⚠️
・本記事は管理人個人の経験と主観に基づいて執筆されたものであり、合格を保証するものではありません。
・掲載している勉強方法・教材等が、すべての方に当てはまるとは限りません。
・本記事は執筆時点(2025年7月)での情報をもとに記載しています。資格試験の内容や制度は予告なく変更される可能性があるため、必ず公式情報(IPA公式サイト等)をご確認ください。
・本記事を参考にされた結果について、管理人および当サイトでは一切の責任を負いかねますので、あらかじめご了承ください。
・本記事にはアフィリエイトリンクを含みます。
はじめに
私はこれまで「資産運用」や「節約」など、お金を守るための方法を幾つか情報発信してきました。
ただ、あるときふと思ったんです。
ネット証券やクレカの不正利用、マルウェア……資産って“数字”だけ守っても、そもそも“デジタルの安全性”がなければ意味がないのでは?
そんな問題意識から本格的にセキュリティの勉強を始め、「情報処理安全確保支援士試験(略号:SC)」の合格を目指してセキュリティの勉強をして―――
令和7年度春「情報処理安全確保支援士試験」に無事合格することができました!
この記事では、なぜこの試験に挑もうと思ったのか、合格までの流れや学習方法、そして合格して得られた実感や今後の活かし方について、合格体験記として記録しておきたいと思います。
情報処理安全確保支援士試験とは?
独立行政法人情報処理推進機構(IPA)が開催している情報処理技術者試験の中では「高度な知識・技能」区分に分類される国家試験です。IPAは経済産業省のIT政策実施機関です。
IPA公式サイトでは「情報処理安全確保支援士試験」は以下のように説明されていました。
情報処理安全確保支援士試験は、サイバーセキュリティの専門家として企業や組織の情報システムの安全を確保するための知識・技能を測る試験です。
「情報処理安全確保支援士試験」国家試験合格者は、申請すれば「情報処理安全確保支援士(登録セキスペ)」という国家資格を取得できるようになります。セキスペはセキュリティスペシャリストの略です!
ここら辺の言葉の使い分けはしっかししないといけないみたいです。「情報処理安全確保支援士試験」を合格しただけの人が「情報処理安全確保支援士」を名乗ってはいけません。
実際の試験の点数
午前Ⅰ:64点
午前Ⅱ:76点
午後:68点 (選択問題は2と4)
※合格証書は後日郵送されるようなので、届き次第追記します
何故取得しようと思ったのか?
私がこの試験に挑戦した理由は、単なるスキルアップだけではありません。
最大の理由は「自分の資産をIT面からも守れるようになりたかった」ということ。
最近では、フィッシング詐欺やSMS詐欺、サブスク乗っ取りなどの「見えにくい危機」が増えています。
ネット証券・暗号資産・SNS・ブログ収益化など、生活のあらゆる場面で「デジタルな資産」が増えた今、セキュリティ知識を持っているかどうかがそのまま「守れる資産の量」に直結する時代だと感じたのです。
そのような力を自身が持っているという確かな証明が欲しく、この試験を選びました。
試験を受けた感想
脆弱性関連の問題多くてびっくりしました。解答用紙配られたときに問2が脆弱性の問題っぽいけど知らない単語が解答欄にある!って思っていた記憶があります。
問1
SBOMは1年前の午前Ⅱで出題された用語だったらしいのですが、開発未経験なので選択しませんでした。とはいえサプライチェーンのリスクは重要なので、いつかはちゃんと理解しておきたい項目です。
問2
脆弱性管理の問題でしたので選択しました。CVEに絡めてCVSSとEPSSという値を用いて脆弱性に対する評価をするというもので、馴染みのない英単語が並んでいるので一見難しそうに見えるのですが、よくよく考えて読んでみると問題通りに数字を出せば割とすんなり解けたので自分的には相性が良かったです。何となく避けてしまった人は一度解いてみるとよいかと思います。
問4に関連しますが、CVSSv3って書いてあったのはミスリード。
問3
アプリ開発の問題でしたが、結構知識要素も強く頑張れば未経験でもいけそうな雰囲気がありましたが自分は厳しそうだったので選択しませんでした。いつかは(略)
問4
IT資産管理及び脆弱性管理の問題でしたので選択しました。IT資産管理と聞いて少し戸惑ってしまいましたが、問題をよく見るとドメインやWhoisの知識があれば闘えそうな内容でした。一応このサイトは独自ドメイン+レンタルサーバのため、ここら辺は実務経験レベルの知識はありました。
KEVカタログは初見でしたが、後述の午後の学習方法で脆弱性を調べる際にそれに類似したサイトを使っていたおかげでイメージが出来、すんなり解けたので見事自分との相性よかったです。
CVSSv3ではなくCVSSv4が答えなんですよね…問題用紙に答えが書いてあるわけないのは分かっているのですが、そこだけちょっともやもや。
学習方法
午前
午前の問題は「応用情報技術者試験ドットコム」「情報処理安全確保支援士ドットコム」の過去問道場をひたすら回しました。
過去問と同じ・似た問題が多く出題され、60点以上で合格のため過去問を沢山解く事が一番重要だと思います。分からない問題があったらGPTなどを活用しました。
通勤時の隙間時間で毎日30分ほど回してました。午前Ⅰの計算問題は正直諦めました。試験1週間くらい前だと午前Ⅱは90%以上正解できていました。
午後
午後の問題は過去問を解く事も大事ですが、問題のストーリーを理解・イメージできるか?類似経験をしたことがあるか?の方が重要な気がしました。試験方式が変更した事や直近の試験では出題分野が毎回異なっていたり偏っていたりで、何が出てくるか全く読めなかったので「過去問に重きを置かなかった」ともいえます。
例えば、SQLインジェクションについて「アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。」という知識を知っていたとしても、SQLインジェクションの脆弱性がある実際の環境をイメージできなければ問題は解けません。知っているだけでは午前Ⅱ止まりだと思います。
つまりどうすれば良いかというと、
- ハンズオン環境をつくって実際に手を動かして脆弱性を体験してみる
- 実務経験を積める仕事に就いて経験値を貯める
がおすすめです!ちなみに私は前者メインで行いましたので今からそちらの説明をします。
安全なWebアプリケーションの作り方(通称:徳丸本)
著者が既にWebアプリケーション周辺の脆弱性を解説するための環境を用意してくれています。この環境を自身で実際に触りながら本の解説を読むことで、言葉だけの理解ではなく本質的に脆弱性の理解ができるはずです。
「情報処理安全確保支援士試験」の観点で話すと、OWASP ZAPを使ってXSSやCSRFなどの脆弱性を体験および理解することができました。
ハッキング・ラボのつくりかた
vulnhubという脆弱性のある仮想イメージを公開しているサイトがあるのですが、主にこれを使ってどのように攻撃者はハッキングをしかけるのか?を丁寧に解説してくれている本です。「Kali linux」「ParrotOS」など、試験勉強だけでは中々触れる事のない環境を使って、どのように脆弱性のあるサーバが攻略されるのかを学べるのでハンズオン学習としておすすめです。
「情報処理安全確保支援士試験」の観点で話すと、ポートスキャンやパストラバーサルなどの専門用語を実際に体験および理解することができました。
TryHackMe
こちらはサイバーセキュリティトレーニングと記載されているように、サイバーセキュリティに関して学習できるサイトです。
おすすめはCTFモードで学習する攻略ゲームです。こちらは脆弱性のあるサーバを多種多様な攻撃手法を用いて侵入~管理者権限を奪取してクリアすることで、どのように攻撃すればよいのか?どういうところの守りが弱かったのか?という攻撃者防御者両方の視点を、手を動かしながら楽しく学習することができます。
「情報処理安全確保支援士試験」の観点で話すと、試験勉強中に分からない単語があったらサイト検索すれば解説や関連した脆弱性のあるサーバが用意されているのでハンズオン学習で体験および理解ができました。「情報処理安全確保支援士試験」にでてくる専門用語であればおおよそ網羅されているはずです。
このTryHackMeを楽しそうに解説しているYoutuberさんがいたので紹介します。
これらの学習法は、試験合格だけでなく実務や資産防衛の視点でも確かな手応えを感じられました。ITリテラシーを「実際に使える力」として育てたい方にとっても有効なアプローチだと思います。
おわりに
「情報処理安全確保支援士試験」の合格は、知識の証明だけでなく資産を守るためのITリテラシーを確保できたという意味でも大きな意義がありました。仕事で必要になったら「情報処理安全確保支援士」の登録をしてみようと思っています。
また、今後は別の高度区分試験―――「ネットワークスペシャリスト」「データベーススペシャリスト」も視野に入れて学習してみたい気持ちがあります。
資産運用・副業・情報発信など、デジタルと切り離せない現代においてセキュリティは「攻め」ではなく「守りの投資」。
これからもITを味方につけ、資産と自分を守れる力を育てていきたいと思います。
コメント