時間をかける応用情報のセキュリティ対策(5)セキュリティ以外の分野
残りの分野をどうするかというお話。
ネットワークは仕上げる前提
セキュリティとネットワークは相当知識が重なっている。セキュリティをやっていくと,ネットワークにも手は必然的に出てくる。よって,ネットワークも完璧に仕上げる前提で考える。
セキュリティの中でネットワークはそれなりに仕上げてるので(特に上のレイヤー),時間をかけずに仕上げられるはずである。
セキュリティを1分野目にした理由
理論的にはセキュリティの基礎はネットワークなのでネットワークが先が普通である。しかし,ここではあえてセキュリティを先行にした。
まずセキュリティ,ネットワーク共通として
- 積み重ねればいつかできるようになる
というのがある。なので長期にやる1分野目としてはどちらも適切。ただセキュリティは
- 午前の出題比率が高い・午後では必答
- ネットワークよりセキュリティの方がパターンが限られているように見える
ので,動機付けがしやすい。また,ネットワークと比べたときの挫折リスクとしては,
- 日常からイメージがしやすいので挫折リスクが少ない
- ネットワークはセキュリティと違って最初の積み上げからわかったまでの間が長いので最初やると挫折しやすい
となっていることも考慮した。セキュリティをやる中でネットワークに触れたりその必然性を感じてからネットワークをやっていく方が,ネットワークに対して挫折をしにくいという関係もあると思った。
こういうやり方をするとき,瀬戸先生の本はセキュリティだけでなくネットワークからしっかりやろうと書きつつも,親切なのでちゃんとネットワークの章を厚めに作ってくれてることも,セキュリティ先で良いかな,と思った理由の一つでもある。
残りの分野をどうするか?
マネジメントの勉強の限界生産性
マネジメントの特徴は,ゼロにはなりにくいものの,点数をあげる確固たる方法もない。(専門の講師でない人が)マネジメント派は過去問を少しやればなんとかなるというが,安定・再現性という観点からはいかがなものかと思う。
三好先生ぐらい,マネジメントを取るならこういう勉強をして行くと良い,と具体的に方法を提示してくれてるなら,マネジメントも勉強できる分野と見ても良い。ただ,それを読んでいても,行ける人といけない人がいますよという感じにしか見えなく(三好先生の論調もそんな感じ),ネットで楽勝と言われてるほど甘いことは書いてない。
したがって,(一部の特殊能力の持ち主以外)マネジメントは勉強でなんとかならないと割り切る。取るなら超軽い勉強で目標を4割~5割に取ることにする。
セキュリティとネットワークを鉄壁にしよう,ということを書き始めた前提には,こういった残りの分野(データベースを除く)の勉強に対する限界生産性ということについての認識が強くある,ということもある。
間接的な波及効果も期待する
ネットワークやセキュリティの中で身に付けた問題との対話というメタなスキルも活用できないでもない。アルゴリズム・組み込み・DBは毛色が違うが,それ以外は何か通じるものもある。そういう分野を選んで,勉強の成果が転移されることを祈る。
得点戦術例
セキュリティ完璧+NWまあ完璧+浮かせた試験時間とメタスキルで国語系で滑り込むというシナリオが一例としては考えられる。
これは,応用情報のために高度を勉強していく場合の得点戦術とは少し違う考え方である。よくある考え方は,高度をやることで20/20に近い高得点を取る事であるが,それとは違う。要は,
- セキュリティとネットワークはどんな問題が来ても培った実力で短時間・省エネで12~14を確保する。どんな角度から問題が来ても基礎は絶対に落とさない。そこで残した時間と余裕を国語問題にしっかり投入する。
- 残りの国語はSC・NWで得たメタスキルによって大コケを避ける。
ということである。
14点戦術の良いところ
セキュリティ(プラスネットワーク)について,どんな問題がきても14点戦術の良いところは,
- 多少のミスは良いやで無駄な時間をかけずに問題が解ける
- 細かい記述を詰め切るのに時間と神経をかけなくても良い
20点分の問題全部にそれらしいことが書ける力があれば,6点引かれても14点残る。
身に付けた力は完全正答することに振り向けるのではない(注 : 勉強のときは完全正答できるように仕上げる)。本番で少々のミスは許容して,短時間・省エネで,他の問題を解く余裕を生み出すことに使うと考えるのである。そうすると,勉強や本番で変なプレッシャーもかからずのびのびできる。
国語問題も,大量の時間と全神経を投入して10点~12点を取ってください,ならプレッシャーもそんなにかからない。
システムアーキテクチャが解けると手堅いのだが・・・
なお,万人向けとは言い難いが,セキュリティ・ネットワークをやっておくと,算数(一部数Aの確率)が苦手でないことを前提にすると,システムアーキテクチャが高得点の取れる問題がくる可能性が高くなる。そうなると,国語をシステムアーキテクチャに1題差し替えることができるので,かなり受かりやすい。
これも20点でなくて良い。12点取れば良いという気持ちでいけば良い。全部埋めて,1問ぐらい計算ミス,1問ぐらいうっかりしても良いや的な心境。
NW・SCで確実に28/40で,残り3題全部国語で32/60を確実に,は問題によっては少し怖い。
しかし,NW・SC・SAの3分野で12+14+14のような貯金4点を目指して,国語系問題2つを20/40なら,かなり難易度の下がるシナリオになる。国語系問題で20/40はかなりプレッシャーが緩和される。
国語以外があと一分野欲しい・・・
3分野の国語を勉強そこそこ作戦で行くのはかなり怖さもある。勉強時間に上限があるなら,これで行かざるを得ない。しかし,勉強時間が積み増せるなら,あと一分野手堅い分野が欲しい。できれば問題くじ引きは2題までにしておきたい。
ここから先は,NW・SCと違ってかなり人依存の問題になるので一般論が難しい。
その中でも,比較的人を選ばないのはデータベースではあると思う(12点を安定して取るぐらいなら。)。ただし湯水のごとくの時間投入は前提。
なお,人によってはアルゴリズム・組み込みを取る前提にして,NW・SCで稼いだ時間と少しの点数貯金は生す手もある。この2題は,時間を投入して10点~12点を取ってくださいにすると,かなり気楽な問題になる。
この問題はまた別途考える。
14点を取ろうとして14点を取る戦術とは違うことは再確認しておく
再確認しておくが,ここでの14点戦術は,14点の実力をつけて貯金4点を狙うのではない。実質的にはセキュリティとネットワークの2分野について
- 全ての問題の解法の要点は見える実力を身に付けて
- 20点分の問題に対して全て解答に近いことは埋められる。(採点が甘いとか簡単な回なら16点は取れる)
- 細かいとこで引かれたり1つ2つ穴埋め単語を忘れたりうっかりしても楽勝ですよ
とやる14点戦術である。14点を狙っての14点戦術とは根本が違うことは再度注意しておく。
時間をかける応用情報のセキュリティ対策(4)わかるとは何かわかっていないと何も積み重ならない
支援士のテキストで仕上げるとして,1つにそんなに時間をかけてられるかという意見もあることかと思う。
高度試験について,1個目の高度を合格したら,2個目3個目はすんなり合格したという話は良くある話で(特にNWとセキュリティはそういう関係),それをここでも適用すれば?証明終わり,になるのだが,もう少し細かい視点から見ていきたい。
確信を持って解ける状態を理解する
この試験の午後試験を始めて受けるときの難しさは,
- 仕上がってちゃんと解けているという状態はどういう状態なのか。
- その状態にどうやって持っていけば良いのか。
がわからないことである。
ばらばらに関連のない分野も並行でやってると,ちゃんと解けているというレベルの理解がいつまでたってもつかめない。よって,まずは1分野徹底的にやることで,仕上がるとはどういうこととか,そこまで勉強するには何をすれば良いのかを理解するのもありだと思うのである。
午後問題を解けるために必要なもの
問題を解けるようにするためには,
- 知識(教科書から)
- その分野固有のなんとなくの考え方・常識・名前のつかない知識(過去問から)
- そもそも午後問題はどう解くものなのか?(過去問から)
- 1~3を身に付けていくための自分なりの方法論の確立
が必要だと思う。3.4.は似た分野では共通な部分があるので,他分野でも生かせる。
そして,漠然とばらばらやってるとどの分野もこの状態にいかなくなるので,まずは1分野(とそのために必要な基礎・関連した分野も)をまずは徹底的にやろうということである。
1つ上を7/10にすることで目的のレベルを10/10を実現する
完璧な仕上げをするためにレベルの1つ上のツールを使うということの意味は,例えるなら鶴亀算で頑張るより方程式をやった方が楽じゃないですか?ということである。
応用情報の本だと鶴亀算で頑張ってる感になる。これに対して,瀬戸先生の支援士の本だと方程式感になるし,だからといってそこまで負担感は多くないといった感じ。この主張の成立を,これまでの分析記事で書いたつもり。
真面目な書き方をするなら,応用情報の本で完璧に仕上げられれば良いのだが,それをいくら完璧に仕上げてもわかった感を得るとか午後が対応できるまで行きにくいですよねと。よって,そのレベルに適した支援士用のツールが流用できるのでそれを使いましょうと言ってるのである
その他
直前の暗記容量を空けられる
セキュリティをこのレベル(長期記憶・認知負荷ほぼゼロで問題が解ける)で1回仕上げれば,試験前にセキュリティに時間をかけなくて良い。午前問題の10/80・午後問題の1/5(セキュリティ)は直前勉強ほぼゼロでいけるのである。
このメリットは相当大きいと思う。
わかる勉強は続きやすい
しっかりとセキュリティを勉強すると,セキュリティについて勉強するのはある時点からは苦しくない時間になるはずである。また,基礎知識がある状態になると自然と生活の中でセキュリティ知識も自然と吸収できるようになるので,そういう意味でも蓄積が増えていく。
勉強の総時間でなく苦しい勉強を減らすという発想
勉強時間そのものをどう減らすかも大事だが,苦痛の時間を減らすことも同じくらい大切である。そもそも苦痛だからやりたくない,だとトータルの勉強時間が減ってしまうので率が悪い。
勉強を苦痛なく続けられる状況を作れば長期では確実に受かる
セキュリティとネットワークは積み重ねていけば,どこかの回で30/40ぐらいを取れるぐらいは行ける。(確率1で・40/40とはさすがに言えない。)
そうすれば残りは30/60なので,まあ何やっても受かる。。。ネットワークとセキュリティの2分野がそれなりに仕上げれば,少なくとも他のマネジメント系を解くメタスキルもかなり高まってるはずだし。
すぐ受かるパターンに持ちこめるかはともかく,いつかは受かるパターンには持ち込める。
心理的なよさ
1分野を完璧に仕上げにかかると,心理的にも良い影響がある。
- 時間が足らないから仕上がらないなどの言い訳が自分にできなくなる。
- 1分野仕上がることで自信ができて他もやればできるという気持ちになれる
- 本番での心理的余裕。時間や体力を節約して解ける。また,解けないレベルの問題がきても,ここまで知ってて解けないものは全員解けない,とすぐに見切きる判断もできる。
残りをどうするか?
セキュリティだけだと,取れる点数の絶対量が足らないことも事実である。残りをどうするかの問題はやはり残っている。それについて簡単に次回考えてみる。
(付録)
長時間投資なら失敗度を下げる戦略にしたい
同時並行で全部の分野をふわっとやれば,良い問題を引けば短時間で受かる。1回はそういうので受けに行っても良いと思う。でも2回目以降はそういうやり方だと積み重ならない。一連の記事に「時間をかける」と付けたのは,そういう読者(とか真面目な人)を対象としている。
1個を高度に近いとこまで仕上げる戦術は,所要時間の期待値という観点で言うと損かもしれない。しかし,確率でいうと確実な戦術になる。そういう考え方である。
期待値派を否定はしない。そういうのが必要なこともある。ただ,真面目派が期待値派の方法で行こうとするのは危険だと思うし,世の中の大量の期待値派の書き物に一石を投じる意味で真面目派を書いてる。
何時間勉強をしても,積み重なってなければゼロである。そのリスクはけっこう怖いと思うんですけどね・・・特に長時間勉強投資して根性で受かろう派は,ここの検討をしっかりした方が良いと思う。
(なお,自分は期待値派よりさらにひどいことをやって受かった。よって,期待値派の気持ちは良くわかる。)
改善や撤退判断もしやすくなる
1分野に対して(通常過剰とも)思える努力をしてもだめでした,なら努力以外に原因を求めることもできる。よって,生産的な改善をしていくこともできる。努力と実力が足りませんでした,は次につながらない。
そうして,必答のセキュリティ1分野を徹底的にやって,それでもうまく仕上がらなくて色々改善していって,それでだめなら,この試験に向いてないと割り切れるのではないだろうか。別に満点が取れないから向いてないとかそういう意味でもない。問題が理解できるようになってる感があるかかな。。。
積み重ねるやり方を間違えずにセキュリティ(と関連するネットワーク)に時間を大量に投入して,コンスタントにセキュリティで8/20(基本的な選択問題)を落とすとなると,撤退を考えても良いと思う。12~14/20(基本的な選択問題を全部取り+残りの少し難しい問題3問ぐらいのうち1問完答・1問部分点・1問ミスOK)ぐらいにならないとなると,それでもそこそこ厳しいかと。社会人経験のある場合は特に(社会人は常識問題がイメージできないということがないので。)。
なお,システムアーキテクチャ・データベース・アルゴリズム・組み込み・システム開発(の一部のパターン)数学系・論理系・開発系で取れる人は別。そもそもそういう人は,こういう記事を読まなくたってそこで荒稼ぎして受かるので,最初からこういう記事の読者の対象ではない。
このうち,システムアーキテクチャ・アルゴリズム・組み込み・システム開発は勉強というよりも自然にできるかどうかに近いので,手は打てない。
ただし,データベースだけは努力の可能性がある。これは相当の努力量をかけたら向いてる人は高得点が取れるので。(表面的な)数学向いてるかとか,これに向いてるかは相関はあまりないと思う。やったら向いてるは意外とある(これが正確に判断できるまで努力をやめなければ。データベースは最初のわかったまでがつらい。)。パターンも限られてて,あいまい人間系国語力もないし。高度系のツールを使うという努力方法も存在するので,残された手はそこぐらいかな。。。
時間をかける応用情報のセキュリティ対策(3)支援士の参考書はページ数かあるので逆にわかりやすい
前回は,インプレスの瀬戸先生の本をわかってると応用情報の午後の答えがほぼそのまま書ける部分がそれなりにあると書いた。
ただし,支援士の本は応用情報の本と比べると大変なのではないかという疑問も当然出てくる。しかし,それは違うと言いたい。瀬戸先生の支援士の本は一言でいうと,応用情報で紙の関係では書けなかった基礎的な説明を省略せずに書いているという本なのである。(もちろんレベル4固有の記述もあるが)
ここでは,この本の以下の特徴をみることで,応用情報にも使いやすいということも見ていく。
- 午前問題数が適度な数配置されている
- 見出しという形で情報が整理されている
- 行間を読まなくても良い
- 基本的な理解を助ける図が多数配置されている
特徴は重なりあっているものもあるが,まあまあということで。
本の特徴
1. 午前問題数が適度な数配置されてる
情報セキュリティ対策のセクションについて考える。応用情報の本でセキュリティ攻撃は10個あって,
- バッファオーバーフロー
- SQLインジェクション
- グロスサイトスクリプティング
- クロスサイトリクエストフォージェリー
- DNSキャッシュポイズニング
- DoS
- フィッシング
- 標的型攻撃
- パスワードクラック
とあり(しかも,その説明がなんと全部で3ページでされてる。),
その直下の問題はSQLインジェクションの以下の1題である。
(平成22年春 応用情報技術者試験 午前 問43。IPAサイトのPDFより画像切り取り。)
この1題しかないとなると,問題文も解説も読み流してはだめになる。よって,演習するときに気合が必要になる。演習とは別に本文暗記をしなければという気合も必要そう。
これに対して支援士のテキストでは,この10個のうち説明直下に6個は演習がついている。
- SQLインジェクション(対策)
- クロスサイトスクリプティング(対策)
- DNSキャッシュポイズニング(起こった結果引き起こされること)
- DoS(Smurfを選択)
- 標的型攻撃(水飲み場攻撃)
- パスワードクラック(ブルートフォースの説明を選択)
これだけちゃんとついていれば,1個1個を読み流しで繰り返しでもそれなりに頭に残る。
問題数を増やすだけなら,ドットコムでも良いではないか?と思う人もいるかもしれない。
- きれいに全範囲を1回ずつみたいになるとは限らない
- 脈絡のある順番出てこないので覚えにくい
ので少し効率が悪い。
問題がレベル4の問題であることを割り引いても,このメリットが勝つ。あと,4といってもセキュリティの4はそんなに4っぽくないし,応用情報への下位流用も考えられるのだからやっておいて損はないのではと思う。
あとは,説明直下に配置されている問題は,基本レベルのものが選ばれてる感じもするので,応用情報受験者でも普通に使えるかと。
2. 見出しという形で情報が整理されている
以下は,同著者の応用情報のテキストのパスワードクラックの説明である。
(応用情報教科書・インプレス 平成26年度版p297より。平成26年なので,応用情報ではパスワードリストは入っていない。)
6行で書かれてるブルートフォース・辞書攻撃・パスワードリスト(H26なので実際は書かれていないが)の3つを確実に覚えきらないといけない。かなり気合をいれて読む必要がある。そして,午後記述もこれで解かなければならない。この記述だけで解けとか無理では?と思う。
一方,支援士のテキストだとこうである。
(情報処理安全確保支援士教科書 2019年度版・インプレス p434より)
1攻撃・1見出しである。行をふんだんに使ってる。これだったら目を上から下に動かしていくだけで読んだり覚えたりできる。そして,説明のレベルがものすごく上がっているかというと,そうでもない。
3. 行間を読まなくても良い
先の例で続ける。応用情報のパスワードクラックは6行だけあって,対策は過去問とかで学んだり自分の頭で考えなければならない。
しかし,支援士の本だと対策の説明が独立して1セクション取られていて,かつ,午後の解答で部分引用できるレベルで書かれている(これは前の記事で書いた通り)。
短いのが良いと言ってる人は,薄い数学の本が良いと言ってるようにしか聞こえない。自分で行間埋めるのは,かなりエネルギー使うような。。。。
4. 基本的な理解を助ける図が多数配置されている
同著者の本は理解を助けたり頭に入れやすくするための図(イラスト)が多数掲載されている。もちろん,応用情報の本にもSQLインジェクションなどは図が載っている。しかし,ページ数の関係で載せられる図の制約が強いため,十分に図がついているとは言い難い。
一方,支援士のテキストだと図(イラスト)が載せ放題である。ぜいたくにイラストが使われている。
イラストは,ほとんどがレベル3の理解のためのレベルのものである。読み流す勉強をするときは,字読むよりイラストの方が楽かつ記憶に残ると思うがどうだろうか。。。
雑多なよさ集
自分の思う主観的よさを体系化せずばらばらと。
実は読む分量は少ない
左右を傍注用にかなりの幅を取っている。また,演習問題もかなりの量がある。覚えようなどもある。細かく節を切って見出しも細かくいれてて,それらの間の行間も相当取られてる。簡単な図も多い。ということで,実は厚みほど分量はない。
本の厚みを知識の詰め込みに使うのではなく,読みやすさ・眺めやすさ・使いやすさ・わかりやすさに使ってる感じ。
左右の広い傍注余白は書き込みに便利
左右傍注は相当に広い。この余白に書き込みを入れることで,ノートのようにも使える。
この特徴の生かし方の一例としては,過去問と突き合わせる演習をしたときに,突き合わせて箇所にH..・・でこういう角度で出たという概要の書き込みを入れておくという使い方(広いので3行概要ぐらいまでは余裕で書ける),それが集中したとこを見直せば,頻出項目のピックアップが自然とできる。
NWの説明が手厚い
瀬戸先生は,ネットワークのないセキュリティ対策というものは絶対にありえない派なので,ネットワークについての記述は当然厚い。
ブログで自分かツボにはまってる言葉として以下がある。
「セキュリティの勉強に,OSIの7階層は関係ない。。。わけがありません。」
(これもソースリンク張るべきだが,検索をそれで操作してる感がいやなのでパス。)
これは,過去問分析記事で紹介した「SQLインジェクション」「バインド機構」の問答と同じ記事にある話。
そんなに1分野に時間をかけるのは時間効率がという反論
この方法でセキュリティは攻略できたとして,次に支援士受けないのなら時間かかりすぎでやってられないという意見があるかと思う。次回はそれについて思うことを書いていく。
付録1・テキストと問題のレベル感(主観)
テキストや試験問題のレベル感を例えると,
- 既存の応用情報の教科書は単語集 + 単語穴埋め一問一答。
- 瀬戸先生の本は教科書 + 教科書典型の例題集。応用情報の問題はそのレベル。
- 支援士の問題は,応用情報レベルがあることと,その場で書かれた新しいことを組み合わせて活用していけるかという問題。入試問題レベル。
といった感じ。単語集10/10で仕上げるより,教科書典型の例題集を7/10で仕上げてるうちに単語帳の完成度上げる方が楽ですよね・・・
付録2・瀬戸本は支援士対策のスタートライン(主観)
応用情報と支援士のレベル感の違い
応用情報と支援士の問題の違いは,
- 基礎知識の精度の高さが要求される(穴埋めの用語のワードのレベルがあがるとか,応用情報で文章選択になってるとこも普通に記述とか。)
- 状況がさらに複雑になる
- 基礎知識で読み取れる新しいことの説明を書いてそれを読めますか?問題が入る。
- 高度な知識は若干入る。
といった感じ。
知識の物量攻めで支援士に受かろうという本ではない
この本は,支援士の試験勉強で知識を足そうとしたりとか,支援士の試験から帰ってきて解けなかった問題の解答を調べるのに使おうとしたら,本文に何も書いてない!ってなる感じの本。この本に書いてることは頭にあって,そこから先を調べたくて本を開いたのに,となる感じ。
もっとも,そのレベルの知識(下手したらその1/3~1/2ぐらいの知識)で一回は合格点を取っているし,今回も解答用紙をそこそこ埋めて帰ってきているので悪いわけではない。このテキストをきっちり理解して,その後でしっかり過去問から知識・技法を吸収しておけば合格ライン前後までは行くと思う。少なくとも,受験者平均の知識は絶対に身に付いてるはず(というかそうであって欲しい)。
今回の試験で私が落ちてるとしたら,その原因は睡眠不足・午前1から試験を受けることによる体力の消耗・午後の過去問演習不足(応用情報を含めて・特にちゃんとアウトプットを詰める練習)であって,知識不足は主要因ではない。
瀬戸本がわかれば過去問演習はできる
瀬戸先生のテキストがわかれば,少なくとも過去問の問題文の意味と解説がわかるレベルにはなる。すなわち,過去問演習の準備としては十分な本である。この本の次の段階は何かのテキストでなく,直近3セットの過去問の徹底的な習熟である。
午後重点・上原本に挫折した状態でセキュリティスペシャリストに受かった
どちらかというと自分は暗記でなくその場力で勝負するタイプなので,知識・勉強派の人はこれでは不安かもしれない。そういう人は,三好先生とか上原先生の本で知識を増やすということになる(それが十分になる保証もないが)。
仮に知識量の多い本で知識を増やすとしても,三好先生や上原先生の本は瀬戸先生の本の基礎ができた次の段階の本だと思う。自分がセキュリティスペシャリストに受かったときは,三好先生や上原先生の本は(基礎がないので)量が多すぎたり難しく感じたりして読み切れなかった。(気合を入れないと)あまりにテキストが読めないので,やってられるかと開き直って午後無勉(演習ゼロ)で試験に行ったという側面もある。
支援士受験組は応用情報段階で瀬戸本を使いたい
こういう自分の経験や応用情報の問題分析も踏まえて,この本は応用情報の段階から仕上げ始めておくことをお勧めしたいのである。自分が最初に応用情報やセキュリティスペシャリストの試験を受けるときにこの本は欲しかった。(というかそういう本がちょうど無かったから瀬戸先生が書いたのだと思うが)
時間をかける応用情報のセキュリティ対策(2)支援士の本(瀬戸本)で午後問題を解いてみると
前回の続き。
今回は問題のうち,支援士の教科書を見たら午後の答えがほぼ書けた,ということを取りあげる。支援士の教科書は
が主なものとしてあるが,ここではインプレスの瀬戸先生の本を使う。
なお,以下の引用画像下につける書名は「情報処理安全支援士教科書2019年版」で統一(著者名・出版社名はつけない)する。
なお,私の手元にある2019年度版を使う。予測力の検証という意味でも少し古めの方が良いかと思う。
瀬戸先生の本を使う理由としては,3冊の中で,これ支援士というか応用情報レベルにかなり近くない?と感じたから。
応用情報の本だと紙の関係でカットされそうで,しかし,これ答えそのまま教科書に書いてる,と思ったとこをピックアップしていく。
応用情報の本がどのレベルで書かれてるかの検証は詳細にはしていない(いちおう同著者の少し古い年度のものは少し確認してる。)。もしかしたら書かれてたらすいませんって感じ。ページ数的には難しいとは思うけど。
R1秋
マルウェア対策
8章がマルウェア対策になっていて,8-3のマルウェア対策,「8-3-1 入り口対策と出口対策」に「マルウェア感染後の対策」の部分(p477)に,流れが書いてある。
設問2(5) ユーザがやるべきこと
「マルウェア感染後の対策」の部分(p477)のリードの部分で
- 「セキュリティ管理者に報告」(太字)
(「情報処理安全支援士教科書2019年版」p477)
とあって,設問2(5)の正答選択肢は
- イ : 不審なメールが届いたことをP社の情報うシステム担当に連絡する
なので,相当に近い。
設問1(1) PCをネットワークから切り離した目的
「マルウェア感染後の対策」の部分(p477)に書いてあるプロセスの説明の中で,
- (ネットワークから切り離すのは)「他のPCに被害を広げないための対策」
(「情報処理安全支援士教科書2019年版」p477)
とある。公式解答は
- 社内の他の機器と通信させないため
なので,まあかなり近い。
H31 春
認証の3要素
- 設問1(a)所有物: ディジタル証明書
- 設問1(b)生体 : 虹彩
(選択問題)
関連部分は4章の情報セキュリティ基礎技術(暗号化,認証)。p235の認証の3要素のとこの生体認証の例のところ虹彩がある。(そして,手元の古いH26の同著者の応用情報には,生体の説明があるが例がついてない。)。
物理の例のディジタル証明書は知るか,と思ったが,これも本文にあった。p252の「認証デバイスでの認証方式」の中にディジタル署名が見出しとして書かれていて,その後で説明が少しついている。
なお,このトピックは支援士だと重箱の隅ではないと思う。例えば午前2の問題で,カードとか物的デバイスに埋め込める,を選択する問題とかあった気もするので。
パスワード攻撃に対する対策
パスワードに関する攻撃の対策(7章サイバー攻撃・p436)で,ブルートフォースに対しては
- 「規定回数のログインに失敗したら一定期間アカウントをロックするなどの手法が有効です」
(「情報処理安全支援士教科書2019年版」p436)
と書かれてる。かつ,パスワード設定ルール以外のサーバ側の対策はそれしか書かれていないのでえいっとやってしまえばいけるかも。
2018年の発行なので,リバースブルートフォースについては書かれていなかった。
ここは20字制限・パスワードという単語を使えという指示・リバースも絡む難しさはあるが,この知識で解答にはたどりつける。
パスワードリスト攻撃
ここは応用情報レベルなので,別にこの本でなくても。ただ,この本のパスワードリストの説明,紙の余裕を生かして,半ページを使って印象に残りやすい図(というかイラスト)が描かれている。
この図が頭にあると,解答はかなり導きやすい。(さすがにイラストなので,引用は控えておく。)
あと,説明の部分からも普通に導ける。
- 「他のサイトで取得したパスワードのリストを利用して不正ログインを行う攻撃です」
(「情報処理安全支援士教科書2019年版」p434)
公式解答が
- 「他サイトから流出したパスワードによって,不正ログインさせる」
である。この類似度は何なのか(一般論だから当然と言えば当然だが)。。。。
このテキスト,暗記派にとっての記述のための単語集・例文集として本当に使い勝手が良いな・・・意外と「他サイトから取得」(公式解答は流出)・「不正ログイン」という単語は意識してないとすっと書けなかったりする(例えば,ログインの前に「不正」をつけずに書きそうとか)。
そして,極めつけは,2つの攻撃でセットの出題を予測したのか(応用情報でだが)「覚えよう」がこれである。
(「情報処理安全支援士教科書2019年版」p436)
びびる。。。
パスワードをハッシュ値で保存する理由
- 設問3(1) パスワードをハッシュ値で保存する理由
4章より。
まず,ハッシュ関数の説明(p230)の説明で,
- 「ハッシュは,暗号化(ハッシュ化)はできても元に戻せないという性質をもっているため,メッセージを復元させたくないときに役立ちます。」
(「情報処理安全支援士教科書2019年版」p230)
とある。ここまでは,応用情報の本ではディジタル署名の文脈の中にある。
で,支援士の本の違いは,これがちゃんとパスワードに適用されることも書かれていること。
- 「盗聴されても元のメッセージが復元できないので,盗聴防止(赤・太字)に役立ちます。」とある。
(「情報処理安全支援士教科書2019年版」p231)
年度が新しいものだとあるかもしれないが,スペース的にここまで書けるかな。。。。
公式解答は
- 「ハッシュ値からパスワードの割出しは難しいから」。
自分はここはテキストの「復元」とか字数があれば「元に戻せない」という用語を選択しそう。(要は不可逆が伝わるような単語を選ぶ)
3(2)については,レインボーテーブル攻撃とかソルトは別の項に書かれているものの,テキストの記述から解答が導けるかと言われればどっちとも。
H30秋
設問1・用語選択
いずれの用語も消去法とか雰囲気でいけるのだが,知ってると確信を持って時間をかけずに選べるという効果はある。
セッション管理(用語選択)
H26のインプレスの応用情報には,セッションハイジャックは2行だけ申し訳なさそうに書かれてる。応用情報だとセッションを押さえておくページ数まではない。一方,支援士の本だとセッションは押さえておかないとまずいので,セッションは何度も目に飛び込んでくるため,自然と覚えますよね。
UDPスキャン(用語選択)
ポートスキャンが応用情報の本にないのも意外(H26のインプレスの応用情報には)。
もちろん,ここはTCPと同じレイヤは選択肢にUDPしかないとか,インターネットからARPコマンドを実行するとかちょっとありえないし,とかで選べたりもするけど。ただ,この知識というか意識も,良く出てくるのはNWとかSCのような気がしないでも。
感想
一言でいうと応用情報午後のカンペ本としか言いようがない
とにもかくにも,あまりにも答えがそのままテキストに書いてありすぎるのにびびる。カンペレベルといっても過言ではない・・・書いてることはまあ常識なんだけど,応用情報午後記述解答にかなり近い形で書かれてるというか・・・
ここで取り出したことは,大量の説明の中から解答に使えるわずかな部分も取り出したわけでもない。単語の羅列から理解力を駆使して切り出したわけでもない。流れのあるコンパクトな説明から取り出してる。そんな感じで,率の良さにも驚いた。
基礎の積み重ねの重視によって応用情報に最適な本ができた
取り上げた瀬戸先生の本の大部分は,支援士の本にあるにも関わらずレベル4固有の難しいことはあまり書かれていない。著者の応用情報本と比べてもわかるが,導入部分は共通の説明がそれなりにある。
では何が違うかというと,レベル3だと紙幅の制約で単語の羅列になりがちだったことに対して,きちんと説明をつけた,といったイメージ。それゆえに,応用情報午後問題の解答とレベル感が一致してるのだと思う。
このあたりは著者のポリシーとも整合的で,著者は「SQLインジェクションの対策は?」と聞かれて「バインド機構」と単語単語で覚えていく受験者を苦々しく思っていると昔にブログに書いている。こういう一問一答単語暗記をどれほど積み重ねても,午後は全く解けないので無意味ですよね,と(これは前回の記事でも検証した)。
そして,そういう著者がどういう本を出してきたかいというと,
- 5行説明を全範囲穴のないようにしていく
- 細かく演習問題を積みかねていくことでそれを実現する
(注 : 5行という意味は,単語の羅列でもないが初心者に読み切れない詳細説明ではない,の比喩。)
という本を出してきた(注 : この本はわりと後発組)。
説明も出るとこだけを飛ばして説明するのでなく,基本から積み重ねて説明している(これも著者のポリシー)。そして,そのような説明をしているにも関わらず,読み切れるように分量の抑制も聞いている。結果として,基本情報~応用情報のレベルの部分の丁寧な説明が続いた本になっている。それゆえに,応用情報対策に最適の本に仕上がってる。
一般常識と切り捨てられることを教科書として書きおこしてる
この本をおすすめする別の理由としては,いわゆるできる人とか経験者が「生きてるうちに常識として頭に入ってくる」「過去問やってればなんとなく身につくでしょう」ということのいくつかを,ちゃんと文章として書いてることにある。
ここで取り上げた,マルウェア感染後の対策やパスワードに関する攻撃への対策などは,そんなの人によっては勉強じゃなくて常識では?になる。しかし,そういう常識を全範囲を網羅しつつ成文化したということそのものが業績なのである。
こういう(ほど良い)常識が成文化された書籍がないと,勉強しても解けない人がいつまでたっても解けるようにならない。こういう本がないと,いわゆる常識力とか過去問からの吸収力(抽象化力)の弱い人はいつまでも常識が身に付かない。
その意味で,この本は「その場力は弱い自覚はあるが勉強で通りたい人」には特にお勧めできる本だと思う。
例文集としての使い方
常識で身に付くだろう派もこの本は使える。応用情報午後解答は字数制限がきついので,それに合わせたお堅い言葉を出すのに時間を食うことがある。しかし,この本の言葉選びをぱらぱらとみておくと,時間が少し節約できると思う。
色々本はあるのだが,(応用情報)記述解答に転用できる解答粒度の説明という観点で,この本は良いと思う。短すぎず・詳しすぎずの程良いラインを行ってる(あくまで応用情報用として。支援士だと,この本に書かれていることが身体化されていることが前提で,もう一段階のものを求められる感じ。)。
ポケスタ系とか公式解答文言斜め読みとの違いは,ちゃんと順序だてて書いてあるとか,図をふんだんにいれてるとか,体系性とかを意識して書かれてるとかで,アドホックな暗記にならないようにされてること。
また,著者の方はIPA公式が出していること以外は信用しない,の超公式重視派の人なので,言葉もIPA寄りにちゃんとなっていると思われるし,信頼性もそれなりにあると思う。
応用情報でこれをやるのは非効率では?という意見はありえる
瀬戸先生の本を頭に入れておけば大丈夫というのは,以上の分析で得られた。
では,それが良いとしても,それはレベルにあってないとか,量が多すぎてこなすのに気合が必要すぎて挫折リスクが高いのではないか?というのが次に考えられる懸念である。その懸念の解消について,次回以降でいくつかの角度から考えて行く。
時間をかける応用情報のセキュリティ対策(1)問題分析
どうせ支援士を落ちてるだろうということで,午後対策を始めることにした。まずは応用情報の午後を確実に解けるレベルにすることから手をつけていく。
コスパの良い方法でなく確実に通る方法が欲しい
この時期,どうやったら次は確実に通るのか?という質問をみる。しかし,その答えはあまり書かれていない。世には,最小コストで確率的に通す方法の情報はあふれている。しかし,時間をかけて確実に通す方法はあまり書かれていない。
この問題について,三好先生は,出版業界の構造的に応用の参考書は範囲を網羅できるわけないので,高度の対策ツールを使えば良い,と言った上で,かなり具体的な方法論を書いている。 (注 : 三好先生の記事はあえてリンクしない。それで検索順位あげようとしてると思われるのが嫌なので。検索すれば普通に出てくる。)
自分の経験でこの主張には同意する。自分は,応用情報の教科書を読んでも,単語がぎっしりと羅列されてて,「既にこんなことは知ってる」か「何書いてるかさっぱりわからない」の両極端になってなって全くインプットが全く進まなかった。そして,高度(NW)をやることで応用午後がやっと少しわかるようになった,という経験があるので。
しかし,経験で主張は正しいとやるのはううんと思う。よって,どんな要素が効くことでこの主張が裏付けられるのだろうか?を少し考えてみることにした。
以下の分析は素人の分析であることに注意
以下,何回かにわけてこの問の周辺について考えたことを書いてみる。なお,自分は完全初見で完璧な正答を導き出せるレベルではないことは断っておく。正しい分析は各種専門家のものを参照すること。
また,三好先生・瀬戸先生・左門先生の3先生の考え方は相当読み込んでいて,かつ,影響を受けているため,これから書いていく見解は無から独自で作ったことでないということも明記しておく。
スタンスとしては,自分で分析をするための一視点を提供します,といった感じ。
教科書+過去問で無常識・基礎学力の低い人が対応できるのか?
真面目に対策する場合,何かの教科書1冊+午前問+午後問を数セット,という組み合わせになるのが普通だと思う。しかし,それをやって何回も落ちた人はときどきみかける。
こういうとき,単純な知識不足を改善しようとする人が多い(基礎学力は変えられない変数とみなして)。しかし,それは適切なのだろうか?これは,ある意味で適切である意味で不適切であると思う。ここでは不適切の部分について考える。
教科書の勉強不足による知識不足のせいで解けなかった,を分析するには,応用情報の教科書を持ち込み可で問題を解いたとして問題を解けるかどうかを見れば良い。ここでは,これを実行するための基礎分析を行う。
分析対象は2セット(R1秋・H31春)分。分析は,まずそれぞれの問題について,(いかにも応用情報の本にありそうな)単純知識(単語・午前レベル)とそれ以外の問題に分類をする。その上で,それに対して主観的なコメントを加える。また,応用情報ではない知識で解けそうでは?と思うことについてもコメントも加える。
R1秋の分析
問題概略
問題のタイトルは「標的型サイバー攻撃」。マルウェア対応の初動で利用者がするべきこと・FW・SPF・プロキシサーバなど。全般的にマルウェアがどう動くのかとかネットワークでデータがどう動くのか?の雰囲気を知ってるかの問題。
単純知識で行ける問題
- 設問2 (1) SPF(4択でSPFという単語そのものの選択)
- 設問2 (2) (c) 送信ドメイン認証によって得られる効果(20字記述)
- 設問2 (3) 水飲み場攻撃でどこにマルウェアを仕掛けるか?(4択)
2(2)は送信ドメイン認証という単語のフィーリングや前後の文脈から推論でも行ける。2(3)は水飲み場攻撃の仕組みの説明は本文にあるので,推論でも普通に解ける。
経験知
常識との境界
- 設問1 (1) マルウェアに感染したPCをネットワークから切り離す理由(記述)
- 設問2 (5) 不審なメールに気付いたら余計なことをせずにすぐに通報(4択)
常識と言えば常識である。常識すぎて教科書に明示されてるか微妙である。そして,この手の問題は「・・字以内に書け」と言われると手が止まることもしばしば。
演習による図の読み慣れ
- 設問1 (3) ログが記録されている場所を選ぶ
演習慣れ or 経験
FWの知識とセンスで純粋に導ける。しかし,支援士午後1ぐらいでそれなりのセット数の演習経験を積んでいれば,これ自体がよくある着眼点だな,になると思う。応用情報の過去問でも何回かはある感じがするが,定着までいける回数かは検証していない。
支援士(とかNW)を何セットかやってると,間接的にもこの問題はやりやすいと思う。支援士だと,FWのルールを読み書きする問題はほぼ毎回で,それなりの量を解く。そうすると,普通のFWの設定で書くことは
となっていることは,嫌でも頭に入る。そうなると,この問題では送信元・送信先のIPアドレスは関係なさそうので,プロトコル(ポート番号)にまずは着目する,ということになる。
この話は,応用情報の教科書からも理論的には読み取れる。ただ,普通に読み取って暗記できるか?と言われると・・となると思う。
読み取り
- 設問2(4) 色々対策しても,それより細かく本物の通信っぽくふるまわれたらアウトということを選ぶ(4択)
ここは消去法がオーソドックスか。ただ,知識と経験があると問題文の読み取りの解像度が上がって,それで解きやすくなるということはありそう。
まず表2のプロキシサーバの機能説明の中で「利用者IDとパスワードによる利用者認証」のを見た時点で,何かしら設問を解答するための根拠になりそう,ということが頭に浮かぶ。
また,プロキシサーバのとこさえまるっと通せれば,書かれてる対策(特にFW)は細かいデータのふるまいや中身まで監視してこなさそう,ということも知識があれば本文を眺めてるだけでイメージできそう。(FWとか4階層のイメージが必要な知識か。)
そんなこんなで,消去法でない形で正答に行ける。
さらに情報を読むと,設問の方法で突破されたとしても別のとこでログを監視します,って書いてるので,じゃ,それっぽくふるまわれたら終わりってことを認めてるのかとも読める。他の対策だと,ログ取得とのつながりも悪いと読むこともできる。
もっとも,他の対策がだめなのを丁寧に消去しても(これはそんなに知識はいらない)いける。よって,普通の読み取り問題とも言える。
あと,知識を援用できそうな午後の過去問の問もみつけた。ただ,それはまあわかってる人がその問を経験すると,この問と同一に見えるという感じだとは思うが。
H31春
問題概略
問題のタイトルは「ECサイトの利用者認証」。認証の3要素・パスワードクラック・ソルトがテーマになってる。
単純知識で解ける問題
- 設問1 (1) a, b : 認証の方法の候補の選択肢から物的と生体のものをそれぞれ1つ選ぶ
- 設問2 (1) c, d : 攻撃名(ブルートフォース・パスワードリスト)の穴埋め。
設問1(1)は認証の3要素の説明自体は本文にあるので,それに即して選ぶ問題。
ただし,選択肢が少し細かい気がする。
知識と推論・どっちでも行ける
- 設問1 (2) 不特定多数で物的・生体認証ができないと考えられる理由(4択)
- 設問3 (1) パスワードをハッシュ化する理由(記述)
- 設問3 (2) ユーザ固有ごとの固有の情報を加えてハッシュ化することによって得られる効果(4択)
- 設問4 パスワードの使いまわしによってM社ECサイトで発生するリスク(記述)
設問1(2)は物的・生体認証を日常的に経験するか問題を多く解いていれば,アとエは明らかに消せる。イも頑張れば消せる。もちろん,知識があれば正答がまず正答に見えて消去と組み合わせることもできる。国語と常識で解ける可能性もある。
設問3(1)はハッシュ化の特性は応用情報の教科書に載ってるはず。そこから推論すれば導けるとも言えるし,この手の話をわりと知っていれば普通に知識。(2)も同じ感じで知識か推論。
設問4はパスワードリスト攻撃のメカニズム自体が本文に書かれてるので,それで答えても良いし,知識で答えても良い。ただし,書かれてることが何かをイメージできるぐらいの基礎力と「M社ECサイトで」を外さない国語力だけは必要。
雑感
教科書を読む効果としては
- 知識問題に対応する
- 推論・常識問題を解くための基礎知識を身に着ける
が考えられるが,両方微妙なような気がする。
知識問題ですら読むというアプローチの利益が少ない
知識問題の多くは,そもそも常識でいける可能性がある。午前の暗記の効果でも良いし,下手をしたら学校(高校・大学)・企業で教養レベルとして触れている可能性すらある。
例えば,私は普通に認証の3要素は高校の授業で扱っていた(教科書にわかりやすく書かれてる会社もある。)。2要素認証がまだ今ほど一般的でないとき(高度の試験にしか出ない・意識高い企業でしか使っていない)からそうしていた。しかも,応用情報の教科書より高校の教科書の方が詳しく・わかりやすく書かれていたりすることらある。
パスワードクラックについては,ブルートフォースアタックもパスワードリスト攻撃も扱っていた。それを扱わずにパスワードの作り方・管理の仕方を教えても無意味なので。
そのようなご時世では「教科書を読み込むこと」「単語帳を回すこと」の限界的効果は小さいような気がする。
常識は本で身に着けられる?
常識問題,なんとなくニュースを見てたりするうちに知ってる,という人もいる。企業の教養レベルのセキュリティ上の正しいふるまいについての研修で知ってる可能性もある。ウイルスっぽいと思ったら,とりあえず線抜いて(良くわからないないならとにかく何もせずに)しかるべきとこに連絡して,などは普通に教えられてそう。
生パスをサーバに保存しないというのは,パスワードリスト攻撃がらみのニュースで普通に聞いていてもおかしくない(自分はそう)。ソルトもその流れで普通になんとなく聞いたことがある。
そして,こういう常識は,応用情報以下の教科書に書かれていますか?と言われると微妙だったりする。そこまで書いてるスペースがないので,良く読めばわかるものもあるかな,といったとこ。
過去問からの未来予測も確認してみると良い
楽観派の最後の砦として,過去問を解いているうちに常識が身につく,という主張もある。
この主張を検討するには,1期手前までの過去問ど解説の論点+教科書から,次の期の設問が解けるかを確認してみれば良い。言われているほど肯定的な結果にはならない。
今,これも少しずつそれを手元で考えている。今の印象は,過去問の中身からエッセンスを抽象化する力が高ければまあできるかも,といった感じ。ただし,その抽象力があるならそもそも受かりそう。こっちの問題は,そもそもその抽象力をどうやって身に付けるかを考えたいので,すでに持ってる人が過去問を使うと通るでは意味がない。
そもそも,知識がない状態で過去問を使えるか人依存である。過去問は非常にわかりやい教科書という考え方もあり,それには強く同意するが,知識がない初期状態で自力で読めるかは学力・経験に依存だと思う。よって,挫折リスクが少々ある気がする。
再現性のある方法を取りたい
いろいろと考えてきたが,結局は再現性がある方法は何か?ということを考えたいという問題意識である。
次回は,単純知識と過去問蓄積の間に高度のやさしめの教科書を使うことで,まだましになるのでは?ということを考えて行く。
LinuCの201をざっと片付けた
かなり前だが,LinuCの201をざっと片付けた。レベル2全体とかの細かいことは別記事として,今回はこんな感じでざっと片付けましたの話。試験直後に書いた記事を寝かしておいたものなので,試験直後にほぼ書いたもの。
例のごとく10.0なので演習がないとこは別途勉強。
レベル2までの4つの試験の中で、今回が一番楽だった。202を先に片付けてから(嫌なことは先に片付けた)201をやった。普通は201を先で良いと思う。
重複範囲はレベル1のあずき本を使う(あずき本を使う場合)
201はレベル1とけっこう重なっている部分がある。
よって,重複範囲はまず1のあずき本を完璧にして,それで2をやると良いと思う。レベル1は受験者数が多いので,本がわかりやすく作りも金がかかっている。よって,それを使えるならそれは使い倒したいということ。
レベル2のあずき本の改訂版(11月とあったけど)でどう変わってくるかわからないけど。
あずき本とPing-tの問題は両方使う
章末と模試を使うだけでもあずき本を使う価値はある。過去問公開されていないので,複数の人の作った問題を見ておくのが安全。Ping-tとあずき本は作問の視点が違う部分があり,それぞれ参考になる。なお,あずきのみはさすがに危険。
その意味で,スピマスも買って模試だけは使った。ただし,スピマスの本文の問題は私には合わないので使っていない。
範囲が限定されてるから何かに限定して繰り返すのが効率的という説もある。ただし,これは教材の精度が良い場合に成立する話。この試験ではそれは成立しにくい。教材が微妙なのは,作りに金がかけられないとか,守秘義務の関係でわざとぼかしてるとかの関係だと思う。また,範囲が広すぎて重箱も突いてくるので,限られた量で対応してきるのは大変,というのもある。したがって,一冊・完璧ではないので,どれか完璧にしても他もぱらぱらはしておきたい感じ。
あずき本とPing-tの役割分担
自分はPing-tだけで行くのは無理。Ping-tを絨毯で覚えるとか,Ping-tの形式で問題を解いているうちに何らかの抽象化が働いて理解ができるという頭はないので。なので併用。
- あずき本 → 暗記量を減らすためのヒント集
- Ping-t → 暗記対象を網羅するための視点を得る
といった感じの使い方。
あずき本は,暗記量の圧縮に使える。名前解決系はだいたいnのオプションが用意されてるとか,略語の元が何かとかそういうのを書いてくれてる。そんな感じで暗記圧縮に使う。あとは、書き込みをいれてそこに情報集約させる感じ。
Ping-tは毎回一セクション全部を軽く回す
金とか銀とかヒットとかそういうのはばっさり無視して、繰り返し全部回した。そもそも答え合わせ機能は一切使っていない。答えはすぐ開いてパッと見るぐらいのいい加減な演習をひたすら回数回した。
なお,そのときの習熟具合で回し方は変えてる。後半は問題見て選択肢見ずにポイントを思い出すとか白紙解答書くとかする演習も入れてる。
この試験の教科書・演習問題の体系化や精度が微妙である。要は,それぞれの問題がきれいに直交して作られてて,かつ,問題全部で無駄なく全体をきれいにカバーするといった感じではない。よって,何がわかってないかを考える時間があったらさっさと回数回す方が速い。
また,問題間の難易差が激しいので,簡単な問題を取り切る保険として簡単な部分を繰り返しす意味もある。
以上を踏まえて,復習はわかってるとこも含めてひとまとまりの内容ごとに全問題を一式回すことにした。
逆に言うと,高速で全部の問題を回せるようにするために,頭の中でどういう風に整理しておけば良いかを考えるのが勉強とも言える。何回やっても高速にできないということは,そこに回せない何かがあるのである。そこを潰していく。(場合によっては捨てる)
常識問題はお勉強が難しい
レペル2は、けっこう常識問題の範囲がある。こういう常識問題は,この試験の教材で理解できないということはありえる。
そういう人は,別途対策か,他のとこで精度をあげて点を取り切るしかないのかなと思う。
自分は常識はあまり勉強しなくて済んだ側なので,この対策は何も言えない。
201の新範囲は全く出題が読めない・・・・
いちおう公式の参考資料を使うのだが,これ問題作れなくない?とか思いながら読んでた。そうしたら案の定ひどい目に合う。シラバスの字面通りだと相当高度な問題も作れるとかの悩みもある。
リテイクは1回は1週間空けるだけで受けられる(その次の1回からは1か月)ので,お金があるならえいっと受けに行って問題を収集してくるのも良いかも。まあ,あずき本も出たしPing-tもそのうち出るし,そうしたらもう少し違うんだろうけど。
新範囲について自分なりに考えたことは過去のエントリで書いたので略。
午前1対策の分野別の対策の濃淡(支援士の場合を中心に)
午前1は得意・苦手や午前2とつながるかなどで,全分野フラットにやるというのが得とは限らない。
午前1だけの合理性で言えば,
- 圧縮率(全体では80問を30問に圧縮している・それと分野別圧縮率の比較)
- 限界的に考えて点数が取れるところの見極め
- 相乗効果
- 勉強時間に対する点数の取りやすさ
あたりを適当に考えながら,どの分野から手をつけるかを考えるところだと思う。
「限界的に」どうなるかは意識しておきたい
- 不意打ち(「対策不能」な新作問題)
- そもそも素養が決定的に聞いてくるところ(基礎理論とか人によってけっこう)
- そもそもノー勉でもある程度とれるとこ
あたりを排除して,勉強が報われやすいところで行く。フラットに全部やるのはしんどいので。
分野ごとの問題数
専門家の書いた分野ごとの正しい分析は松原先生の本が素晴らしい。本の内容は高度で手がでなくても,分析ページのために手元に置いておく価値がある本。ここでは,それとは別の視点で,俯瞰的な視点から見ていく。
なお,無保証です。読者が各自で分析をされるときの参考として,枠組みを一つを示したということで。
まず,自分の分析を簡単な表にまとめたものが以下である。
問題数は,iTECの午前本有の分析の平成31年度春季の値を使った。
今回取った戦略
以上を踏まえて出した結論は以下の感じ。まずは結論の表。
支援士のAM2の問題数を入れて,APの問題数を抜いて,少し分野の順番を入れ替えてる。
以下,この表にいたる過程や根拠をだらだらと文章で書く。情報として読む人はここまで読めば十分。以下は洗練させてから公開したかったが,行き詰まったのでいったんこれで公開する。
優先順位付け
- 超最優先(ネットワーク・セキュリティ)
- 最優先(開発技術・PM・SM・監査・システム戦略)
- 普通(経営戦略・企業と法務)
- 定性問題を中心に嫌々対策(コンピュータシステムの4分野)
- 運を天に任せる(残りの分野)
支援士の場合,超最優先としたネットワーク・セキュリティは午前2の重点分野で(合わせて20題)。また,最優先としたとこは,開発技術(2題)・PM(1題)・SM(1題)のも出題がある。残りの1題のDBは割が合わないので対策からは落とす。
得点計画
- 超最優先+最優先(16→12・75%)
- 普通(5→3・60%)
- 嫌々対策(4→2・50%)
- 運を天に任せる(5→1・20%)
超最優先+最優先で75%というと低く見えるが,問題数が少ないので仕方がない。手の出ない新作問題2問・手が滑って2問というのは現実的な想定。
最優先・優先分野
効率を考える上での基本値
まず,何題抜くかの効率についての基本線として3/8 = 37.5% (3/9=1/3より少し大きい)の数値は頭に入れておく。
- ちょっと効率が良い : 5→2 (40%)
- 普通の効率 : 3→1 (33.3%)
- 効率悪い : 4→1 (25%)
も頭に入れておくと分析しやすい。
この効率の意味は,結局,午前1の対策は応用情報の午前の問題を全部回すことになる。だったら,応用情報から捨てられない問題の割合が高い分野の方が過去問演習の効率が良いだろうという考えである。
最優先分野
- ネットワーク 5→2 (40%)
- セキュリティ 10(11)→4 (40%)
(数値は出題数。左が応用午前・右が午前1。セキュリティはR1で応用情報側の出題数1題増加した。)
まずセキュリティは問題数も多いので,ここは最優先。努力も報われやすい。セキュリティとネットワークはセットでやった方が対策が良いのでネットワークも同時に。
セキュリティ(支援士)を受ける場合はそもそもここは落とせない。
優先分野
この優先のところのほとんどはフィーリングでもなんとか解けるけど,ちゃんとやっておくと安心して点になりやすい,といった感じの分野。
開発技術
- システム開発技術 3→1(支援士は午前2で1題)
- ソフトウェア開発技術 2→1(支援士は午前2で1題)
(数値は出題数。左が応用午前・右が午前1)
ここは合計で5→2(40%)という捉え方で考える。
支援士を受ける場合,ここは午前2でも1題ずつ出る。合計で2題になる。これはけっこう大きい。
あとは,ここの続きでシステム戦略の部分とも相乗効果がある。手をつける価値がある。
PM・SM・システム監査
- PM 3→2
- SM 3→2(支援士は午前2で1題)
- 監査 4→1(支援士は午前2で1題)
(数値は出題数。左が応用午前・右が午前1)
ここは,合計で10→5 (50%)という捉え方で考える。SM1題・監査が2題ということもあるし,ただその監査もバックアップについての留意点とかSMとの境界問題だよな,というのもある。この3つでマネジメント分野で,そこの割合をある程度一定にしてくる,と考えて良いと思う。
支援士を受ける場合は,SMと監査で1題ずつなので,手をつけたい分野でもある。
この3つの分野も勉強がある程度は報われる感じがする。絶対に取れと言われたら,対応する高度のAM2を流すという手段もある。力は入れやすい。
システム戦略
- システム戦略 : 3→2
- システム企画 : 2→1
(数値は出題数。左が応用午前・右が午前1)
2つ合わせて5→2 (40%)なのでまあ割が合う。
ここは3題あったら,1題ぐらいは新作っぽい時事問題は入りうるところである。しかし,3題あればさすがに1題は定番が,ノーマルケースでは2題は定番が期待できる。
この行為が何プロセスでやることか?はフィーリングでいけそうで,常識でやると落とす部分もある。しかし,しっかり演習しておけばだいたいはわかるようになる。その意味で効果が高い。
また,ここはシステム開発のとこの上流部分の話なので,システム企画と開発のセットで一連の流れで完結している。なので,システム開発とほぼ同じようなことを問われるとか,ダミー選択肢にシステム開発側のプロセスのダミー選択肢混ぜて問題作るとかがある。
よって,開発技術とここはセットで押さえるべき。
優先・最優先の得点目標の導出
ここまでみてきた分野の出題数は
- セキュリティ + NW : 6
- 開発 : 2
- PM+SM+監査 : 5
- システム戦略 : 3
となる。これで合計が16題である。
また,支援士の午前2の場合はデータベースの1題以外は全部抑えてることになることにも注意しておく。
さて,目標としては
- 4題落とす(12/16・75%) → 残り 6/14 (42.8%)
- 5題落とす(11/16・68.75%)→ 残り 7/14(50%)
- 6題落とす(10/16・62.5%)→ 残り 8/14 (57.1%)
あたりが候補。できれば,4題落とし(12/16)ぐらいで設定したい。10問実力で正解して2問カンで正解するイメージ。悪くて5題落としにしておきたい。そうしないと後が厳しい。
常識と軽い演習で
- 経営戦略 : 7→3 (43%)
- 企業と法務 : 7→2 (29%)
新作が入る可能性が高い(経営戦略で時事的な用語が出るなど),2題は定番問題が入るイメージ。
経営戦略のアルファベット略語やカタカナ語を丁寧に拾う作業をするか迷うが,残りがここより取りにくいのであきらめて暗記する。会計もやっておきたい。ただし,新作までは対策しない(実際は対策するが取れることは計算しない)。それで3/5(60%)を目指す。
嫌々定性問題のみ対策
コンピュータシステム
- コンピュータ構成要素 4→1
- システム構成要素 4→1
- ソフトウェア 4→1
- ハードウェア 4→1 (数値は出題数。左が応用午前・右が午前1)
ノルマは2題
ここは全て4→1(25%)なので,最初は完全に捨てるつもりだった。支援士だと午前2でも使わない。よって,割に合わない。しかし,計算をするとここで2題はどうしても必要。となると勉強するしか選択肢がない。
2題必要を導いた根拠は,コンピュータシステムの直前までで,(12+3)/(16+5) = 15/21なので,残り9題で3題取る必要がある。
コンピュータシステム以外の残りは基礎理論・プログラミング・ヒューマンインターフェース・データベースで合わせて5題。マルチメディアとヒューマンインターフェースは出題0もありうる前提。
この残りの分野は,こも全く計算にならない。基礎理論・プログラミング・データベースは手が滑って落ちるときには落ちる。よって,残りの5題からはカンで1題取るという計算になる。そうなるとここで2題が必要になるのである。
教材と手をつける範囲は限定
結局,このパートは勉強教材・勉強時間を限定して勉強時間を抑えるかわりに目標ラインを下げるという考え方を取った。
対策は手持ちの教科書の問題とiTECの午前問題集の問題のみに限定をする。手をつける内容については以下のような感じ
- ソフトウェアは網羅する(割は合わないが)
- コンピュータ構成要素は定性問題と簡単な四則演算で肩がつく問題は網羅する
- システム構成要素は簡単な稼働率計算と定性問題は網羅する
- ハードウェアは定性問題のみ手をつける
教材を限定する理由は抽出率にある。ここは,応用から25%抽出だから,全部押さえていくコストが大きすぎる。もっと範囲を絞りたかったが,いろいろ分析して危険とわかったので,分野を広く取る代わりに重要問題のみに絞るという戦術にした。ハードウェアだけはどうしても軽く見てなんとかなる問題だけ軽く見た。
手をつける内容を限定する理由は,勉強時間と結果が対策しない問題がそれなりにあるからである。特に計算問題。例えば,コンピュータ構成要素・ハードウェアは重い計算問題や論理回路問題があるが,そういうのは事前対策をしていなくても解けるときには解けるし,解けないときにはとけない。よってその対策時間(と問題を解くことによる精神の消耗)を他に回す方が合理的。
運を天に任せる
ここまでくれば,後の残りの5題でどうやって1題を取るかを考えるだけである。純粋運でもまあ悪くない。
基礎理論
- 基礎理論 : 4→2
- アルゴリズム 3→1 (数値は出題数。左が応用午前・右が午前1)
ここは,基礎理論3題ということもある。アルゴリズムも場合の数の計算で,実質基礎理論(数学っぽいの)4題という回もあった。
だからやっていきましょう,とならないのがここの手ごわいところ。
まず,数学・データサイエンス強化の旗印のもと,不意打ち問題がくる可能性を考えておきたい。現に,基本情報はいきなり極限の計算が出題されたという事件が起こったりしている。
また,苦手な人からするとここは暗記もつらいし数値替えされただけで終わりとなりかねない。数学・計算は勘違い・ミスでというリスクもある。
自分の場合は,手をつけていても手をつけていなくてもその場で解ける問題は解けるので,その意味でも対策の効果が薄い。
手をつける問題の選定はプロに任せる
今回の基礎理論は,努力で運が良いときには1題取れば良いという対策である。こういうときは,何かの基準でセレクトされた問題集をふわっと理解できるとこだけやっていく作戦が良い。これなら負担も少ないし,運が良いケースでそこそこ取れる(R2はこれがはまった)。
こういうふわっと対策をするときは,ドットコムでえいっと対策をかけるのは割が悪い。何らかの基準でちゃんとセレクトされた基本問題の塊だけにかける。私のお勧めはiTEC午前 + 瀬戸本 or 翔泳社本。短時間で理解できるとこだけふわっとやっていく。
技術要素(ネットワーク・セキュリティ以外)
- ヒューマンインターフェース・マルチメディア : 1+1→ 0 or 1
- データベース 5→1
ヒューマンインターフェース・マルチメディアはどっちか1題が定番だったが,0になった回もあった。
データベースは1題。データベースはこの範囲に対して1題ですか?って感じ。また,定番でない問題がピックアップされる保証はない。
さらに,データベースは少しの読みミスで線を引く方向・関数従属・SQLを勘違いするという怖さがある。5題あれば全部そういうことはしないよね,で良いが,1題出題だとうっかりがおこったら0である。怖い。
加えて,NoSQLがらみの新作のリスクもある。となると,ここも0勘定をするのが現実的。
実際はiTECの午前問題集でさらっと全範囲軽く回す対策をしたが,ここはわかってない人が1題のためにゼロからやるには割が合わないという感想しかない。(私はDB合格済で内容の概略はわかっていた状態で回したので負担感は少なかった。勘違いと忘却の修正のみなので。ただ,普通はそうはいかない。)
問題数が少ない午前1は致命傷を避けるのにコストがかかりすぎる
普通は,ここまで慎重にやらなくても良いと思う。ただ,やはり問題数が少ないのは怖いのである。
応用情報のように,苦手な分野についてそれぞれ4題出題されるとしたとき,4題全部解きにくいのはないだろうという安心感がある。難しくない部分のみの対策をしておけば,確率25%で1/4・確率50%で2/4で見積もれて,平均的に4割は取れて合格ラインに対するダメージは2割というイメージができる。
しかし,午前1では0か1のどちらかになる。対策が不十分な場合,何かの拍子で全部0が続くということはありえる。これは怖すぎる。
そういう観点で色々なシナリオを考えると,1回で受かろうとしたらノー勉の部分をある程度残すというリスクを負うことは許容できないという結論に達する。私はこの結論に従って,午前2以降を今回は私は放棄した。このレベルで対策をすると,午前2以降には手が出ない。
問題数リスクは本当に怖い。午前1の苦手な分野が多い人は,素直に応用を取って午前1免除を取るほうが良いケースもありえると思ってる。それぐらい問題数が少ないというリスクは怖い。
R1の出題でどうだったか?
ここまでの骨格はほぼ試験前に書いてた(後付けで書きたくなかったので)。実際の試験では27/30(自己採点)だったし,定番問題落としたから対策の効果と点数に関係があったかと言われると微妙だが。とりあえず問題分析をして戦略がどうだったかを振り返ってみる。
重点分野(目標12/16)
表に書いた通り,
- NW 1/2
- 開発技術 1/2
- マネジメント(PM・SM・監査) 3/5(ただし計算落としたら2/5)
- システム企画・戦略 2/3
が確実に取れると言い切れるところ。ここまでで5問が落ちる。
セキュリティを1問も落とさなかったとして,このパートの目標より1問落とした計算になる。少し厳しい。セキュリティも過去問そのままか?と言われるとどうとは言い切れないが基本は基本。
NWの計算以外の過去問対応できない4題は,
- スクラムは知識
- 逓減は微妙に知識
- 問25(ふわっとクラウド)はSaaSがイメージできるレベルで国語なので実質的に知識はなくても。
- 監査は,ウ・エを過去問の知識で除外して,アジャイルは従来とドキュメントに対する考え方が違うので,整ったドキュメントだけを監査対象にしたら監査の実効性がない,と知識に基づく推論ができるかなので,知識と言えば知識。
いずれも知識といってもレベルは知れてて,生活でふわっと触れてるかで大丈夫なのだが,計画段階でこれを点数の勘定に入れるのは怖い問題。
常識と軽い演習(目標3/5)
表に書いた通り確実に取れるのが,バリューチェーン・問29の営業利益の2題。あとはカンで1問合わせるしかないところ。(用語新作2題・プロバイダ責任制限法の常識っぽい読み物の1題のうちのどれかを1題取る)
定性問題を中心に嫌々対策(目標2/4)
ハードウェアが2題出題なのが特筆。論理回路でなく定性問題。ただし,実質この計算問題は取れない問題なので1題出題とみても同じようなもの。
サーバコンソリデーションもまあ無理。
過去問で取れる3題は(自分には)見てないと取れないが,ちゃんと覚えきってれば取れる問題。2/4のノルマ(実際は5)はクリアできる。
無対策(目標1/5)
- 基礎理論は2題は過去問を覚えていれば取れる問題。数学苦手でも。
- プログラミング言語が午前1で久々の出題だけど,これは常識ですよね・・・松原本にはここはほとんどないと書いてあったが,別にそれを信じても対応できるレベル。
- データベースは取れるといえば取れるけど,ここは理解できない人には難しいのでなんとも。
問2(ハフマン符号)は定番だけどiTECではそのままでは(掲載されているのでは少し難しめの問題)なかったかも。
1問取るだけなら難しくない。再出題の2題は,問題集では見るが出題間隔は空いてるので対策薄いと取れるとは言い切れない。(数値の違う類題までは調べてない。あくまでドットコムの同じ問題の出題歴で確認)。
過去問だけで行くと意外とぎりぎり
(自分の分類が間違ってないとして)過去問の周辺だけで行くと19問でかなりぎりぎり。過去問以外から万人が取れると言い切れるのは,Python・クラウドのふわっとした文章問題ぐらい。
人によっては常識で取れるけどそうでない人は厳しい問題があと3題ぐらい(開発技術のとことマネジメントのとこ)。どれか1題は常識がはまると取れるが(例えば開発の人はアジャイルは雰囲気でいけるし,マネジメント層の人は逓減を雰囲気でいける。),どれもだめという運の悪い人は大変。
新作問題でも過去問との距離が小さければまだ良いが,過去問との距離が大きい純粋新作問題がそれなりにある気がする。
なんだかんだいって捨てれる部分が少ないし,怖いとしか言いようがない・・・・
全体の感想
見ると重点的に対策を基礎理論・コンピュータシステムが,過去問演習が報われる感じだった。完全に捨てていたら危なかった。ドットコムで網羅でなく教科書と問題集だけで取れたのがありがたい。毎回こうとは限らないので,取れる計算にはできないが。
セキュリティを取り切れる前提なら,この考え方でそれなりに大丈夫そう,が分析しての実感。
セキュリティを取り切るというのは,単発の理解とか問題集の限られた問題数だと少し厳しいかも。理解してたり常識の雰囲気がわかっていれば良い感じて確信を持って選べるものの,個々の単発事実の暗記ベースで取れるかと言われるとどうだったっけ?となる。
計算問題は(得意なものの)全部落とす前提にしておいて正解だった。50分(プラス朝苦手による睡眠不足)だと,検算や1から解法を考えるのは難しい。実際,普通に取れる計算問題を2題落とした(というか落としたのはハードウェア・NW・SMの計算問題の3題のみ。ハードウェアの1題はどうやっても無理だった。)。
あとは,ふわっとした知識と常識力の境界にあるような知識で点数がかなり変わる。常識力に自信がない人は鉄壁に対策をしたとしても相当重圧がかかる試験,という印象。
お勉強で午前1を取り切るって意外と面倒という感想しかない。
追記
なんかいろいろ文章が推敲できてないことに気付いたのはそのうち直す
1. NWの計算問題
ネットワークの計算問題は,1GBの回線の片道のデータの流れる時間をxすると100MBの回線のデータの流れる片道の時間が10xになって,処理時間をAとおくと
をxについて解くだけで解ける。自分は試験中は
- データ量か時間をx・処理時間をAとかする
- あとは良い感じで連立方程式
まではまあわかったが,立式して検算をしてる余裕がない。1分で解けと言われたら無理。この問題は,過去問流してて外野の目で見ると簡単なのだが,与えられた条件でやるとやってられないタイプの問題。
自分の場合,速度10倍だから往復の時間が1/10という事実すら,手を動かして確認するとこから始めると思う。数値例を作って確認したり,データ量をxとおいても同値になるっけ?の確認かとかを色々確認する。
選択肢を全部試すという手段もあるのもわかる。
しかし,これは2分で解けという問題。10分~15分くれたら初見でも何の問題もない。よって,応用の午前だったら正解できてるが,午前1だと厳しいという話。
また,問題文が微妙に長いので,その意味でも時間的に不利。
