時間をかける応用情報のセキュリティ対策(3)支援士の参考書はページ数かあるので逆にわかりやすい
前回は,インプレスの瀬戸先生の本をわかってると応用情報の午後の答えがほぼそのまま書ける部分がそれなりにあると書いた。
ただし,支援士の本は応用情報の本と比べると大変なのではないかという疑問も当然出てくる。しかし,それは違うと言いたい。瀬戸先生の支援士の本は一言でいうと,応用情報で紙の関係では書けなかった基礎的な説明を省略せずに書いているという本なのである。(もちろんレベル4固有の記述もあるが)
ここでは,この本の以下の特徴をみることで,応用情報にも使いやすいということも見ていく。
- 午前問題数が適度な数配置されている
- 見出しという形で情報が整理されている
- 行間を読まなくても良い
- 基本的な理解を助ける図が多数配置されている
特徴は重なりあっているものもあるが,まあまあということで。
本の特徴
1. 午前問題数が適度な数配置されてる
情報セキュリティ対策のセクションについて考える。応用情報の本でセキュリティ攻撃は10個あって,
- バッファオーバーフロー
- SQLインジェクション
- グロスサイトスクリプティング
- クロスサイトリクエストフォージェリー
- DNSキャッシュポイズニング
- DoS
- フィッシング
- 標的型攻撃
- パスワードクラック
とあり(しかも,その説明がなんと全部で3ページでされてる。),
その直下の問題はSQLインジェクションの以下の1題である。
(平成22年春 応用情報技術者試験 午前 問43。IPAサイトのPDFより画像切り取り。)
この1題しかないとなると,問題文も解説も読み流してはだめになる。よって,演習するときに気合が必要になる。演習とは別に本文暗記をしなければという気合も必要そう。
これに対して支援士のテキストでは,この10個のうち説明直下に6個は演習がついている。
- SQLインジェクション(対策)
- クロスサイトスクリプティング(対策)
- DNSキャッシュポイズニング(起こった結果引き起こされること)
- DoS(Smurfを選択)
- 標的型攻撃(水飲み場攻撃)
- パスワードクラック(ブルートフォースの説明を選択)
これだけちゃんとついていれば,1個1個を読み流しで繰り返しでもそれなりに頭に残る。
問題数を増やすだけなら,ドットコムでも良いではないか?と思う人もいるかもしれない。
- きれいに全範囲を1回ずつみたいになるとは限らない
- 脈絡のある順番出てこないので覚えにくい
ので少し効率が悪い。
問題がレベル4の問題であることを割り引いても,このメリットが勝つ。あと,4といってもセキュリティの4はそんなに4っぽくないし,応用情報への下位流用も考えられるのだからやっておいて損はないのではと思う。
あとは,説明直下に配置されている問題は,基本レベルのものが選ばれてる感じもするので,応用情報受験者でも普通に使えるかと。
2. 見出しという形で情報が整理されている
以下は,同著者の応用情報のテキストのパスワードクラックの説明である。
(応用情報教科書・インプレス 平成26年度版p297より。平成26年なので,応用情報ではパスワードリストは入っていない。)
6行で書かれてるブルートフォース・辞書攻撃・パスワードリスト(H26なので実際は書かれていないが)の3つを確実に覚えきらないといけない。かなり気合をいれて読む必要がある。そして,午後記述もこれで解かなければならない。この記述だけで解けとか無理では?と思う。
一方,支援士のテキストだとこうである。
(情報処理安全確保支援士教科書 2019年度版・インプレス p434より)
1攻撃・1見出しである。行をふんだんに使ってる。これだったら目を上から下に動かしていくだけで読んだり覚えたりできる。そして,説明のレベルがものすごく上がっているかというと,そうでもない。
3. 行間を読まなくても良い
先の例で続ける。応用情報のパスワードクラックは6行だけあって,対策は過去問とかで学んだり自分の頭で考えなければならない。
しかし,支援士の本だと対策の説明が独立して1セクション取られていて,かつ,午後の解答で部分引用できるレベルで書かれている(これは前の記事で書いた通り)。
短いのが良いと言ってる人は,薄い数学の本が良いと言ってるようにしか聞こえない。自分で行間埋めるのは,かなりエネルギー使うような。。。。
4. 基本的な理解を助ける図が多数配置されている
同著者の本は理解を助けたり頭に入れやすくするための図(イラスト)が多数掲載されている。もちろん,応用情報の本にもSQLインジェクションなどは図が載っている。しかし,ページ数の関係で載せられる図の制約が強いため,十分に図がついているとは言い難い。
一方,支援士のテキストだと図(イラスト)が載せ放題である。ぜいたくにイラストが使われている。
イラストは,ほとんどがレベル3の理解のためのレベルのものである。読み流す勉強をするときは,字読むよりイラストの方が楽かつ記憶に残ると思うがどうだろうか。。。
雑多なよさ集
自分の思う主観的よさを体系化せずばらばらと。
実は読む分量は少ない
左右を傍注用にかなりの幅を取っている。また,演習問題もかなりの量がある。覚えようなどもある。細かく節を切って見出しも細かくいれてて,それらの間の行間も相当取られてる。簡単な図も多い。ということで,実は厚みほど分量はない。
本の厚みを知識の詰め込みに使うのではなく,読みやすさ・眺めやすさ・使いやすさ・わかりやすさに使ってる感じ。
左右の広い傍注余白は書き込みに便利
左右傍注は相当に広い。この余白に書き込みを入れることで,ノートのようにも使える。
この特徴の生かし方の一例としては,過去問と突き合わせる演習をしたときに,突き合わせて箇所にH..・・でこういう角度で出たという概要の書き込みを入れておくという使い方(広いので3行概要ぐらいまでは余裕で書ける),それが集中したとこを見直せば,頻出項目のピックアップが自然とできる。
NWの説明が手厚い
瀬戸先生は,ネットワークのないセキュリティ対策というものは絶対にありえない派なので,ネットワークについての記述は当然厚い。
ブログで自分かツボにはまってる言葉として以下がある。
「セキュリティの勉強に,OSIの7階層は関係ない。。。わけがありません。」
(これもソースリンク張るべきだが,検索をそれで操作してる感がいやなのでパス。)
これは,過去問分析記事で紹介した「SQLインジェクション」「バインド機構」の問答と同じ記事にある話。
そんなに1分野に時間をかけるのは時間効率がという反論
この方法でセキュリティは攻略できたとして,次に支援士受けないのなら時間かかりすぎでやってられないという意見があるかと思う。次回はそれについて思うことを書いていく。
付録1・テキストと問題のレベル感(主観)
テキストや試験問題のレベル感を例えると,
- 既存の応用情報の教科書は単語集 + 単語穴埋め一問一答。
- 瀬戸先生の本は教科書 + 教科書典型の例題集。応用情報の問題はそのレベル。
- 支援士の問題は,応用情報レベルがあることと,その場で書かれた新しいことを組み合わせて活用していけるかという問題。入試問題レベル。
といった感じ。単語集10/10で仕上げるより,教科書典型の例題集を7/10で仕上げてるうちに単語帳の完成度上げる方が楽ですよね・・・
付録2・瀬戸本は支援士対策のスタートライン(主観)
応用情報と支援士のレベル感の違い
応用情報と支援士の問題の違いは,
- 基礎知識の精度の高さが要求される(穴埋めの用語のワードのレベルがあがるとか,応用情報で文章選択になってるとこも普通に記述とか。)
- 状況がさらに複雑になる
- 基礎知識で読み取れる新しいことの説明を書いてそれを読めますか?問題が入る。
- 高度な知識は若干入る。
といった感じ。
知識の物量攻めで支援士に受かろうという本ではない
この本は,支援士の試験勉強で知識を足そうとしたりとか,支援士の試験から帰ってきて解けなかった問題の解答を調べるのに使おうとしたら,本文に何も書いてない!ってなる感じの本。この本に書いてることは頭にあって,そこから先を調べたくて本を開いたのに,となる感じ。
もっとも,そのレベルの知識(下手したらその1/3~1/2ぐらいの知識)で一回は合格点を取っているし,今回も解答用紙をそこそこ埋めて帰ってきているので悪いわけではない。このテキストをきっちり理解して,その後でしっかり過去問から知識・技法を吸収しておけば合格ライン前後までは行くと思う。少なくとも,受験者平均の知識は絶対に身に付いてるはず(というかそうであって欲しい)。
今回の試験で私が落ちてるとしたら,その原因は睡眠不足・午前1から試験を受けることによる体力の消耗・午後の過去問演習不足(応用情報を含めて・特にちゃんとアウトプットを詰める練習)であって,知識不足は主要因ではない。
瀬戸本がわかれば過去問演習はできる
瀬戸先生のテキストがわかれば,少なくとも過去問の問題文の意味と解説がわかるレベルにはなる。すなわち,過去問演習の準備としては十分な本である。この本の次の段階は何かのテキストでなく,直近3セットの過去問の徹底的な習熟である。
午後重点・上原本に挫折した状態でセキュリティスペシャリストに受かった
どちらかというと自分は暗記でなくその場力で勝負するタイプなので,知識・勉強派の人はこれでは不安かもしれない。そういう人は,三好先生とか上原先生の本で知識を増やすということになる(それが十分になる保証もないが)。
仮に知識量の多い本で知識を増やすとしても,三好先生や上原先生の本は瀬戸先生の本の基礎ができた次の段階の本だと思う。自分がセキュリティスペシャリストに受かったときは,三好先生や上原先生の本は(基礎がないので)量が多すぎたり難しく感じたりして読み切れなかった。(気合を入れないと)あまりにテキストが読めないので,やってられるかと開き直って午後無勉(演習ゼロ)で試験に行ったという側面もある。
支援士受験組は応用情報段階で瀬戸本を使いたい
こういう自分の経験や応用情報の問題分析も踏まえて,この本は応用情報の段階から仕上げ始めておくことをお勧めしたいのである。自分が最初に応用情報やセキュリティスペシャリストの試験を受けるときにこの本は欲しかった。(というかそういう本がちょうど無かったから瀬戸先生が書いたのだと思うが)