時間をかける応用情報のセキュリティ対策(3)支援士の参考書はページ数かあるので逆にわかりやすい
前回は,インプレスの瀬戸先生の本をわかってると応用情報の午後の答えがほぼそのまま書ける部分がそれなりにあると書いた。
ただし,支援士の本は応用情報の本と比べると大変なのではないかという疑問も当然出てくる。しかし,それは違うと言いたい。瀬戸先生の支援士の本は一言でいうと,応用情報で紙の関係では書けなかった基礎的な説明を省略せずに書いているという本なのである。(もちろんレベル4固有の記述もあるが)
ここでは,この本の以下の特徴をみることで,応用情報にも使いやすいということも見ていく。
- 午前問題数が適度な数配置されている
- 見出しという形で情報が整理されている
- 行間を読まなくても良い
- 基本的な理解を助ける図が多数配置されている
特徴は重なりあっているものもあるが,まあまあということで。
本の特徴
1. 午前問題数が適度な数配置されてる
情報セキュリティ対策のセクションについて考える。応用情報の本でセキュリティ攻撃は10個あって,
- バッファオーバーフロー
- SQLインジェクション
- グロスサイトスクリプティング
- クロスサイトリクエストフォージェリー
- DNSキャッシュポイズニング
- DoS
- フィッシング
- 標的型攻撃
- パスワードクラック
とあり(しかも,その説明がなんと全部で3ページでされてる。),
その直下の問題はSQLインジェクションの以下の1題である。
(平成22年春 応用情報技術者試験 午前 問43。IPAサイトのPDFより画像切り取り。)
この1題しかないとなると,問題文も解説も読み流してはだめになる。よって,演習するときに気合が必要になる。演習とは別に本文暗記をしなければという気合も必要そう。
これに対して支援士のテキストでは,この10個のうち説明直下に6個は演習がついている。
- SQLインジェクション(対策)
- クロスサイトスクリプティング(対策)
- DNSキャッシュポイズニング(起こった結果引き起こされること)
- DoS(Smurfを選択)
- 標的型攻撃(水飲み場攻撃)
- パスワードクラック(ブルートフォースの説明を選択)
これだけちゃんとついていれば,1個1個を読み流しで繰り返しでもそれなりに頭に残る。
問題数を増やすだけなら,ドットコムでも良いではないか?と思う人もいるかもしれない。
- きれいに全範囲を1回ずつみたいになるとは限らない
- 脈絡のある順番出てこないので覚えにくい
ので少し効率が悪い。
問題がレベル4の問題であることを割り引いても,このメリットが勝つ。あと,4といってもセキュリティの4はそんなに4っぽくないし,応用情報への下位流用も考えられるのだからやっておいて損はないのではと思う。
あとは,説明直下に配置されている問題は,基本レベルのものが選ばれてる感じもするので,応用情報受験者でも普通に使えるかと。
2. 見出しという形で情報が整理されている
以下は,同著者の応用情報のテキストのパスワードクラックの説明である。
(応用情報教科書・インプレス 平成26年度版p297より。平成26年なので,応用情報ではパスワードリストは入っていない。)
6行で書かれてるブルートフォース・辞書攻撃・パスワードリスト(H26なので実際は書かれていないが)の3つを確実に覚えきらないといけない。かなり気合をいれて読む必要がある。そして,午後記述もこれで解かなければならない。この記述だけで解けとか無理では?と思う。
一方,支援士のテキストだとこうである。
(情報処理安全確保支援士教科書 2019年度版・インプレス p434より)
1攻撃・1見出しである。行をふんだんに使ってる。これだったら目を上から下に動かしていくだけで読んだり覚えたりできる。そして,説明のレベルがものすごく上がっているかというと,そうでもない。
3. 行間を読まなくても良い
先の例で続ける。応用情報のパスワードクラックは6行だけあって,対策は過去問とかで学んだり自分の頭で考えなければならない。
しかし,支援士の本だと対策の説明が独立して1セクション取られていて,かつ,午後の解答で部分引用できるレベルで書かれている(これは前の記事で書いた通り)。
短いのが良いと言ってる人は,薄い数学の本が良いと言ってるようにしか聞こえない。自分で行間埋めるのは,かなりエネルギー使うような。。。。
4. 基本的な理解を助ける図が多数配置されている
同著者の本は理解を助けたり頭に入れやすくするための図(イラスト)が多数掲載されている。もちろん,応用情報の本にもSQLインジェクションなどは図が載っている。しかし,ページ数の関係で載せられる図の制約が強いため,十分に図がついているとは言い難い。
一方,支援士のテキストだと図(イラスト)が載せ放題である。ぜいたくにイラストが使われている。
イラストは,ほとんどがレベル3の理解のためのレベルのものである。読み流す勉強をするときは,字読むよりイラストの方が楽かつ記憶に残ると思うがどうだろうか。。。
雑多なよさ集
自分の思う主観的よさを体系化せずばらばらと。
実は読む分量は少ない
左右を傍注用にかなりの幅を取っている。また,演習問題もかなりの量がある。覚えようなどもある。細かく節を切って見出しも細かくいれてて,それらの間の行間も相当取られてる。簡単な図も多い。ということで,実は厚みほど分量はない。
本の厚みを知識の詰め込みに使うのではなく,読みやすさ・眺めやすさ・使いやすさ・わかりやすさに使ってる感じ。
左右の広い傍注余白は書き込みに便利
左右傍注は相当に広い。この余白に書き込みを入れることで,ノートのようにも使える。
この特徴の生かし方の一例としては,過去問と突き合わせる演習をしたときに,突き合わせて箇所にH..・・でこういう角度で出たという概要の書き込みを入れておくという使い方(広いので3行概要ぐらいまでは余裕で書ける),それが集中したとこを見直せば,頻出項目のピックアップが自然とできる。
NWの説明が手厚い
瀬戸先生は,ネットワークのないセキュリティ対策というものは絶対にありえない派なので,ネットワークについての記述は当然厚い。
ブログで自分かツボにはまってる言葉として以下がある。
「セキュリティの勉強に,OSIの7階層は関係ない。。。わけがありません。」
(これもソースリンク張るべきだが,検索をそれで操作してる感がいやなのでパス。)
これは,過去問分析記事で紹介した「SQLインジェクション」「バインド機構」の問答と同じ記事にある話。
そんなに1分野に時間をかけるのは時間効率がという反論
この方法でセキュリティは攻略できたとして,次に支援士受けないのなら時間かかりすぎでやってられないという意見があるかと思う。次回はそれについて思うことを書いていく。
付録1・テキストと問題のレベル感(主観)
テキストや試験問題のレベル感を例えると,
- 既存の応用情報の教科書は単語集 + 単語穴埋め一問一答。
- 瀬戸先生の本は教科書 + 教科書典型の例題集。応用情報の問題はそのレベル。
- 支援士の問題は,応用情報レベルがあることと,その場で書かれた新しいことを組み合わせて活用していけるかという問題。入試問題レベル。
といった感じ。単語集10/10で仕上げるより,教科書典型の例題集を7/10で仕上げてるうちに単語帳の完成度上げる方が楽ですよね・・・
付録2・瀬戸本は支援士対策のスタートライン(主観)
応用情報と支援士のレベル感の違い
応用情報と支援士の問題の違いは,
- 基礎知識の精度の高さが要求される(穴埋めの用語のワードのレベルがあがるとか,応用情報で文章選択になってるとこも普通に記述とか。)
- 状況がさらに複雑になる
- 基礎知識で読み取れる新しいことの説明を書いてそれを読めますか?問題が入る。
- 高度な知識は若干入る。
といった感じ。
知識の物量攻めで支援士に受かろうという本ではない
この本は,支援士の試験勉強で知識を足そうとしたりとか,支援士の試験から帰ってきて解けなかった問題の解答を調べるのに使おうとしたら,本文に何も書いてない!ってなる感じの本。この本に書いてることは頭にあって,そこから先を調べたくて本を開いたのに,となる感じ。
もっとも,そのレベルの知識(下手したらその1/3~1/2ぐらいの知識)で一回は合格点を取っているし,今回も解答用紙をそこそこ埋めて帰ってきているので悪いわけではない。このテキストをきっちり理解して,その後でしっかり過去問から知識・技法を吸収しておけば合格ライン前後までは行くと思う。少なくとも,受験者平均の知識は絶対に身に付いてるはず(というかそうであって欲しい)。
今回の試験で私が落ちてるとしたら,その原因は睡眠不足・午前1から試験を受けることによる体力の消耗・午後の過去問演習不足(応用情報を含めて・特にちゃんとアウトプットを詰める練習)であって,知識不足は主要因ではない。
瀬戸本がわかれば過去問演習はできる
瀬戸先生のテキストがわかれば,少なくとも過去問の問題文の意味と解説がわかるレベルにはなる。すなわち,過去問演習の準備としては十分な本である。この本の次の段階は何かのテキストでなく,直近3セットの過去問の徹底的な習熟である。
午後重点・上原本に挫折した状態でセキュリティスペシャリストに受かった
どちらかというと自分は暗記でなくその場力で勝負するタイプなので,知識・勉強派の人はこれでは不安かもしれない。そういう人は,三好先生とか上原先生の本で知識を増やすということになる(それが十分になる保証もないが)。
仮に知識量の多い本で知識を増やすとしても,三好先生や上原先生の本は瀬戸先生の本の基礎ができた次の段階の本だと思う。自分がセキュリティスペシャリストに受かったときは,三好先生や上原先生の本は(基礎がないので)量が多すぎたり難しく感じたりして読み切れなかった。(気合を入れないと)あまりにテキストが読めないので,やってられるかと開き直って午後無勉(演習ゼロ)で試験に行ったという側面もある。
支援士受験組は応用情報段階で瀬戸本を使いたい
こういう自分の経験や応用情報の問題分析も踏まえて,この本は応用情報の段階から仕上げ始めておくことをお勧めしたいのである。自分が最初に応用情報やセキュリティスペシャリストの試験を受けるときにこの本は欲しかった。(というかそういう本がちょうど無かったから瀬戸先生が書いたのだと思うが)
時間をかける応用情報のセキュリティ対策(2)支援士の本(瀬戸本)で午後問題を解いてみると
前回の続き。
今回は問題のうち,支援士の教科書を見たら午後の答えがほぼ書けた,ということを取りあげる。支援士の教科書は
が主なものとしてあるが,ここではインプレスの瀬戸先生の本を使う。
なお,以下の引用画像下につける書名は「情報処理安全支援士教科書2019年版」で統一(著者名・出版社名はつけない)する。
なお,私の手元にある2019年度版を使う。予測力の検証という意味でも少し古めの方が良いかと思う。
瀬戸先生の本を使う理由としては,3冊の中で,これ支援士というか応用情報レベルにかなり近くない?と感じたから。
応用情報の本だと紙の関係でカットされそうで,しかし,これ答えそのまま教科書に書いてる,と思ったとこをピックアップしていく。
応用情報の本がどのレベルで書かれてるかの検証は詳細にはしていない(いちおう同著者の少し古い年度のものは少し確認してる。)。もしかしたら書かれてたらすいませんって感じ。ページ数的には難しいとは思うけど。
R1秋
マルウェア対策
8章がマルウェア対策になっていて,8-3のマルウェア対策,「8-3-1 入り口対策と出口対策」に「マルウェア感染後の対策」の部分(p477)に,流れが書いてある。
設問2(5) ユーザがやるべきこと
「マルウェア感染後の対策」の部分(p477)のリードの部分で
- 「セキュリティ管理者に報告」(太字)
(「情報処理安全支援士教科書2019年版」p477)
とあって,設問2(5)の正答選択肢は
- イ : 不審なメールが届いたことをP社の情報うシステム担当に連絡する
なので,相当に近い。
設問1(1) PCをネットワークから切り離した目的
「マルウェア感染後の対策」の部分(p477)に書いてあるプロセスの説明の中で,
- (ネットワークから切り離すのは)「他のPCに被害を広げないための対策」
(「情報処理安全支援士教科書2019年版」p477)
とある。公式解答は
- 社内の他の機器と通信させないため
なので,まあかなり近い。
H31 春
認証の3要素
- 設問1(a)所有物: ディジタル証明書
- 設問1(b)生体 : 虹彩
(選択問題)
関連部分は4章の情報セキュリティ基礎技術(暗号化,認証)。p235の認証の3要素のとこの生体認証の例のところ虹彩がある。(そして,手元の古いH26の同著者の応用情報には,生体の説明があるが例がついてない。)。
物理の例のディジタル証明書は知るか,と思ったが,これも本文にあった。p252の「認証デバイスでの認証方式」の中にディジタル署名が見出しとして書かれていて,その後で説明が少しついている。
なお,このトピックは支援士だと重箱の隅ではないと思う。例えば午前2の問題で,カードとか物的デバイスに埋め込める,を選択する問題とかあった気もするので。
パスワード攻撃に対する対策
パスワードに関する攻撃の対策(7章サイバー攻撃・p436)で,ブルートフォースに対しては
- 「規定回数のログインに失敗したら一定期間アカウントをロックするなどの手法が有効です」
(「情報処理安全支援士教科書2019年版」p436)
と書かれてる。かつ,パスワード設定ルール以外のサーバ側の対策はそれしか書かれていないのでえいっとやってしまえばいけるかも。
2018年の発行なので,リバースブルートフォースについては書かれていなかった。
ここは20字制限・パスワードという単語を使えという指示・リバースも絡む難しさはあるが,この知識で解答にはたどりつける。
パスワードリスト攻撃
ここは応用情報レベルなので,別にこの本でなくても。ただ,この本のパスワードリストの説明,紙の余裕を生かして,半ページを使って印象に残りやすい図(というかイラスト)が描かれている。
この図が頭にあると,解答はかなり導きやすい。(さすがにイラストなので,引用は控えておく。)
あと,説明の部分からも普通に導ける。
- 「他のサイトで取得したパスワードのリストを利用して不正ログインを行う攻撃です」
(「情報処理安全支援士教科書2019年版」p434)
公式解答が
- 「他サイトから流出したパスワードによって,不正ログインさせる」
である。この類似度は何なのか(一般論だから当然と言えば当然だが)。。。。
このテキスト,暗記派にとっての記述のための単語集・例文集として本当に使い勝手が良いな・・・意外と「他サイトから取得」(公式解答は流出)・「不正ログイン」という単語は意識してないとすっと書けなかったりする(例えば,ログインの前に「不正」をつけずに書きそうとか)。
そして,極めつけは,2つの攻撃でセットの出題を予測したのか(応用情報でだが)「覚えよう」がこれである。
(「情報処理安全支援士教科書2019年版」p436)
びびる。。。
パスワードをハッシュ値で保存する理由
- 設問3(1) パスワードをハッシュ値で保存する理由
4章より。
まず,ハッシュ関数の説明(p230)の説明で,
- 「ハッシュは,暗号化(ハッシュ化)はできても元に戻せないという性質をもっているため,メッセージを復元させたくないときに役立ちます。」
(「情報処理安全支援士教科書2019年版」p230)
とある。ここまでは,応用情報の本ではディジタル署名の文脈の中にある。
で,支援士の本の違いは,これがちゃんとパスワードに適用されることも書かれていること。
- 「盗聴されても元のメッセージが復元できないので,盗聴防止(赤・太字)に役立ちます。」とある。
(「情報処理安全支援士教科書2019年版」p231)
年度が新しいものだとあるかもしれないが,スペース的にここまで書けるかな。。。。
公式解答は
- 「ハッシュ値からパスワードの割出しは難しいから」。
自分はここはテキストの「復元」とか字数があれば「元に戻せない」という用語を選択しそう。(要は不可逆が伝わるような単語を選ぶ)
3(2)については,レインボーテーブル攻撃とかソルトは別の項に書かれているものの,テキストの記述から解答が導けるかと言われればどっちとも。
H30秋
設問1・用語選択
いずれの用語も消去法とか雰囲気でいけるのだが,知ってると確信を持って時間をかけずに選べるという効果はある。
セッション管理(用語選択)
H26のインプレスの応用情報には,セッションハイジャックは2行だけ申し訳なさそうに書かれてる。応用情報だとセッションを押さえておくページ数まではない。一方,支援士の本だとセッションは押さえておかないとまずいので,セッションは何度も目に飛び込んでくるため,自然と覚えますよね。
UDPスキャン(用語選択)
ポートスキャンが応用情報の本にないのも意外(H26のインプレスの応用情報には)。
もちろん,ここはTCPと同じレイヤは選択肢にUDPしかないとか,インターネットからARPコマンドを実行するとかちょっとありえないし,とかで選べたりもするけど。ただ,この知識というか意識も,良く出てくるのはNWとかSCのような気がしないでも。
感想
一言でいうと応用情報午後のカンペ本としか言いようがない
とにもかくにも,あまりにも答えがそのままテキストに書いてありすぎるのにびびる。カンペレベルといっても過言ではない・・・書いてることはまあ常識なんだけど,応用情報午後記述解答にかなり近い形で書かれてるというか・・・
ここで取り出したことは,大量の説明の中から解答に使えるわずかな部分も取り出したわけでもない。単語の羅列から理解力を駆使して切り出したわけでもない。流れのあるコンパクトな説明から取り出してる。そんな感じで,率の良さにも驚いた。
基礎の積み重ねの重視によって応用情報に最適な本ができた
取り上げた瀬戸先生の本の大部分は,支援士の本にあるにも関わらずレベル4固有の難しいことはあまり書かれていない。著者の応用情報本と比べてもわかるが,導入部分は共通の説明がそれなりにある。
では何が違うかというと,レベル3だと紙幅の制約で単語の羅列になりがちだったことに対して,きちんと説明をつけた,といったイメージ。それゆえに,応用情報午後問題の解答とレベル感が一致してるのだと思う。
このあたりは著者のポリシーとも整合的で,著者は「SQLインジェクションの対策は?」と聞かれて「バインド機構」と単語単語で覚えていく受験者を苦々しく思っていると昔にブログに書いている。こういう一問一答単語暗記をどれほど積み重ねても,午後は全く解けないので無意味ですよね,と(これは前回の記事でも検証した)。
そして,そういう著者がどういう本を出してきたかいというと,
- 5行説明を全範囲穴のないようにしていく
- 細かく演習問題を積みかねていくことでそれを実現する
(注 : 5行という意味は,単語の羅列でもないが初心者に読み切れない詳細説明ではない,の比喩。)
という本を出してきた(注 : この本はわりと後発組)。
説明も出るとこだけを飛ばして説明するのでなく,基本から積み重ねて説明している(これも著者のポリシー)。そして,そのような説明をしているにも関わらず,読み切れるように分量の抑制も聞いている。結果として,基本情報~応用情報のレベルの部分の丁寧な説明が続いた本になっている。それゆえに,応用情報対策に最適の本に仕上がってる。
一般常識と切り捨てられることを教科書として書きおこしてる
この本をおすすめする別の理由としては,いわゆるできる人とか経験者が「生きてるうちに常識として頭に入ってくる」「過去問やってればなんとなく身につくでしょう」ということのいくつかを,ちゃんと文章として書いてることにある。
ここで取り上げた,マルウェア感染後の対策やパスワードに関する攻撃への対策などは,そんなの人によっては勉強じゃなくて常識では?になる。しかし,そういう常識を全範囲を網羅しつつ成文化したということそのものが業績なのである。
こういう(ほど良い)常識が成文化された書籍がないと,勉強しても解けない人がいつまでたっても解けるようにならない。こういう本がないと,いわゆる常識力とか過去問からの吸収力(抽象化力)の弱い人はいつまでも常識が身に付かない。
その意味で,この本は「その場力は弱い自覚はあるが勉強で通りたい人」には特にお勧めできる本だと思う。
例文集としての使い方
常識で身に付くだろう派もこの本は使える。応用情報午後解答は字数制限がきついので,それに合わせたお堅い言葉を出すのに時間を食うことがある。しかし,この本の言葉選びをぱらぱらとみておくと,時間が少し節約できると思う。
色々本はあるのだが,(応用情報)記述解答に転用できる解答粒度の説明という観点で,この本は良いと思う。短すぎず・詳しすぎずの程良いラインを行ってる(あくまで応用情報用として。支援士だと,この本に書かれていることが身体化されていることが前提で,もう一段階のものを求められる感じ。)。
ポケスタ系とか公式解答文言斜め読みとの違いは,ちゃんと順序だてて書いてあるとか,図をふんだんにいれてるとか,体系性とかを意識して書かれてるとかで,アドホックな暗記にならないようにされてること。
また,著者の方はIPA公式が出していること以外は信用しない,の超公式重視派の人なので,言葉もIPA寄りにちゃんとなっていると思われるし,信頼性もそれなりにあると思う。
応用情報でこれをやるのは非効率では?という意見はありえる
瀬戸先生の本を頭に入れておけば大丈夫というのは,以上の分析で得られた。
では,それが良いとしても,それはレベルにあってないとか,量が多すぎてこなすのに気合が必要すぎて挫折リスクが高いのではないか?というのが次に考えられる懸念である。その懸念の解消について,次回以降でいくつかの角度から考えて行く。
時間をかける応用情報のセキュリティ対策(1)問題分析
どうせ支援士を落ちてるだろうということで,午後対策を始めることにした。まずは応用情報の午後を確実に解けるレベルにすることから手をつけていく。
コスパの良い方法でなく確実に通る方法が欲しい
この時期,どうやったら次は確実に通るのか?という質問をみる。しかし,その答えはあまり書かれていない。世には,最小コストで確率的に通す方法の情報はあふれている。しかし,時間をかけて確実に通す方法はあまり書かれていない。
この問題について,三好先生は,出版業界の構造的に応用の参考書は範囲を網羅できるわけないので,高度の対策ツールを使えば良い,と言った上で,かなり具体的な方法論を書いている。 (注 : 三好先生の記事はあえてリンクしない。それで検索順位あげようとしてると思われるのが嫌なので。検索すれば普通に出てくる。)
自分の経験でこの主張には同意する。自分は,応用情報の教科書を読んでも,単語がぎっしりと羅列されてて,「既にこんなことは知ってる」か「何書いてるかさっぱりわからない」の両極端になってなって全くインプットが全く進まなかった。そして,高度(NW)をやることで応用午後がやっと少しわかるようになった,という経験があるので。
しかし,経験で主張は正しいとやるのはううんと思う。よって,どんな要素が効くことでこの主張が裏付けられるのだろうか?を少し考えてみることにした。
以下の分析は素人の分析であることに注意
以下,何回かにわけてこの問の周辺について考えたことを書いてみる。なお,自分は完全初見で完璧な正答を導き出せるレベルではないことは断っておく。正しい分析は各種専門家のものを参照すること。
また,三好先生・瀬戸先生・左門先生の3先生の考え方は相当読み込んでいて,かつ,影響を受けているため,これから書いていく見解は無から独自で作ったことでないということも明記しておく。
スタンスとしては,自分で分析をするための一視点を提供します,といった感じ。
教科書+過去問で無常識・基礎学力の低い人が対応できるのか?
真面目に対策する場合,何かの教科書1冊+午前問+午後問を数セット,という組み合わせになるのが普通だと思う。しかし,それをやって何回も落ちた人はときどきみかける。
こういうとき,単純な知識不足を改善しようとする人が多い(基礎学力は変えられない変数とみなして)。しかし,それは適切なのだろうか?これは,ある意味で適切である意味で不適切であると思う。ここでは不適切の部分について考える。
教科書の勉強不足による知識不足のせいで解けなかった,を分析するには,応用情報の教科書を持ち込み可で問題を解いたとして問題を解けるかどうかを見れば良い。ここでは,これを実行するための基礎分析を行う。
分析対象は2セット(R1秋・H31春)分。分析は,まずそれぞれの問題について,(いかにも応用情報の本にありそうな)単純知識(単語・午前レベル)とそれ以外の問題に分類をする。その上で,それに対して主観的なコメントを加える。また,応用情報ではない知識で解けそうでは?と思うことについてもコメントも加える。
R1秋の分析
問題概略
問題のタイトルは「標的型サイバー攻撃」。マルウェア対応の初動で利用者がするべきこと・FW・SPF・プロキシサーバなど。全般的にマルウェアがどう動くのかとかネットワークでデータがどう動くのか?の雰囲気を知ってるかの問題。
単純知識で行ける問題
- 設問2 (1) SPF(4択でSPFという単語そのものの選択)
- 設問2 (2) (c) 送信ドメイン認証によって得られる効果(20字記述)
- 設問2 (3) 水飲み場攻撃でどこにマルウェアを仕掛けるか?(4択)
2(2)は送信ドメイン認証という単語のフィーリングや前後の文脈から推論でも行ける。2(3)は水飲み場攻撃の仕組みの説明は本文にあるので,推論でも普通に解ける。
経験知
常識との境界
- 設問1 (1) マルウェアに感染したPCをネットワークから切り離す理由(記述)
- 設問2 (5) 不審なメールに気付いたら余計なことをせずにすぐに通報(4択)
常識と言えば常識である。常識すぎて教科書に明示されてるか微妙である。そして,この手の問題は「・・字以内に書け」と言われると手が止まることもしばしば。
演習による図の読み慣れ
- 設問1 (3) ログが記録されている場所を選ぶ
演習慣れ or 経験
FWの知識とセンスで純粋に導ける。しかし,支援士午後1ぐらいでそれなりのセット数の演習経験を積んでいれば,これ自体がよくある着眼点だな,になると思う。応用情報の過去問でも何回かはある感じがするが,定着までいける回数かは検証していない。
支援士(とかNW)を何セットかやってると,間接的にもこの問題はやりやすいと思う。支援士だと,FWのルールを読み書きする問題はほぼ毎回で,それなりの量を解く。そうすると,普通のFWの設定で書くことは
となっていることは,嫌でも頭に入る。そうなると,この問題では送信元・送信先のIPアドレスは関係なさそうので,プロトコル(ポート番号)にまずは着目する,ということになる。
この話は,応用情報の教科書からも理論的には読み取れる。ただ,普通に読み取って暗記できるか?と言われると・・となると思う。
読み取り
- 設問2(4) 色々対策しても,それより細かく本物の通信っぽくふるまわれたらアウトということを選ぶ(4択)
ここは消去法がオーソドックスか。ただ,知識と経験があると問題文の読み取りの解像度が上がって,それで解きやすくなるということはありそう。
まず表2のプロキシサーバの機能説明の中で「利用者IDとパスワードによる利用者認証」のを見た時点で,何かしら設問を解答するための根拠になりそう,ということが頭に浮かぶ。
また,プロキシサーバのとこさえまるっと通せれば,書かれてる対策(特にFW)は細かいデータのふるまいや中身まで監視してこなさそう,ということも知識があれば本文を眺めてるだけでイメージできそう。(FWとか4階層のイメージが必要な知識か。)
そんなこんなで,消去法でない形で正答に行ける。
さらに情報を読むと,設問の方法で突破されたとしても別のとこでログを監視します,って書いてるので,じゃ,それっぽくふるまわれたら終わりってことを認めてるのかとも読める。他の対策だと,ログ取得とのつながりも悪いと読むこともできる。
もっとも,他の対策がだめなのを丁寧に消去しても(これはそんなに知識はいらない)いける。よって,普通の読み取り問題とも言える。
あと,知識を援用できそうな午後の過去問の問もみつけた。ただ,それはまあわかってる人がその問を経験すると,この問と同一に見えるという感じだとは思うが。
H31春
問題概略
問題のタイトルは「ECサイトの利用者認証」。認証の3要素・パスワードクラック・ソルトがテーマになってる。
単純知識で解ける問題
- 設問1 (1) a, b : 認証の方法の候補の選択肢から物的と生体のものをそれぞれ1つ選ぶ
- 設問2 (1) c, d : 攻撃名(ブルートフォース・パスワードリスト)の穴埋め。
設問1(1)は認証の3要素の説明自体は本文にあるので,それに即して選ぶ問題。
ただし,選択肢が少し細かい気がする。
知識と推論・どっちでも行ける
- 設問1 (2) 不特定多数で物的・生体認証ができないと考えられる理由(4択)
- 設問3 (1) パスワードをハッシュ化する理由(記述)
- 設問3 (2) ユーザ固有ごとの固有の情報を加えてハッシュ化することによって得られる効果(4択)
- 設問4 パスワードの使いまわしによってM社ECサイトで発生するリスク(記述)
設問1(2)は物的・生体認証を日常的に経験するか問題を多く解いていれば,アとエは明らかに消せる。イも頑張れば消せる。もちろん,知識があれば正答がまず正答に見えて消去と組み合わせることもできる。国語と常識で解ける可能性もある。
設問3(1)はハッシュ化の特性は応用情報の教科書に載ってるはず。そこから推論すれば導けるとも言えるし,この手の話をわりと知っていれば普通に知識。(2)も同じ感じで知識か推論。
設問4はパスワードリスト攻撃のメカニズム自体が本文に書かれてるので,それで答えても良いし,知識で答えても良い。ただし,書かれてることが何かをイメージできるぐらいの基礎力と「M社ECサイトで」を外さない国語力だけは必要。
雑感
教科書を読む効果としては
- 知識問題に対応する
- 推論・常識問題を解くための基礎知識を身に着ける
が考えられるが,両方微妙なような気がする。
知識問題ですら読むというアプローチの利益が少ない
知識問題の多くは,そもそも常識でいける可能性がある。午前の暗記の効果でも良いし,下手をしたら学校(高校・大学)・企業で教養レベルとして触れている可能性すらある。
例えば,私は普通に認証の3要素は高校の授業で扱っていた(教科書にわかりやすく書かれてる会社もある。)。2要素認証がまだ今ほど一般的でないとき(高度の試験にしか出ない・意識高い企業でしか使っていない)からそうしていた。しかも,応用情報の教科書より高校の教科書の方が詳しく・わかりやすく書かれていたりすることらある。
パスワードクラックについては,ブルートフォースアタックもパスワードリスト攻撃も扱っていた。それを扱わずにパスワードの作り方・管理の仕方を教えても無意味なので。
そのようなご時世では「教科書を読み込むこと」「単語帳を回すこと」の限界的効果は小さいような気がする。
常識は本で身に着けられる?
常識問題,なんとなくニュースを見てたりするうちに知ってる,という人もいる。企業の教養レベルのセキュリティ上の正しいふるまいについての研修で知ってる可能性もある。ウイルスっぽいと思ったら,とりあえず線抜いて(良くわからないないならとにかく何もせずに)しかるべきとこに連絡して,などは普通に教えられてそう。
生パスをサーバに保存しないというのは,パスワードリスト攻撃がらみのニュースで普通に聞いていてもおかしくない(自分はそう)。ソルトもその流れで普通になんとなく聞いたことがある。
そして,こういう常識は,応用情報以下の教科書に書かれていますか?と言われると微妙だったりする。そこまで書いてるスペースがないので,良く読めばわかるものもあるかな,といったとこ。
過去問からの未来予測も確認してみると良い
楽観派の最後の砦として,過去問を解いているうちに常識が身につく,という主張もある。
この主張を検討するには,1期手前までの過去問ど解説の論点+教科書から,次の期の設問が解けるかを確認してみれば良い。言われているほど肯定的な結果にはならない。
今,これも少しずつそれを手元で考えている。今の印象は,過去問の中身からエッセンスを抽象化する力が高ければまあできるかも,といった感じ。ただし,その抽象力があるならそもそも受かりそう。こっちの問題は,そもそもその抽象力をどうやって身に付けるかを考えたいので,すでに持ってる人が過去問を使うと通るでは意味がない。
そもそも,知識がない状態で過去問を使えるか人依存である。過去問は非常にわかりやい教科書という考え方もあり,それには強く同意するが,知識がない初期状態で自力で読めるかは学力・経験に依存だと思う。よって,挫折リスクが少々ある気がする。
再現性のある方法を取りたい
いろいろと考えてきたが,結局は再現性がある方法は何か?ということを考えたいという問題意識である。
次回は,単純知識と過去問蓄積の間に高度のやさしめの教科書を使うことで,まだましになるのでは?ということを考えて行く。
LinuCの201をざっと片付けた
かなり前だが,LinuCの201をざっと片付けた。レベル2全体とかの細かいことは別記事として,今回はこんな感じでざっと片付けましたの話。試験直後に書いた記事を寝かしておいたものなので,試験直後にほぼ書いたもの。
例のごとく10.0なので演習がないとこは別途勉強。
レベル2までの4つの試験の中で、今回が一番楽だった。202を先に片付けてから(嫌なことは先に片付けた)201をやった。普通は201を先で良いと思う。
重複範囲はレベル1のあずき本を使う(あずき本を使う場合)
201はレベル1とけっこう重なっている部分がある。
よって,重複範囲はまず1のあずき本を完璧にして,それで2をやると良いと思う。レベル1は受験者数が多いので,本がわかりやすく作りも金がかかっている。よって,それを使えるならそれは使い倒したいということ。
レベル2のあずき本の改訂版(11月とあったけど)でどう変わってくるかわからないけど。
あずき本とPing-tの問題は両方使う
章末と模試を使うだけでもあずき本を使う価値はある。過去問公開されていないので,複数の人の作った問題を見ておくのが安全。Ping-tとあずき本は作問の視点が違う部分があり,それぞれ参考になる。なお,あずきのみはさすがに危険。
その意味で,スピマスも買って模試だけは使った。ただし,スピマスの本文の問題は私には合わないので使っていない。
範囲が限定されてるから何かに限定して繰り返すのが効率的という説もある。ただし,これは教材の精度が良い場合に成立する話。この試験ではそれは成立しにくい。教材が微妙なのは,作りに金がかけられないとか,守秘義務の関係でわざとぼかしてるとかの関係だと思う。また,範囲が広すぎて重箱も突いてくるので,限られた量で対応してきるのは大変,というのもある。したがって,一冊・完璧ではないので,どれか完璧にしても他もぱらぱらはしておきたい感じ。
あずき本とPing-tの役割分担
自分はPing-tだけで行くのは無理。Ping-tを絨毯で覚えるとか,Ping-tの形式で問題を解いているうちに何らかの抽象化が働いて理解ができるという頭はないので。なので併用。
- あずき本 → 暗記量を減らすためのヒント集
- Ping-t → 暗記対象を網羅するための視点を得る
といった感じの使い方。
あずき本は,暗記量の圧縮に使える。名前解決系はだいたいnのオプションが用意されてるとか,略語の元が何かとかそういうのを書いてくれてる。そんな感じで暗記圧縮に使う。あとは、書き込みをいれてそこに情報集約させる感じ。
Ping-tは毎回一セクション全部を軽く回す
金とか銀とかヒットとかそういうのはばっさり無視して、繰り返し全部回した。そもそも答え合わせ機能は一切使っていない。答えはすぐ開いてパッと見るぐらいのいい加減な演習をひたすら回数回した。
なお,そのときの習熟具合で回し方は変えてる。後半は問題見て選択肢見ずにポイントを思い出すとか白紙解答書くとかする演習も入れてる。
この試験の教科書・演習問題の体系化や精度が微妙である。要は,それぞれの問題がきれいに直交して作られてて,かつ,問題全部で無駄なく全体をきれいにカバーするといった感じではない。よって,何がわかってないかを考える時間があったらさっさと回数回す方が速い。
また,問題間の難易差が激しいので,簡単な問題を取り切る保険として簡単な部分を繰り返しす意味もある。
以上を踏まえて,復習はわかってるとこも含めてひとまとまりの内容ごとに全問題を一式回すことにした。
逆に言うと,高速で全部の問題を回せるようにするために,頭の中でどういう風に整理しておけば良いかを考えるのが勉強とも言える。何回やっても高速にできないということは,そこに回せない何かがあるのである。そこを潰していく。(場合によっては捨てる)
常識問題はお勉強が難しい
レペル2は、けっこう常識問題の範囲がある。こういう常識問題は,この試験の教材で理解できないということはありえる。
そういう人は,別途対策か,他のとこで精度をあげて点を取り切るしかないのかなと思う。
自分は常識はあまり勉強しなくて済んだ側なので,この対策は何も言えない。
201の新範囲は全く出題が読めない・・・・
いちおう公式の参考資料を使うのだが,これ問題作れなくない?とか思いながら読んでた。そうしたら案の定ひどい目に合う。シラバスの字面通りだと相当高度な問題も作れるとかの悩みもある。
リテイクは1回は1週間空けるだけで受けられる(その次の1回からは1か月)ので,お金があるならえいっと受けに行って問題を収集してくるのも良いかも。まあ,あずき本も出たしPing-tもそのうち出るし,そうしたらもう少し違うんだろうけど。
新範囲について自分なりに考えたことは過去のエントリで書いたので略。
午前1対策の分野別の対策の濃淡(支援士の場合を中心に)
午前1は得意・苦手や午前2とつながるかなどで,全分野フラットにやるというのが得とは限らない。
午前1だけの合理性で言えば,
- 圧縮率(全体では80問を30問に圧縮している・それと分野別圧縮率の比較)
- 限界的に考えて点数が取れるところの見極め
- 相乗効果
- 勉強時間に対する点数の取りやすさ
あたりを適当に考えながら,どの分野から手をつけるかを考えるところだと思う。
「限界的に」どうなるかは意識しておきたい
- 不意打ち(「対策不能」な新作問題)
- そもそも素養が決定的に聞いてくるところ(基礎理論とか人によってけっこう)
- そもそもノー勉でもある程度とれるとこ
あたりを排除して,勉強が報われやすいところで行く。フラットに全部やるのはしんどいので。
分野ごとの問題数
専門家の書いた分野ごとの正しい分析は松原先生の本が素晴らしい。本の内容は高度で手がでなくても,分析ページのために手元に置いておく価値がある本。ここでは,それとは別の視点で,俯瞰的な視点から見ていく。
なお,無保証です。読者が各自で分析をされるときの参考として,枠組みを一つを示したということで。
まず,自分の分析を簡単な表にまとめたものが以下である。
問題数は,iTECの午前本有の分析の平成31年度春季の値を使った。
今回取った戦略
以上を踏まえて出した結論は以下の感じ。まずは結論の表。
支援士のAM2の問題数を入れて,APの問題数を抜いて,少し分野の順番を入れ替えてる。
以下,この表にいたる過程や根拠をだらだらと文章で書く。情報として読む人はここまで読めば十分。以下は洗練させてから公開したかったが,行き詰まったのでいったんこれで公開する。
優先順位付け
- 超最優先(ネットワーク・セキュリティ)
- 最優先(開発技術・PM・SM・監査・システム戦略)
- 普通(経営戦略・企業と法務)
- 定性問題を中心に嫌々対策(コンピュータシステムの4分野)
- 運を天に任せる(残りの分野)
支援士の場合,超最優先としたネットワーク・セキュリティは午前2の重点分野で(合わせて20題)。また,最優先としたとこは,開発技術(2題)・PM(1題)・SM(1題)のも出題がある。残りの1題のDBは割が合わないので対策からは落とす。
得点計画
- 超最優先+最優先(16→12・75%)
- 普通(5→3・60%)
- 嫌々対策(4→2・50%)
- 運を天に任せる(5→1・20%)
超最優先+最優先で75%というと低く見えるが,問題数が少ないので仕方がない。手の出ない新作問題2問・手が滑って2問というのは現実的な想定。
最優先・優先分野
効率を考える上での基本値
まず,何題抜くかの効率についての基本線として3/8 = 37.5% (3/9=1/3より少し大きい)の数値は頭に入れておく。
- ちょっと効率が良い : 5→2 (40%)
- 普通の効率 : 3→1 (33.3%)
- 効率悪い : 4→1 (25%)
も頭に入れておくと分析しやすい。
この効率の意味は,結局,午前1の対策は応用情報の午前の問題を全部回すことになる。だったら,応用情報から捨てられない問題の割合が高い分野の方が過去問演習の効率が良いだろうという考えである。
最優先分野
- ネットワーク 5→2 (40%)
- セキュリティ 10(11)→4 (40%)
(数値は出題数。左が応用午前・右が午前1。セキュリティはR1で応用情報側の出題数1題増加した。)
まずセキュリティは問題数も多いので,ここは最優先。努力も報われやすい。セキュリティとネットワークはセットでやった方が対策が良いのでネットワークも同時に。
セキュリティ(支援士)を受ける場合はそもそもここは落とせない。
優先分野
この優先のところのほとんどはフィーリングでもなんとか解けるけど,ちゃんとやっておくと安心して点になりやすい,といった感じの分野。
開発技術
- システム開発技術 3→1(支援士は午前2で1題)
- ソフトウェア開発技術 2→1(支援士は午前2で1題)
(数値は出題数。左が応用午前・右が午前1)
ここは合計で5→2(40%)という捉え方で考える。
支援士を受ける場合,ここは午前2でも1題ずつ出る。合計で2題になる。これはけっこう大きい。
あとは,ここの続きでシステム戦略の部分とも相乗効果がある。手をつける価値がある。
PM・SM・システム監査
- PM 3→2
- SM 3→2(支援士は午前2で1題)
- 監査 4→1(支援士は午前2で1題)
(数値は出題数。左が応用午前・右が午前1)
ここは,合計で10→5 (50%)という捉え方で考える。SM1題・監査が2題ということもあるし,ただその監査もバックアップについての留意点とかSMとの境界問題だよな,というのもある。この3つでマネジメント分野で,そこの割合をある程度一定にしてくる,と考えて良いと思う。
支援士を受ける場合は,SMと監査で1題ずつなので,手をつけたい分野でもある。
この3つの分野も勉強がある程度は報われる感じがする。絶対に取れと言われたら,対応する高度のAM2を流すという手段もある。力は入れやすい。
システム戦略
- システム戦略 : 3→2
- システム企画 : 2→1
(数値は出題数。左が応用午前・右が午前1)
2つ合わせて5→2 (40%)なのでまあ割が合う。
ここは3題あったら,1題ぐらいは新作っぽい時事問題は入りうるところである。しかし,3題あればさすがに1題は定番が,ノーマルケースでは2題は定番が期待できる。
この行為が何プロセスでやることか?はフィーリングでいけそうで,常識でやると落とす部分もある。しかし,しっかり演習しておけばだいたいはわかるようになる。その意味で効果が高い。
また,ここはシステム開発のとこの上流部分の話なので,システム企画と開発のセットで一連の流れで完結している。なので,システム開発とほぼ同じようなことを問われるとか,ダミー選択肢にシステム開発側のプロセスのダミー選択肢混ぜて問題作るとかがある。
よって,開発技術とここはセットで押さえるべき。
優先・最優先の得点目標の導出
ここまでみてきた分野の出題数は
- セキュリティ + NW : 6
- 開発 : 2
- PM+SM+監査 : 5
- システム戦略 : 3
となる。これで合計が16題である。
また,支援士の午前2の場合はデータベースの1題以外は全部抑えてることになることにも注意しておく。
さて,目標としては
- 4題落とす(12/16・75%) → 残り 6/14 (42.8%)
- 5題落とす(11/16・68.75%)→ 残り 7/14(50%)
- 6題落とす(10/16・62.5%)→ 残り 8/14 (57.1%)
あたりが候補。できれば,4題落とし(12/16)ぐらいで設定したい。10問実力で正解して2問カンで正解するイメージ。悪くて5題落としにしておきたい。そうしないと後が厳しい。
常識と軽い演習で
- 経営戦略 : 7→3 (43%)
- 企業と法務 : 7→2 (29%)
新作が入る可能性が高い(経営戦略で時事的な用語が出るなど),2題は定番問題が入るイメージ。
経営戦略のアルファベット略語やカタカナ語を丁寧に拾う作業をするか迷うが,残りがここより取りにくいのであきらめて暗記する。会計もやっておきたい。ただし,新作までは対策しない(実際は対策するが取れることは計算しない)。それで3/5(60%)を目指す。
嫌々定性問題のみ対策
コンピュータシステム
- コンピュータ構成要素 4→1
- システム構成要素 4→1
- ソフトウェア 4→1
- ハードウェア 4→1 (数値は出題数。左が応用午前・右が午前1)
ノルマは2題
ここは全て4→1(25%)なので,最初は完全に捨てるつもりだった。支援士だと午前2でも使わない。よって,割に合わない。しかし,計算をするとここで2題はどうしても必要。となると勉強するしか選択肢がない。
2題必要を導いた根拠は,コンピュータシステムの直前までで,(12+3)/(16+5) = 15/21なので,残り9題で3題取る必要がある。
コンピュータシステム以外の残りは基礎理論・プログラミング・ヒューマンインターフェース・データベースで合わせて5題。マルチメディアとヒューマンインターフェースは出題0もありうる前提。
この残りの分野は,こも全く計算にならない。基礎理論・プログラミング・データベースは手が滑って落ちるときには落ちる。よって,残りの5題からはカンで1題取るという計算になる。そうなるとここで2題が必要になるのである。
教材と手をつける範囲は限定
結局,このパートは勉強教材・勉強時間を限定して勉強時間を抑えるかわりに目標ラインを下げるという考え方を取った。
対策は手持ちの教科書の問題とiTECの午前問題集の問題のみに限定をする。手をつける内容については以下のような感じ
- ソフトウェアは網羅する(割は合わないが)
- コンピュータ構成要素は定性問題と簡単な四則演算で肩がつく問題は網羅する
- システム構成要素は簡単な稼働率計算と定性問題は網羅する
- ハードウェアは定性問題のみ手をつける
教材を限定する理由は抽出率にある。ここは,応用から25%抽出だから,全部押さえていくコストが大きすぎる。もっと範囲を絞りたかったが,いろいろ分析して危険とわかったので,分野を広く取る代わりに重要問題のみに絞るという戦術にした。ハードウェアだけはどうしても軽く見てなんとかなる問題だけ軽く見た。
手をつける内容を限定する理由は,勉強時間と結果が対策しない問題がそれなりにあるからである。特に計算問題。例えば,コンピュータ構成要素・ハードウェアは重い計算問題や論理回路問題があるが,そういうのは事前対策をしていなくても解けるときには解けるし,解けないときにはとけない。よってその対策時間(と問題を解くことによる精神の消耗)を他に回す方が合理的。
運を天に任せる
ここまでくれば,後の残りの5題でどうやって1題を取るかを考えるだけである。純粋運でもまあ悪くない。
基礎理論
- 基礎理論 : 4→2
- アルゴリズム 3→1 (数値は出題数。左が応用午前・右が午前1)
ここは,基礎理論3題ということもある。アルゴリズムも場合の数の計算で,実質基礎理論(数学っぽいの)4題という回もあった。
だからやっていきましょう,とならないのがここの手ごわいところ。
まず,数学・データサイエンス強化の旗印のもと,不意打ち問題がくる可能性を考えておきたい。現に,基本情報はいきなり極限の計算が出題されたという事件が起こったりしている。
また,苦手な人からするとここは暗記もつらいし数値替えされただけで終わりとなりかねない。数学・計算は勘違い・ミスでというリスクもある。
自分の場合は,手をつけていても手をつけていなくてもその場で解ける問題は解けるので,その意味でも対策の効果が薄い。
手をつける問題の選定はプロに任せる
今回の基礎理論は,努力で運が良いときには1題取れば良いという対策である。こういうときは,何かの基準でセレクトされた問題集をふわっと理解できるとこだけやっていく作戦が良い。これなら負担も少ないし,運が良いケースでそこそこ取れる(R2はこれがはまった)。
こういうふわっと対策をするときは,ドットコムでえいっと対策をかけるのは割が悪い。何らかの基準でちゃんとセレクトされた基本問題の塊だけにかける。私のお勧めはiTEC午前 + 瀬戸本 or 翔泳社本。短時間で理解できるとこだけふわっとやっていく。
技術要素(ネットワーク・セキュリティ以外)
- ヒューマンインターフェース・マルチメディア : 1+1→ 0 or 1
- データベース 5→1
ヒューマンインターフェース・マルチメディアはどっちか1題が定番だったが,0になった回もあった。
データベースは1題。データベースはこの範囲に対して1題ですか?って感じ。また,定番でない問題がピックアップされる保証はない。
さらに,データベースは少しの読みミスで線を引く方向・関数従属・SQLを勘違いするという怖さがある。5題あれば全部そういうことはしないよね,で良いが,1題出題だとうっかりがおこったら0である。怖い。
加えて,NoSQLがらみの新作のリスクもある。となると,ここも0勘定をするのが現実的。
実際はiTECの午前問題集でさらっと全範囲軽く回す対策をしたが,ここはわかってない人が1題のためにゼロからやるには割が合わないという感想しかない。(私はDB合格済で内容の概略はわかっていた状態で回したので負担感は少なかった。勘違いと忘却の修正のみなので。ただ,普通はそうはいかない。)
問題数が少ない午前1は致命傷を避けるのにコストがかかりすぎる
普通は,ここまで慎重にやらなくても良いと思う。ただ,やはり問題数が少ないのは怖いのである。
応用情報のように,苦手な分野についてそれぞれ4題出題されるとしたとき,4題全部解きにくいのはないだろうという安心感がある。難しくない部分のみの対策をしておけば,確率25%で1/4・確率50%で2/4で見積もれて,平均的に4割は取れて合格ラインに対するダメージは2割というイメージができる。
しかし,午前1では0か1のどちらかになる。対策が不十分な場合,何かの拍子で全部0が続くということはありえる。これは怖すぎる。
そういう観点で色々なシナリオを考えると,1回で受かろうとしたらノー勉の部分をある程度残すというリスクを負うことは許容できないという結論に達する。私はこの結論に従って,午前2以降を今回は私は放棄した。このレベルで対策をすると,午前2以降には手が出ない。
問題数リスクは本当に怖い。午前1の苦手な分野が多い人は,素直に応用を取って午前1免除を取るほうが良いケースもありえると思ってる。それぐらい問題数が少ないというリスクは怖い。
R1の出題でどうだったか?
ここまでの骨格はほぼ試験前に書いてた(後付けで書きたくなかったので)。実際の試験では27/30(自己採点)だったし,定番問題落としたから対策の効果と点数に関係があったかと言われると微妙だが。とりあえず問題分析をして戦略がどうだったかを振り返ってみる。
重点分野(目標12/16)
表に書いた通り,
- NW 1/2
- 開発技術 1/2
- マネジメント(PM・SM・監査) 3/5(ただし計算落としたら2/5)
- システム企画・戦略 2/3
が確実に取れると言い切れるところ。ここまでで5問が落ちる。
セキュリティを1問も落とさなかったとして,このパートの目標より1問落とした計算になる。少し厳しい。セキュリティも過去問そのままか?と言われるとどうとは言い切れないが基本は基本。
NWの計算以外の過去問対応できない4題は,
- スクラムは知識
- 逓減は微妙に知識
- 問25(ふわっとクラウド)はSaaSがイメージできるレベルで国語なので実質的に知識はなくても。
- 監査は,ウ・エを過去問の知識で除外して,アジャイルは従来とドキュメントに対する考え方が違うので,整ったドキュメントだけを監査対象にしたら監査の実効性がない,と知識に基づく推論ができるかなので,知識と言えば知識。
いずれも知識といってもレベルは知れてて,生活でふわっと触れてるかで大丈夫なのだが,計画段階でこれを点数の勘定に入れるのは怖い問題。
常識と軽い演習(目標3/5)
表に書いた通り確実に取れるのが,バリューチェーン・問29の営業利益の2題。あとはカンで1問合わせるしかないところ。(用語新作2題・プロバイダ責任制限法の常識っぽい読み物の1題のうちのどれかを1題取る)
定性問題を中心に嫌々対策(目標2/4)
ハードウェアが2題出題なのが特筆。論理回路でなく定性問題。ただし,実質この計算問題は取れない問題なので1題出題とみても同じようなもの。
サーバコンソリデーションもまあ無理。
過去問で取れる3題は(自分には)見てないと取れないが,ちゃんと覚えきってれば取れる問題。2/4のノルマ(実際は5)はクリアできる。
無対策(目標1/5)
- 基礎理論は2題は過去問を覚えていれば取れる問題。数学苦手でも。
- プログラミング言語が午前1で久々の出題だけど,これは常識ですよね・・・松原本にはここはほとんどないと書いてあったが,別にそれを信じても対応できるレベル。
- データベースは取れるといえば取れるけど,ここは理解できない人には難しいのでなんとも。
問2(ハフマン符号)は定番だけどiTECではそのままでは(掲載されているのでは少し難しめの問題)なかったかも。
1問取るだけなら難しくない。再出題の2題は,問題集では見るが出題間隔は空いてるので対策薄いと取れるとは言い切れない。(数値の違う類題までは調べてない。あくまでドットコムの同じ問題の出題歴で確認)。
過去問だけで行くと意外とぎりぎり
(自分の分類が間違ってないとして)過去問の周辺だけで行くと19問でかなりぎりぎり。過去問以外から万人が取れると言い切れるのは,Python・クラウドのふわっとした文章問題ぐらい。
人によっては常識で取れるけどそうでない人は厳しい問題があと3題ぐらい(開発技術のとことマネジメントのとこ)。どれか1題は常識がはまると取れるが(例えば開発の人はアジャイルは雰囲気でいけるし,マネジメント層の人は逓減を雰囲気でいける。),どれもだめという運の悪い人は大変。
新作問題でも過去問との距離が小さければまだ良いが,過去問との距離が大きい純粋新作問題がそれなりにある気がする。
なんだかんだいって捨てれる部分が少ないし,怖いとしか言いようがない・・・・
全体の感想
見ると重点的に対策を基礎理論・コンピュータシステムが,過去問演習が報われる感じだった。完全に捨てていたら危なかった。ドットコムで網羅でなく教科書と問題集だけで取れたのがありがたい。毎回こうとは限らないので,取れる計算にはできないが。
セキュリティを取り切れる前提なら,この考え方でそれなりに大丈夫そう,が分析しての実感。
セキュリティを取り切るというのは,単発の理解とか問題集の限られた問題数だと少し厳しいかも。理解してたり常識の雰囲気がわかっていれば良い感じて確信を持って選べるものの,個々の単発事実の暗記ベースで取れるかと言われるとどうだったっけ?となる。
計算問題は(得意なものの)全部落とす前提にしておいて正解だった。50分(プラス朝苦手による睡眠不足)だと,検算や1から解法を考えるのは難しい。実際,普通に取れる計算問題を2題落とした(というか落としたのはハードウェア・NW・SMの計算問題の3題のみ。ハードウェアの1題はどうやっても無理だった。)。
あとは,ふわっとした知識と常識力の境界にあるような知識で点数がかなり変わる。常識力に自信がない人は鉄壁に対策をしたとしても相当重圧がかかる試験,という印象。
お勉強で午前1を取り切るって意外と面倒という感想しかない。
追記
なんかいろいろ文章が推敲できてないことに気付いたのはそのうち直す
1. NWの計算問題
ネットワークの計算問題は,1GBの回線の片道のデータの流れる時間をxすると100MBの回線のデータの流れる片道の時間が10xになって,処理時間をAとおくと
をxについて解くだけで解ける。自分は試験中は
- データ量か時間をx・処理時間をAとかする
- あとは良い感じで連立方程式
まではまあわかったが,立式して検算をしてる余裕がない。1分で解けと言われたら無理。この問題は,過去問流してて外野の目で見ると簡単なのだが,与えられた条件でやるとやってられないタイプの問題。
自分の場合,速度10倍だから往復の時間が1/10という事実すら,手を動かして確認するとこから始めると思う。数値例を作って確認したり,データ量をxとおいても同値になるっけ?の確認かとかを色々確認する。
選択肢を全部試すという手段もあるのもわかる。
しかし,これは2分で解けという問題。10分~15分くれたら初見でも何の問題もない。よって,応用の午前だったら正解できてるが,午前1だと厳しいという話。
また,問題文が微妙に長いので,その意味でも時間的に不利。
効率の良くない高度午前1(応用情報の午前の一部の問題を抜粋)をした
今回,確実に1回でパスしたいので午前1を真面目に対策した。
どのサイトを見ても午前対策は「覚えれば良い」とか書いてある。それはさすがに知っている。だいたい,こっちは覚えられないから困ってる。
話の筋はだいたいわかってるので,軽い対策で良いはずである。しかし,それで行くのは怖すぎる。応用情報午前なら80問なので安心できる。しかし,午前1は30問である。範囲に対して30問は少ないので,下振れが怖い。事故がおこって1か月待ちなら良いが,半年待ちはやってられない。
この状況で何をするか?と考えて以下のようにした。なお,分野ごとに対策の濃淡はかなり変えてる。以下は,自分にとって「お勉強」の効果が大きそうな開発技術・PM・SM・監査・システム戦略について取った対策はかなりこれに近い。
複数冊を使って同じ問題を繰り返す
ドットコムあたりを繰り返すのが普通の対策である。しかし,それだと「だいたい」できるので,危機感を感じず伸びない。また,ランダムなので頭の中に体系の地図ができない。
色々考えて,トピックごとに以下のプロセスを回すことで落ち着いた。
- iTECの午前本でトピックの全範囲の問題を流す。
- 瀬戸本(インプレスの教科書)をざっと読みながら問題を解く。
- iTECの午前本の同じ範囲を,解説(まとめ)を読みながら流す。
- シラバスとテキストを突き合わせる。
- 心に余裕があるところはドットコムをばらばらとやる。
あとは,毎日iTECの午前本を流せるだけ流しつつ,2~4を繰り返す。これだと同じ問題を解いてても飽きが来にくかった。
なお,最後の仕上げに松原本(午前2メインの本)も一部の分野で使った。
iTEC午前本は良い本
「教科書的知識はだいたいわかってる人」の一冊目や軸とするには一番良い本だと思う。
そもそも「過去問」「iTEC」の本は外れにくいので,何も考えなくても良い本の確率は高い。
いきなりドットコムとかだと面倒で挫折リスクがある。しかし,問題が少なすぎる普通のテキストは・・といった場合に,特にこの本は良いと思う。
この本をマスターできたら,後はIPAのPDFを解きこんでいくなりドットコムで量を畳みかけておけば万全だと思う。
仕上げにキタミ式を使うのは意外と良い
初学のキタミ式の定評の高さは皆が知っているところ。しかし,最後の詰めでもキタミ式は良かった。
疲れたときに勉強をゼロにせずに済む
エネルギーがない状態だと,普通の問題集に手がつかなくなる。しかし,キタミ式だと疲れて手も雑誌感覚で読める。演習半分・漫画半分ぐらいで読むと演習もできる。
問題意識を持って読むと絵が頭に良く入る
内容がわかった状態で読むと,初学のときとは違う良さを感じる。問題演習でだいたいの筋がわかってるので,漫画の細かいところまで目が行く。また,演習でもやっとしてるところを解消したいという問題式もあるので,そういう読み方にもなる。そんな感じで,楽に色々なことが良く頭に入ってくる。
中身がわかってると高速で読み飛ばせる
説明が丁寧な分,読むのに時間もかかるので今回はこれを使わない予定だった。しかし,内容とか演習がだいたい入ってる状態でこれを読むと超高速で読み飛ばせる。
スタンダードなテキストは瀬戸本でも翔泳社でも
体系的に説明したスタンダードな本は,一冊手元にあると便利は良い。私は手持ちの少し古い瀬戸本を使った(新シラバスとかiTEC見て古いとこはちゃんと見直しながら読んだ)。翔泳社でも良いかな。教本はちょっと違う感じ。
要は説明型のテキストで
- 「細かい区切りごと」に演習問題がちゃんとついてる
- シラバスの順番でカバーしてる
- それなりの問題数が確保されている
というのを選べば良いと思う。
松原本で高地トレーニング
アジャイルのような新しめの範囲は、応用の過去問には直接なくても高度で既に出題されたものがあったりする。そういったとこを松原本(午前2の対策メイン)で仕上げる。
松原本は午前1にも対応はしていると書いてあるが,iTEC午前本がすらすらでないと使いにくいと思った。午前1をこれだけでやるのは危険だと思う。
また支援士の場合、午前2対策としてもある程度は応用情報本を仕上げておくのが有効だと思う。支援士の問題の場合は,レベル4といいつつ3に毛が生えた感じとかの問題けっこうあるので。
対策の根幹にある考え方
以下はノウハウは何もない。自分のこの対策に関連した考え方をだらだらと書いた。
違う角度から同じことを繰り返す
手をつける教材は広げない方が良いと言われている。しかし,試験では複数冊でやっても1つのことを繰り返してるのと内容的には大きく差はない。
IPAの試験対策は過去問という軸があって,それに沿って書かれているものなら(そうでないものもときどき)だいたい同じ方向に行きつく。違いは,ページ数とか対象に応じて粒度とか著者のポリシーによって書き方が変わるだけである。
キタミ式・瀬戸本・iTECの3冊を回すということは,
- イラスト(イメージを理解する・イメージと問題を対応させる。)
- 教科書的(教科書的体系・説明と問題を対応させていく。)
- 問題集的要約(問題数をそこそこ確保する。問題解説厚め。サブノート的な要約もついてる。)
とバリエーション変えながら繰り返しているということになる。
繰り返すということに対して忍耐力がある人は同じものを繰り返してもいいんだけど,そういうのがない人はこんな感じでちょっと変えて繰り返す方が飽きがこなくて良いのでは?と思う。
特に短期間で仕上げる場合だと,短期間で同じ問題を繰り返す必要が出てくる(忘れながら徐々に刷り込むのを待てない)。こういうときは,違う本(見た目・配列)で同じ問題をやる方が同じの繰り返すよりかはやりやすいと思う。
なお,真面目にいうなら,単純反復より比較の視点を入れたりした方が脳に刻みやすいとかいろいろ別の弁護はあるけど。
複数冊を使う意味
段階によるけどそれなりに。例えば,少しわかってきた段階だったら,Aの本でもやっとしていたことがBの本で理解できたり,逆もある。あるいは,Aの本とBの本を関連付けしてCの本が理解できた,みたいなことも。
そういうのは試験後という主張もある。試験前は反復でやっておけば良いと。
ただ,反復で伸ばせる限界値みたいなのが人によって違ってて,そういう限界値が低い人は視点変えの勉強法を速い段階から入れる方が有効ということ。
全ての記述はトレードオフだし,理解度が変わっていくうちに欲しい記述も変わってくるし,なので複数冊はそういう意味でも有効。
複数の刺激をいれることと反復は相補的
色んな体験記を見てると方法Xでいけるみたいなことを書いてる。まあその方が単純化して文章も書きやすいし。
ただ,コアとサブをちゃんとしてれば複数の刺激を入れた方が効率が良いというのが自分の持論。特に真面目に長い時間の勉強するときには。コアを瞬時にというのは前提として,
- コアにいたる段階では別の刺激をいれた方が記憶の定着が良くなったり理解して記憶しやすくなる
- コアから得られる知識量自体が収穫逓減領域ち入ってきたら別の刺激で知識量を増やす
といった感覚。収穫逓減になってもなおコアはリピートするのは前提(無意識化レベルまで仕上げるため)。ただ,それだけをやるのは色々と割が悪いと思っている。
一度に相手にする「わからなさ」をコントロールしつつ勉強
複数並行するからといって全部同時にがっつりやるわけでもない。そこは自分にとって既知となる部分と未知となる部分をうつくコントロールしながら進めていく。今はここはあっさりでここはきっちりやる,を毎日状況をみながら切り替えていく感じ。こういうのって文章化しにくい。。。
仕上げのレベル感
最後の復習は、重い計算や考察問題以外の問題と解答を一瞬でめくれるようになるとか、選択肢見なくても答えがだいたいわかるとかになる。自分の性格上、それでも本番て何問か落とすのだが。
こういう仕上げにするので,紙の本を使うことは必須だった。電子だと紙をめくるスピードに追いつけない。体系で入れていきたいというのもあるので,その意味でも、かっちりした紙の出版物が良い。
(軽い問題だと)1問15秒ぐらいでめくれると復習も楽になるのでそこを目指してた。解説とかを徐々に熟読したり教科書とか違う角度の納得もいれつつ、自然とめくれる状態を作る。めくる速度を上げることそのものが目的ではない。
余裕があるときは、実際は少しずつ手を止めて知識の拡張をしていく。あるいはめくりながら解説の関連事項を思い出したりもする(そして思い出せなくて余裕のあるときは関連事項復習)。ある程度めくれる余裕が出てくるとこういうこともスムーズにできる。
本当はここまでやりたくないけどと思いつつも今回やったら、確かにここまでやれば見えてくるものが違うのはわかった。
午後の下地があるから午前が仕上げられる
なお、これは午後がだいたい理解できるからてきる対策でもある。今回の自分は,午後の下地は既にあって(AP・NW・DB・SC合格済),知識の雰囲気とか必要性がわかってるから投げ出さずにできたといった感じ。
世間では,午前しっかり→午後と,午後しっかり→午前がメインだけど,自分の今回勉強した感じだと,午後から逆算した午前をざっと→午後をだいたい理解→午前をしっかり,が一番良いと思った。特に時間がかけられる場合。
試験後の感想
ここまでやると、なんか少しだけわかってきた感が出てくる。もう応用情報の教科書はPDFだけで持ってても大丈夫かなと思ってきた。
逆にいうと,一回目でわかったになるのはしんどいので,普通に受ける場合はえいっとやりましょうが正しいのかも。
2020高度午前2をざっと見た感想
支援士以外で。いつも通り専門家ではないので内容無保証。
セキュリティ問題
全区分で共通でないのが増えた?これ以前からそうだったっけ?以前はほぼ午前2共通だったような。
結構,定番問題が消費されてる印象があって,そうなると消費ペースが速くなって足りなくなるから新作問題が作られてくるということになるのだろうか?
セキュリティは勉強してほしいから重点にしてるはずで,新作だからといって無茶なことはしてこないと思うけど。ただ,問題・解答丸暗記に近い勉強ことをやっていると変えられて困る,は多く出てくるかも。そうしないと問題量が確保できないから。
DB
しばらく見てないうちにいろいろとごつごつとした問題が。。。
午後1もみたら(設計の問題すら)やばくて,今受けたら全く通る気がしない。
個別にぐぐっていくと,自分が知らないだけで以下は一般常識らしいことがわかる。ググった後で問題文みたり数年さかのぼって確認をしていると,いやこの試験の問題と解答,ほんと理解に使いやすいなと感動する。
CAP定理(問1)
CとAとPは何か覚えてることが前提の問題。
新シラバスにあるので何回みたのだが全然頭に入ってこなかった。こういう問題を解くと頭に残りやすくなるのかなと思った。その意味で良い問題だと思う。
なお,データベースでは既にCAPは何回か知識問題として出てて,次の段階としてこの問題が来たらしい。
NoSQL(問2・問16)
応用情報午後のSAの問題もそうなんだけど,NoSQLはさっぱりわからない。シラバスに入ったのに。
レベル4の問題かもしれないけど,問題が少ないのでこれも応用情報対策でも解いておいた方が良さそう。
- 問2 : BASE特性を満たし次の特徴をもつNoSQL
- 問16 : キーバリューストア
問2は単語ぐーぐるに聞いて問題文と解答のセットでものすごく良い説明になってて納得した(BAとSとEの説明みてこれ読んでって感じ)。
問16はなんとなくこの言葉しか聞いたことない,で選べそうだけど,そういうのはそのまま流用されても文句言えないな。
トランザクション制御(問11・問14)
MVCCが新しくシラバスに入ったのでいろいろ調べて,で,良くわかんない,になってたからトランザクション関連の問題に目がつい向かう。
なお,H31の午前2の問18でMVCCそのままが出てたらしい。流用最重要候補はそうですよね。
硬派な本(増沢先生の本)は,MVCCの前にいろいろ並んでて,それを見てると,それ以前におさえないといけないことがあるという認識までは到達した。
- 問11 トランザクションの直列化可能性
- 問14 同時実行制御の手法の一種である楽観制御法
あたたは,なんとなくそういう関連なのだろうなとは思ったり。楽観制御はNoSQLのとことかとかんでるらしい。。。
問22 電気泳動型電子ペーパ
面白いけどなんでデータベースでの出題なんだろう。。。そのうち応用にもこれはきたりして。
問23 ハートビート
LinuCの勉強のときに少しみたところだからふーんってなった。流用も当然そのうちありそう。
問25 ユースケース駆動開発
PMにもあった。最近はやり感の問題で,流用か再出題で警戒か。
出題割合
過去との比較はわからないけど,データベースの出題のうち,
で,上2つだけだと午前でも落ちるという世界線なのか。
午後をみてもそうだけど,理論・SQL以外を一回ちゃんと勉強した方が良いことだけはわかった。ただ,本で勉強できるのかな。
(午後も含めて)問題が増えてるってことは,問題を通して勉強するっていうのはやりやすくなったので良い機会だとは思うが。
PM
問5 PV, EV
応用の対策本でみる文章題をひっくり返した感じの問題ですね・・・
問20 デザイン思考
新シラバスで出てきたデザイン思考の問題が。これは応用にそのうち流用もありそうですか。。。このセクションのレベル3で扱ってるPMで出たものなので。
これは消去でいけるけど,選択肢紛らわしくされたらどうなるんだろうかはわからない。
システム監査
よくわからないけど,いちおう平成30年の基準によるとになってた。
問10までざっと見て,応用の過去問で個別バラバラに出てきたことが一本につながった感じがした。いきなりこういう抽象だと嫌だけど,ある程度解きこんだ後にばらっと一回みておくのは良いなと思った。
