報セキュリティの過去問5年を解いて問題に慣れる
- わからないところは、イラスト付き参考書を見る
旧試験制度では、情報セキュリティは単なる常識・知識問題であることが多かったので。
一問一答形式に変わる新試験制度でも、「読解力+午前の知識」で対応できる傾向は変わらないかと。
はっきり言って得点源。科目Aの問題の暗記としっかり並行してやれば、ただの得点源です。
【用語集もみてね】情報セキュリティの用語集
新制度でも旧試験制度の情報セキュリティの過去問は参考になる!

いまさらだけど、問題傾向が新制度でかわるけど大丈夫?
鋭いです。
正直に言うと、どのような形式で来るかは、サンプル問題があれど、IPAにしかわかりません。
しかし、令和元年の秋季試験までは、過去問で問題に慣れることと(長文が楽に読めて)、午前の知識がある前提なのが問われていました。
試験制度が変われど、「問われるスキル(読解力+午前の知識)そのものは変わらない」と考えます。

1問あたりのボリュームが減るだけのはず!
情報セキュリティの勉強・過去問演習で使用する参考書
情報セキュリティで使用する参考書は、午前と同様です。
・キタミ式イラストIT塾
・かんたん合格 基本情報技術者過去問題集
基本情報技術者試験の情報セキュリティを解くときのポイントは3つ

基本情報技術者試験の情報セキュリティって結局、文章題だよね・・・。
何か、ポイントみたいなのがあったら教えてほしいなぁ・・・。
と感じている人もいると思うので、ポイントを2つ書きます。
- 時間は必ず測る【最重要】
- 間違えたところが知識を問う問題なら、必ず科目Aの過去問を確認
その1:時間は必ず測る【最重要】
まず重要なのが、時間配分です。
新試験制度の科目Bでは、20問100分で、アルゴリズム+情報セキュリティが出題。
1問あたり5分。アルゴリズムがあるので、理想を言えば4分で解きたいのが本音。
とにかく鬼のように時間が足りない試験です。

100分で20問全問を解ききるのは、たぶん無理だと思う・・・
なので、時間を必ず測りましょう。
そして、時間がたったら演習はやめましょう。
「基本情報技術者試験の時間配分は?解答時間の目安を決めてスキップがコツ【新制度対応】」という記事で詳しく解説していますが、科目Bの時間配分は、次の通りです。
- 情報セキュリティ(4~5問出題):4~5分⇒16~20分
- アルゴリズム(15~16問出題):4~6分⇒70~96分
- 受験番号などを記入:1分
- 合計:100分
この時間配分は厳守。
過去問集を活用するにしても、予想問題集を使うにしても必ず守ってください!

「もう少しで、全部行けそう!」みたいなのも、やめたほうがいい?

あと、5分あったら全部解けそうだから・・・
みたいに考えるのもわかるけど、ぜっっっっったいにダメ!
厳しいことを言うと、過去問演習で時間内にすべて解ききることができないなら、本番もまず無理です。
本番は、普段以上にテンパること必須。

時間オーバーして1問あたり7分くらいかかったけど、情報セキュリティ全問正答できた♪
みたいに、「解けた/解けなかった」にフォーカスするのはNGです。

結局、本番で時間を多く使うことはできないので意味ないですよね・・・。
「解けた/解けなかった」より、コツをつかんで「時間内に1問でも多く解けること」に集中しましょう。
その2:間違えたところが知識を問う問題なら、必ず科目Aの過去問を確認
間違えたところが知識を問う問題なら、必ず科目A(午前の過去問)で出題されていないかを確認しましょう。

午前でも午後でも問われるような用語は、超頻出!
科目Aの問題とあわせて確認することで、確実に覚えることができます。
午後試験は文章題。
文章の中で出てきた単語は、覚えやすいですよね。
基本情報技術者試験情報セキュリティの解き方を軽く解説

時間を計るのと、科目A(午前の過去問)を確認しながらはわかったけど。
本当に解けるかが不安。
という人もいると思います。
文章題である以上、はっきりしたゴールがあるわけではないので、不安ですよね。
そこで、まずは科目Bのサンプル問題。
次に、旧試験制度の平成29年春季午後試験の情報セキュリティの解説をします。
さっそく、時間を計りながら解いてみてくださいね。
科目Bのサンプル問題
科目Bのサンプル問題を見ると、旧試験制度の午後問と同じく、「読解力+科目A(午前)の知識」がわかればOKです。

セキュリティ診断サービスを行っているD社の指摘事項はこんな感じ。
(一) A サイトで利用している DBMS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
(二) A サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり,脆弱性を悪用した攻撃を受けるおそれがある。
(三) ログイン機能に脆弱性があり,A サイトのデータベースに蓄積された情報のうち,会員には非公開の情報を閲覧されるおそれがある。
(一)「DBMS に既知の脆弱性」
文中を探すと「A サイトは,B社の PaaS で稼働しており,PaaS 上の DBMS とアプリケーションサーバを利用している。」とあるので。
Aサイトそのものは悪くなく、アプリの土台を提供している、B社のDBMSが悪いのがわかります。
(二)「アプリケーションサーバーの OS 」(アプリを動かすOS)
B社のPaaSを使ってAサイトを運営しているのだから、Aサイト自体は何も悪くなく、対応するべきなのはB社。
(三)ログイン機能の脆弱性
ログイン機能がどうのこうのは、完全にAサイトのプログラムが悪いので、A社から委託されているC社が直すべき。
平成29年春季午後問題:情報セキュリティ【共通鍵と公開鍵】
共通鍵と公開鍵は午前・午後ともに頻出分野です。(午後問題は、こちら)
- 共通鍵といえば、「暗号化にも復号にも同じ鍵を使うこと」
- 公開鍵といえば、「暗号化と復号とで異なる鍵を使うこと」
「鍵」は身近な例でいえば、パスワードと読み替えたらわかりやすいと思います。


正しいパスワードが入力されたら復号(中身を見ること)ができるイメージ!
共通鍵(共通のパスワード)は全員で同じ鍵を使いまわすので、管理が楽です。
その代わり、鍵(パスワード)自体を盗まれたら大変です。
設問1の解説
「盗まれたら大変な共通鍵」を、Aさんはメールで送ろうとしています。

普通に考えて、めちゃくちゃ危ない!
- 添付ファイル付きのメール
- 鍵(パスワード)付きのメール
の両方を、第三者に見られたら、情報漏えいにつながってしまいます。
なので、エが正解。他は、論点がずれています。
設問2の解説
公開鍵は、暗号化と復号化で、違う鍵(パスワード)をつかうこと。
- 復号するときは、自分だけが持っている秘密鍵
- 暗号化するときは、共通鍵を使う

つまりは、共通鍵が盗まれても、なんとかなる!
暗号化には、共通鍵を使います。なのでイです。
※エのパスワードは、選んではだめです。ひっかけです。
鍵の「身近な例」がパスワードなだけで、「鍵=パスワードではない」ですからねぇ(´▽`*)

ひっかけがあるので、論点に沿ったものだけを選ぶのがコツ!あとは慣れかな。
設問3
ただの計算問題。問題文から読み解くべきポイントは、3つ。
- 12か月のプロジェクトであること
- [ファイルを受け渡す方式に関するEさんからの指示]の(5)で、機密度が”高”のファイルでオンラインストレージサービスはNG
- (6)で、最も安い方式

問題文の指示に従って、問題を解くべし!
ついでに、機密性と言う単語も覚える!
空欄になっているQ社とS社は、機密度が”高”の情報を扱うので、オンラインストレージサービスは使えません。
VPNとファイルサーバーは、初期費用が100,000円で1か月あたりの費用が5万円。人数は関係ないので、12か月で70万円です。
暗号機能付きメールソフトは、一人あたり30,000円。運用費用は発生しないので、
- Q社:30,000×5=150,000円
- S社:30,000×25=750,000円
Q社は15万円の暗号機能付きメールソフトを使い、S社は70万円のVPNとファイルサーバーを使うのが一番お得です。

素直に読んで、計算すれば解ける問題は多い。
こういう問題は絶対に落としてはいけないよ!
平成29年春季午後問題:ハードウェア【おまけ】
※2023年より、基本情報技術者試験は試験制度の変更があり、午後試験の選択問題が廃止となりアルゴリズムと情報セキュリティのみの全問必須回答(1問一答形式)になります。
【関連記事】【ガラリと変わる】基本情報技術者試験は2023年4月以降は通年試験に。アルゴリズムとセキュリティが重視されるように変更
ハードウェアは、旧試験制度の話です。
128+0+32+16+8+4+2=190(2^7+2^5+0+2^4+2^3+2^2+2^1+0)
ですね。
まとめ:基本情報技術者試験の情報セキュリティの勉強方法は、慣ることが肝心
基本情報技術者試験の情報セキュリティの勉強方法は、慣れが肝心です。
対策をまとめます。
- 科目A(午前問題)の勉強を先に着手。問題・単語を覚える
- 情報セキュリティの過去問5年を解いて問題に慣れる
- わからないところは、イラスト付き参考書を見る
過去問(予想問題)演習の際は、次の点に気を付けてください。
- 時間は必ず測る【最重要】
- 間違えたところが知識を問う問題なら、必ず科目Aの過去問を確認
素直に文章の内容を読んで、回答・計算すれば解ける問題は多いです。
そういう問題は、演習を重ねて慣れて絶対に落とさないようにしましょう!
科目Bの情報セキュリティは、ぜひ得点源としましょう。
コメント