「あ,あかんがや・・・」。
2006年4月,新設されたテクニカルエンジニア(情報セキュリティ)試験を受験した私は,午後Iの問題を前に悶絶していた。
選択問題(4問中3問を選択)の1問は全く回答できず選択から外す。残る3問を選択したが,2問はそれぞれ3割くらい,1問は5割くらいの感触だった。記述問題はもとより,穴埋め問題も解答できずズタズタで,不合格を確信した。
午前は「まぁ,ええがや」という感触だったが,一気にどん底に突き落とされた。帰りたい気分だったが,ぐっとこらえて一応午後IIまで受験した。そして6月の結果発表。予想通り,午後Iの点が足りず不合格だった。
私がテクニカルエンジニア(情報セキュリティ)試験を受験しようとしたのは,「情報セキュリティは社会的に重要であり,かつ情報システムにおいて不可欠なので持っていて損はない」と考えたからである。また,業務経歴の面でも,「情報セキュリティに関する保有資格を増やしてハクを付けておきたい」という思いがあった。
今までは情報処理技術者試験対策として,(1)業務により知識・経験をつけることと,(2)過去問題を数年分みっちり解き出題内容の分からない点を調べて知識を深めていくやり方をとっていた。しかし,今回は初めての試験ということで過去問題がなかったため,情報セキュリティアドミニストレータ試験の過去問題とセキュリティ関連の書籍を一読するのみで試験に臨んだ。
心の中では,「情報セキュリティアドミニストレータ試験を初回受験で合格した,セキュリティ関連の業務もやっている,だから大丈夫だろう」という甘い考えを抱いていた。しかしながら,実際に受験して,この試験はアドミニストレータ向けではなく技術が問われるテクニカルエンジニア向けであることを痛感し,「今までやってきた試験対策だけでは合格はキツイ」と直感した。そこで,現状を分析し,対策を立てることにした。
不得意分野の対策に優先順位を付ける
まず,自分の得意・不得意分野を分析した。不得意分野については,得意分野と密接に関連している,業務に関係があり身につけやすい,などの点を考慮して,対策の優先順位を付けた。
得意分野は,情報セキュリティマネジメント分野であった。業務経験から,情報セキュリティの管理サイクルをいかに構築・運用していくかについては自信があった。また,ネットワークインフラの設計・構築・運用も,業務経験から比較的得意だった。
一方,不得意分野は2つあった。1つ目は暗号技術についての掘り下げが不足していたことだ。
今までは暗号技術を用いた製品を使ってインフラを構築するという業務だったこともあり,暗号技術の概要は見ていたが,データフォーマットや処理内容など原理までは把握していなかった。そのため,2006年4月の試験で言えば午後I問3のような,暗号化の具体的な手順に関する問題が出題されると解答のイメージが湧かず苦戦した。
しかしながら暗号の問題は,ネットワークインフラに関する問題で頻出しており,ネットワークインフラとの技術的なかかわりも深い。このため,今後もネットワークインフラと連動した出題が予想でき,ここを最優先で押えておくことで得点アップが望めると考えた。
不得意分野の2つ目はアプリケーション開発における情報セキュリティ対策の知識が手薄なことだった。
これまでネットワークインフラ関連の業務に従事してきたため,アプリケーション開発の経験が全くと言っていいほどなかったからだ。例えば,サニタイジングについて,単語と意味は理解していたが,具体的にどのような実装をすればよいか分かっておらず,サニタイジングに関する設問に解答できなかった。
この分野については,周りに開発経験者も多いし,試験勉強目的以外にも得るものが多いと考えたが,経験不足を補うには限界もあるため,暗号技術よりは優先度を下げることにした。
自分のすべきことが分かったので,あとは行動あるのみ。
暗号技術については,日常業務で触れる度にインターネットや書籍で詳細を調べて知識を掘り下げ,データのやりとりなど処理内容や原理を理解した。アプリケーション開発におけるセキュリティ対策については,そもそもアプリケーション開発はどのような業務なのか,どのような注意事項があるのかを経験者に聞くとともに,書籍に記載されている主なセキュリティホールについて原因や対策方法をコードレベルで理解した。
とは言うものの時間は限られており,不得意分野については業務経験に基づいて理解し,体に染み付いていたわけではなかったので,試験に対する不安は残っていた。その不安は,2006年4月の1回分と分量は少ないが,過去問題を何度も解き,理解することで自信に変えていくようにした。
未知だったアプリケーション開発の知識が得られた
2007年4月,テクニカルエンジニア(情報セキュリティ)試験を再び受験した。
午後の問題では,暗号の問題が予想通りネットワークインフラとひも付けられて出題されており,解答することができた。「ああ,むくわれたがや」と思う瞬間だった。
アプリケーション開発に関する問題も出題されたが,ネットワークインフラや情報セキュリティマネジメントの問題を優先的に解答したため,結果的に勉強を直接活かすことはできなかった。とはいえ,昨年までなら午後の選択問題でアプリケーション開発に関する問題が出たら即お手上げだったが,「今回はそんなことはない」と精神的に余裕を持てたため,落ち着いて試験に取り組むことができた。
そして6月の合格発表日。結果を見るときはかなりドキドキしたが,合格していた。「あ,あかんがや」を「や,やったがや」に変えることができた。
振り返ると,自分の得意・不得意分野をわきまえた上で,どうすれば一番効率よく得点アップにつなげられるかを分析し,実行したことが合格の要因だったと言える。
今回の試験対策により,今まで未知だったアプリケーション開発の知識も得られ,セキュリティ関連業務においてもプラスになったと考えている。現在は,情報セキュリティを含めシステム全体を監査するシステム監査業務に興味を持っている。そこで,今回の試験勉強で得た経験を活かしてシステム監査技術者の取得を目指し,さらなるスキルアップを図っていきたいと考えている。
|
|
