令和5年度秋のシステム監査技術者試験の振り返りです。あまり手応えがなかったこともあって受験時に記事にしていなかったのですが、確認したら幸いにも合格していました。学習中のメモなども結構残っていたので、それらを踏まえて詳細を報告します。

• 試験結果
• 受験の経緯
• 使用した参考書等
• 学習戦略
  • 午後Ⅰ対策
  • 午後Ⅱ対策
• 試験当日
• 終わりに

試験結果

　午前Ⅰ　免除
　午前Ⅱ　88.00点
　午後Ⅰ　71点（問2,3）
　午後Ⅱ　A（問2）

　午前Ⅱは2ミス程度かと思いました。結果もほぼその通りでした。
　午後Ⅰも手応え相応といったところです。午後Ⅱの出来がちょっと厳しかったので正直諦めていたものの、なんとか踏みとどまって合格となりました。

受験の経緯

　応用情報を受験する時点で支援士→システム監査というコースを見据えていたので、いわばここ最近の学習の集大成といったところです。
　論文試験に慣れておく意味で春にシステムアーキテクトを受験することを検討したものの時間が取れなくて断念し、結局このたびのシステム監査が初の論文科目受験となりました。

使用した参考書等

1. システム監査技術者過去問対策.com
   
2. ALL IN ONE パーフェクトマスター システム監査技術者　2022年度（TAC）
   
3. システム監査技術者 合格論文の書き方・事例集　第6版（アイテック）
   
4. よくわかるシステム監査の実務解説　第3版（同文舘出版）

　1は午前Ⅱ対策に利用しました。誤字などいくつか不具合があるものの、いずれ最後は問題を見て瞬時に答えるだけの脳筋プレイになるので気にしませんでした。なお、このほかに応用情報と支援士の午前問題（該当する分野のみ）も復習しています。
　2は午前Ⅱから午後Ⅱまで幅広くカバーしていてメインの学習用にちょうどよろしいかと思います。改めて確認したら2022年度版でしたが、1年でそうそう変わる分野でもないので全く問題ありませんでした。
　3はもちろん午後Ⅱ対策用の論文事例集です。肝心の論文例に誤字脱字が多かったり、あまり重要でなさそうな事柄に字数を割いている例が目立つなど気になる部分は多いです。しかし「2時間でこのぐらい書けばなんとかなる」というリアリティを教えてくれるという意味でかなり重要です。
　4は試験対策書ではなくて実務書です。全編を読み込んだわけではありませんが6,9,10章あたりはかなり参考になりました。要は当たり前にやるべきことを並べているだけなのですが、結局は午後Ⅱ論文もその当たり前のことをどれだけ飽きずに並べられるかの勝負でしかないのだ、という貴重な悟りが得られます。

学習戦略

　総学習時間は140時間程度だったと思います。6月中に午前Ⅱと午後Ⅰの過去問を解き始めたので取り掛かりは遅くなかったのですが7月に入って中だるみがあったのと、午後Ⅱへの取り組みが不十分だった（結局演習が不足してヤマを張る結果となりました）ため学習時間は支援士のときより減ってしまった感じです。あと今年はとにかく暑さにやられてきつかったです。
　午前Ⅱはとにかく暗記するだけなので、以下ではメインの午後の学習について振り返ります。

午後Ⅰ対策

　H25以降の過去問を延べ60問ほど解きました。基本的に1回解いた時点で難しいと思った問題には二度と手を付けず、標準以下の難度だと思った問題を2回3回と繰り返しました。これまでの応用情報や支援士と比べてもフワッとした設問が多く、完璧な解答を追い求めてもキリがない、逆に言えば常識的に答えられる設問に確実に答えられるようになれば十分だろうと思ったことがその理由です。
　具体的に2回以上繰り返したのは次の問題です。
H25 Q2
H26 Q2（難）,Q3
H27 Q1,Q2,Q3
H28 Q1,Q2,Q3
H29 Q2,Q3
H30 Q2,Q3
H31 Q1,Q2
R2 Q2,Q3
R3 Q1
R4 Q2,Q3（難）

　なお最も注意すべき点は、午後Ⅱにも言えますが監査手続を問われたときに具体的な技法（文書の査閲、インタビューなど）を含めて書くことです。これを忘れて単に「～であることを確認する」などと書くとまず間違いなく0点です。わかっているつもりでもついやってしまいがちです。

午後Ⅱ対策

　上記のアイテックの論文集からセキュリティと開発に絞って10問ほどを写経し、さらに3,4問を自分で考えて書いてみただけです。
　それだけでも数十時間かかるとはいえ、思い返しても全くお粗末な準備でした。ただ、書けば書くほど伸びるという話でもないように思えてきたので、受験直前では作戦を整理して明確にすることを優先しました。具体的には以下のような内容です。

• むやみに字数を追わない
  　写経しても2時間で書ける字数は3000字にも達しない。設問アを準備しておくことはもちろんだが、それでも結局は600+900+900=2400字ぐらいが限度だと割り切る。
  
• 設問ア対策
  　具体的なシステム例を数種類用意しておく。
  　システムの機能だけでなく規模や稼働箇所（複数拠点の場合も考慮する）、利用者の特徴、負荷の大きい時期など、リスクに関連する概要を用意しておく。
  　システムの開発や新技術の導入などは、なるべく全社的な取り組みとして様々な場面で活用しようとしているように記述する。そうすれば推進体制や責任分担のリスクを含めて書き進めることができる。逆にそうしないと現場視点の説明に終始してしまい話が続かない恐れがある。
  
• なるべく経験した体裁で書く
  　基本的に「経験と考えに基づいて～」というように問われるので「～するのがよい」といった第三者的な論じ方ではなく「こう考えてこうした」という経験を記すか、あるいは「～する」という自らの判断を示す。
  
• 設問イ対策
  　問題文の内容に沿って「マニュアルを整備していること」といった基本的なコントロールを挙げればある程度の分量になるが、字数的にも内容的にも不足するので補完的なコントロールを掘り下げる（最重要ポイント）。どのようなシステム、プロジェクトであっても変わらずだいたい次のようなものになる。
  －組織体制の整備
  　－責任と分担の明確化
  　－各関係者による責任と分担の理解促進
  　－問題発生時の責任者への連絡体制確立
  －計画書、規程類、マニュアルの整備
  　－適切な承認
  　－周知徹底
  　－継続的な見直し体制確立
  －開発における成果物、期限の具体化
  　－各段階での実績報告や審査の仕組み
  　－適切な承認、審査の実施
  －運用段階にて生じる問題に対応できる体制の整備
  　－実際に生じた問題への対処、記録、報告
  　－継続的改善に向けた見直し体制確立
  
• 設問ウ対策
  　コントロールをきちんと挙げられていれば、それらに対応する監査手続を1つ1つ記していくだけでよい。
  　経験に基づいて記すという意味でも、閲覧する（した）文書名は「～について記した文書」とするより「～計画書」「～報告書」などとする方が自然。会議名なども同様。よくある名称を多数暗記しておくに越したことはない。
  　「監査手続で留意すべき点」とか、「監査手続で確認すべきポイント」といった問い方をされることがある。監査項目などと言い換えることはできるが、問われていることに答えているという印象を与えるためにもなるべく設問で示された言葉を使う。
  　設問イでコントロールや監査要点を述べた場合でも監査手続中で再度それに触れつつ回答する。そうしないと対応付けがわからないし、字数も足りなくなるので設問イと同じ文言をそのまま繰り返してよい。具体的には「～というコントロールについては～を閲覧して～の確認印が押されていることを確認する」という記し方が字数を稼ぎやすい。

試験当日

　小さい試験会場だったのでシステム監査の受験者は数えるほどしかしかいませんでした。プロマネの方は人が多くてすごいなあと思いました;-o-)
　午前Ⅱは特に問題なし。結果を考えると午前問題の過去問学習に時間をかけすぎな気もしますが、少しでも「ダメだったかもしれない」と思うと午後の集中力に影響する気がするので必要な取り組みだと思っています。
　午後Ⅰは問2,3を選択しました。こちらは高得点を狙いに行くよりもオウム返しでいいから否定しようのない感じの内容を書き、減点覚悟で7割を確保するという作戦で臨んで実際に7割取れました。我ながらこの点については老獪の境地に達した感じがします;-o-)
　午後Ⅱは問2を選択しました。支援士からの受験だったのでこのセキュリティ問題が出題されたことは非常にラッキーでした。
　とはいえ文章作成には不手際が目立ちました。設問アは十分に書けたと思うものの、設問イ以降で見出しを使って見やすく整理する（かつ字数を稼ぐ）という基本を怠り、改行のみで進めていくという形にしてしまいました。これがたたって特に設問イで字数不足に苦しみましたし、文章が場当たり的に展開してしまった印象がぬぐえませんでした。ただ、設問ウでは時間切れまで思いつく限りを並べ立てて最終的には700+750+1000字くらい書けたと思います。ちなみに鉛筆を持つ手にかなり力が入るため親指にバンドエイドを巻いて人差し指に爪が食い込まないようにしましたが、それでも指に跡が残りました。

終わりに

　午後Ⅱは話をある程度大きく持っていってあとはコントロールを体系的に列挙できるようになればなんとかなると思いました。ここで上記の「よくわかるシステム監査の実務解説」が決定的に役立ったと感じています。
　あと月並みですが、日常で目にするさまざまな業務について「ここではどういうシステムが動いているのか、誰がどう使っているのか、動かなくなったらどうなるのか、誰が困るのか」といったことをイメージする習慣をつけることが重要なのではないかと感じました。

　なお、情報処理技術者試験についてはここ3年で3回受験し、いずれも勝利となりました（AP→SC→AU）。
　春も受験していればもっと成果が出たかもしれませんが逆に息切れしていたような気もするので、このぐらいのペースが自分には向いていたのかもしれません。受験はしばらくはお休みしたいと思いますが、何か受けるとすれば簿記2級とか別ジャンルの試験になりそうです。

　令和4年度秋の情報処理安全確保支援士試験に合格しましたので、詳細をまとめました。

　目次

• 試験結果
• 受験の経緯
• 使用した参考書等
• 学習戦略
• 試験当日
• 登録について
• 終わりに

試験結果

　午前Ⅰ免除
　午前Ⅱ100.00点
　午後Ⅰ86点（問2,3）
　午後Ⅱ66点（問2）

　終わってみれば午前番長;-o-)これまでの試験を通じて満点は初でした。
　午後Ⅰは手応え以上に取れたものの、さらにいけたと思った午後Ⅱが伸びませんでした。自己採点はやってませんが、何か見落としがあったかもしれません。

受験の経緯

　昨年秋の応用情報技術者試験を受ける段階でセキュリティとネットワークに力を入れてましたのでその延長として受験を意識するようになりました。
　1月ごろにいわゆる上原本を買って眺めてはいたのですが、途中で資格名のかっこ悪さに絶望して今年春はお休みしました。その後もなかなか意志が固まりませんでしたが、そのうち必置化されるのではないかなどと考えるようになり、ようやく7月になって受験を決定しました。

使用した参考書等

1.情報処理安全確保支援士ドットコム
2.ネットワークスペシャリストドットコム
3.情報処理教科書　情報処理安全確保支援士（翔泳社）
4.情報処理安全確保支援士過去問題集（技術評論社）

　1は応用情報の時もお世話になったドットコムの姉妹サイトです。さすがに午後の採点機能はないのでアウトプットもこれ1つで十分、というわけにはいきませんでしたが、午前Ⅱはここでやりこみました。
　2は午前対策のダメ押しでやりました。確かに効いたかもしれません。
　3はいわゆる上原本です。頼りになりますが結構な分量なので言語のほか法制度などは手を付けませんでした。
　4は受験直前に購入しました。もともと必要はなかったものの3の本（2021年版）を買ったときに過去問解説を期限内にダウンロードするのを忘れて公式解答しか利用できない状況がずっと続き、かといって同じ本を買い直すのも癪だったのでこちらを買いました。解答が公式と異なる点があるのがよく批判されるようですが、その根拠は記しているので特に気になりませんでした。ただ、公式解答と異なる見解を述べておいて最後に公式解答を示すという箇所があるのはさすがに不自然なので、せめて両論併記でやってほしかったです。

学習戦略

　学習は7月上旬から開始しました。
　8月までは午前Ⅱと午後Ⅰを、9月からは午後Ⅰと午後Ⅱを中心に過去問を解き、最終的にH26秋以降の午後Ⅰと午後Ⅱをそれぞれ2周しました。
　総学習時間は応用の時と同じく180時間程度だったと思います。取り掛かりは遅いというほどではなかったものの、思ったほど時間を割くことができず9月がちょっときつくなったので、もっと余裕を持ったスケジュールにした方がよかったと思います。

　名前のカッコ悪さを克服する

　モチベーションに関わる問題です。名前がカッコ悪すぎるのに嫌気が差して受験を一回諦めたので、これを克服することがまさに合格への第一歩でした。
　それにしてもカッコ悪いだけでなく、セキュマネより下に見えるのがどうかしているので、セキュリティスペシャリストのままで良かったんじゃないかと思います。

　午前は暗記あるのみ

　くどいですが過去問については選択肢だけ見て反射で答えられるぐらいになる必要があります。午前Ⅱは最も落ちにくい科目とはいえ、ここで浮足立ってしまうようでは安心して午後に取り組めませんので最善を尽くしておくべきです。
　ちなみに午前ⅡのH25秋問23とH28秋問23が激烈に紛らわしくて嫌な感じですが、答えはどっちもイです;-o-)

　応用情報でセキュリティとネットワークをやっていればいい勝負ができる

　高度試験の午後問題というといかにも難しそうで、取り組むのに二の足を踏んでしまいがちですが、ネットワークスペシャリストなどと比べると明らかに簡単です。
　応用情報でこれらのジャンルをある程度やりこんでおけば意外なほど解けます。午後Ⅱも長いだけで内容的な難度は午後Ⅰと変わらないので、恐れることはありません。早いうちに手を付けましょう。
　いきなり躓きたくない方には易しいといわれるH27秋午後Ⅰ問2、R3秋午後Ⅱ問2をおすすめします。

　何よりファイアウォールのはたらきを理解する

　ネットワーク機器に関してはFWが何をやっているのかを理解することが肝心です。フィルタリングルールについて問われる問題も多いので、なんだかんだでFWがかなりの部分を占めていると思います。
　次いでプロキシ,DNS,メール,ログ管理サーバです。さらに内部/外部サーバの働きの違いを区別できるようになればネットワーク図に関して怖いところはほぼなくなります。あとはURLフィルタリングでセキュリティベンダへの接続が遮断されないようにするとか、機器の未活用機能を使って問題に対応するといった定番回答を押さえていけば得点力は上がっていきます。
　アプリやDB,NTPサーバ等については問題としてみれば味付け程度というか、さほど深く理解している必要はありません。あと知らなくて良いというわけではありませんが、午後問題に至ってL2/L3スイッチの区別などはあまり問題にならない感じです。

　差がつきそうなのは認証関連

　シーケンス図が出てきて鍵やら何やらを交換しているやつです。それぞれ何を検証しようとしているのか把握する必要がありますが、ここがなかなか難しくて勝負所になります。問題選択で避けられるかもしれないものの、さらに比重が増えそうな気がするのでやりこんでおく価値はあると思います。

　午後の90分/120分の時間に慣れる

　応用情報を経ていれば心配はないと思いますが、問題慣れしておけば基本的な設問で手堅く得点し、難問をさっさと見切ることが容易になります。とにかく設問自体の難度はそれほど高くないので、あとは時間感覚さえつかんでおけば「あと10分なのに設問1しか埋まっていないんだが」といった事態は起こりません。

試験当日

　ただの体験記。
　午前Ⅱは早々に「もしかして全部いけるのでは」と思うぐらいの会心の出来でした。応用情報の午前の方が問題が多くてしんどかったです。ただ最近はSQLも全然触っていないため、外部結合が最後に残ったのが情けないです。
　昼食は午後に眠くならないようカロリーメイトだけにしたところ、ちょっと足りなくて困った感じでした。加減が難しいです。
　そして午後Ⅰの問題選択が最も悩ましかったと思います。5分以上かかったのでちょっとヤバいと思ったものの、いざ解き始めると過去問と同じようなペースで解くことができました。ここは慣れておいてよかったところです。
　午後Ⅱは残り30分ほどであまり考えることもなくなり、時間的にはかなり余裕がありました。強キャラっぽい受験者が次々退席していたように思います。自分は信条として最後まで居残りました。その後どれほど手直ししたか覚えてませんが、結果的にギリギリだったことを考えると粘ってて良かったのではないかと思います。

登録について

　費用が高すぎてメリットもまるでないので、登録の予定はありません。

終わりに

　セキュアドの時も思いましたが、「これで私も一線級のサイバーセキュリティ人材」というほど簡単な話ではないです。この分野に関しては特にそう思います。
　あと、午後試験が1科目に簡略化されるようです。しかしそんなことより登録・維持費用を大きく引き下げれば登録目標など速攻でクリアできるはずなので、さっさとそうしてほしいです。