応用情報を終えて、セキスペの勉強を始める前に知りたかったこと

2025 年 (令和 7 年) 春期の情報処理安全確保支援士 (セキスペ) 試験を受けてきました。

情報処理安全確保支援士試験の受験体験記は こちら 。

応用情報の勉強をしたこと前提で、自分がセキスペの勉強を始める前に知りたかったことを書いていきます。

試験結果 (2025-07-03:追記)

合格していました。良かったです。

• 午前Ⅱ得点：80.00点
• 午後得点：67点

要約

• まずは直近 1, 2 回の午後問題を解く
• 「攻撃手順と対策」「脆弱性と対策」をそれぞれセットで覚える
• セキュアプログラミングは勉強しない

応用情報と同じこと・違うこと

午後問題を分野で絞れない

ここが最大の問題でした。

応用情報では大問ごとに分野が決まっており、自分であれば、セキュリティ・プログラミング・データベース・組み込み・システム監査、と事前に決めて勉強していました。

しかし、セキスペでは分野はすべてセキュリティで絞ることができず、特定の分野を集中して勉強することができませんでした。

逆に絞れていると思うかもしれませんが、応用情報のテキストと同じページ数のセキスペのテキストが、端から端まで出題されるということです。

午後問題に掛けられる時間が長い

応用情報と比べて、セキスペは大問 1 問の分量が多いです。

大問 1 問に掛かる時間は、自分のペースだと、応用情報は 1 問 20 ～ 25 分くらいで、セキスペは 1 問 40 ～ 50 分くらいでした。ちょうど倍くらい。

一方で、大問 1 問に掛けられる時間は、単純計算で以下の通りです。

試験	時間	大問数	分/大問
応用情報	150 分	5 問	30 分
セキスペ	150 分	2 問	75 分

応用情報のときは、他の問題を読んで選ぶ時間なんてとても取れないタイトな時間配分でしたが、セキスペではちゃんと読んで選ぶことができます。

分野が絞れないということを差し引いても、問題をじっくり選ぶ余裕があります。

ちなみに、自分の午後問題の時間配分は、以下の通りでした。

やること	所要時間
問題選択	20 分
大問 その 1	60 分
大問 その 2	60 分
バッファ	10 分

テキストの内容は網羅的ではない

自分が受けた応用情報の令和 6 年・秋期・午後・問 1 セキュリティでは、テキストにない「多層防御」を答えさせる問題が出てきました。

まぁ、勉強していれば「テキストに書いてないこともたまに出てくるなぁ」と察するので、そんなに驚きませんでしたが、セキスぺでもそこは一緒です。

例えば、令和 6 年・秋期・午後・問 2 では、DKIM レコードの FQDN を選択で答えさせる問題があり、これはテキストにも載っていないし、覚えていないと答えられません。

周辺知識もググりながら、勉強を進める必要があります。

学習のコツ

まずは直近 1, 2 回の午後問題を解く

セキスペに限らずですが、勉強するのにどこから手を付けるかと言われれば、まず真っ先に午後の過去問を解くことをお勧めします。

午後の過去問は、ある程度勉強した後に模擬試験として残しておきたいものです。

しかし、直近 1, 2 回分の類題は自分の回には出ないでしょうから、午後問題の出題傾向をつかむためにも使っちゃいましょう。

このとき意識するのは、解答するのに知識が必要かそうでないかです。便宜上、これらを「知識問題」「読取問題」と呼ぶことにします。

• 知識問題
  • テキストで重点的に勉強します
  • ただし、知識問題と言っても単語を覚えればいいわけではなく、記述もあるので理解を優先しましょう
• 読取問題
  • 過去問を解いた後に正答を見て、問題のどの記述・表・図から読み取ればその正答にたどり着けるのか、自分なりの解説を丁寧に書いてみましょう

「攻撃手順と対策」「脆弱性と対策」をそれぞれセットで覚える

これは、前述の「知識問題」の対策についてです。

午後問題のストーリーは、だいたい以下の 2 パターンです。

• インシデントが発生したパターン
  • 異常な動作が見つかった、不審なログが見つかった、など
  • 初動対応を行って、ログなどからマルウェアの動作を解析した
  • 対策を検討して、講じた
• インシデントが発生していないパターン
  • 新しいサービスを導入したい、古いサービスを置き換えたい、アプリを新規開発した、など
  • 脆弱性診断をしたところ、いくつかの脆弱性が見つかった
  • 対策を検討して、講じた

そして、その解答に必要な知識は、ほとんど以下に絞られます。

• サイバー攻撃手法とその対策
  • 例えば、XSS はどういう手順？ その対策は？
• 脆弱性とその対策
  • 例えば、SMTP にはどんな脆弱性がある？ その対策は？

したがって、ここを重点的に覚えれば、午後問題は（ついでに午前 Ⅱ 問題も）かなり対応できるようになります。

だから、例えばこんな感じの表を作って、穴埋めできるようになると良いでしょう。列挙する項目は、自分が使うテキスト準拠でいいと思います。

サイバー攻撃	どんな攻撃？	どんな対策が有効？
XSS	・リクエストにスクリプトの文字列を仕込む ・それがレスポンスに含まれて Web ページで スクリプトが実行される など	・Content-Type で文字コードを指定 ・エスケープ処理 など
標的型攻撃	...	...
SQL インジェクション	...	...
セッション フィクセーション	...	...
...	...	...

対象	どんな脆弱性がある？	どんな対策が有効？
SMTP	・ユーザー認証がない ・暗号化機能が標準でない など	・SMTP-AUTH でユーザー認証 ・SMTPS で暗号化とユーザー認証 など
POP3	...	...
DNS	...	...
HTTP	...	...
...	...	...

ちなみに、ここに挙げたのはよく見かけるやつです。特に XSS についてはほぼ毎回出ているので、対策必須です。

覚え方？ 気合いだよそんなもん。

セキュアプログラミングは勉強しない

あくまで 勉強しない のであって、午後問題で選択しないということではありません。

JavaScript を多少分かっているのであれば、サービス問題になる可能性が高いです。

公式サイト の「試験で使用する情報技術に関する用語・プログラム言語など」によると、出題されるプログラミング言語は、以下の 3 つ。

• ECMAScript (JavaScript)
• Java
• C++

ECMAScript は、問われる内容自体は基礎的なものだけなので、HTML と JavaScript を多少分かっているのであれば、勉強しなくても解けます。

かといって、試験のために HTML と JavaScript を勉強するのは割に合わないので、過去問を解いてみて無理そうなら潔く捨てましょう。

一方で、Java は問われる内容がそこそこ難しくて、例えば、令和 5 年・春期・午後 Ⅰ・問 1 では以下のような 記述解答 が求められます。

PreparedStatement stmt = conn.prepareStatement(sql)

そもそも、コーディングを補完もないエディタで書くとか、ましてや手書きで書くとか、あまりにもバカバカしいとは思いませんか？

こんなくだらない問題に付き合う必要はありません。

あと、C++ なんか出ません。見たことありません。

午前 Ⅱ 問題はセキュリティだけ頑張る

午前 Ⅱ 問題の出題分野について、その技術レベルと出題数の内訳は、以下の通りです。

出題分野	技術レベル	出題数
セキュリティ	† 4 †	17 問
ネットワーク	† 4 †	3 問
データベース	3	1 問
システム開発技術	3	1 問
ソフトウェア開発管理技術	3	1 問
サービスマネジメント	3	1 問
システム監査	3	1 問
合計	-	25 問

技術レベル 3 が応用情報レベルで、4 が高度試験レベルです。

つまり、難易度が上がるのはセキュリティとネットワークだけで、他は応用情報の知識で行けます。

また、セキュリティの高度試験レベルの知識は、午後対策の中でほとんど覚える（覚えなきゃやっていけない）ので、わざわざ午前 Ⅱ 対策として時間を割く必要はあまりないです。少しはあります。

ネットワークは知らん。ノリで。

とにかくひたすら過去問道場を回しましょう。

まとめ

基本的に、午前 Ⅰ 試験を免除できれば、午前 Ⅱ 試験は過去問道場を回すだけ、午後試験に集中できます。

セキスペの勉強において最大のコツは、「攻撃手順と対策」「脆弱性と対策」をそれぞれセットで覚えることです。

個人的な体感で言えば、勉強の大変さは応用情報とそんなに大差ないかなと思いました。

と、ここまで偉そうに書いてきましたが、令和 7 年・春期の午後試験は過去問を完全無視した新傾向問題ばっかりで、ここまで書いてきたことはなああああああああにも意味ありませええええええええええええええええええええん！！！！！！！！！！！！！！！！！

オレは一体この三ヶ月間、何をしていたんだろうな。