情報処理安全確保支援士「webセキュリティ」対策法(得丸本関係・非SE素人向け)

記事の内容

---

支援士の午後問題における「webセキュリティ」（※１）について、非SEの素人でも対策が可能な方法を記載する。

※１　本稿では、XSS・CSRFなど「安全なwebサイトの使い方（以下「ＩＰＡ本」。無料！）」で扱っている分野で、かつプログラミングが必要のない問題をいう。

安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

なぜこの記事を書いたか？支援士対策における問題提起

---

支援士の午後問題では、R3秋以降においては「webセキュリティ」がほぼ確実に１題出題されている。
非SE素人が「確実な合格」の観点から大問を２問選択すると、次のことが起こる。
１　「ネットワーク／認証」を１題選択
２　「プログラミング」「開発系（※２）」を避ける
３　点数が不安定な国語問題の「マネジメント」を避ける
　　「マネジメント」が出題されない
４　「webセキュリティ」を選択せざるを得ない

※２　R6春1・R5秋3のような、プログラミングとwebセキュリティ以外のweb開発系の問題。業界内の常識を前提にしていることが多い。簡単に感じるならそちら選択でＯＫ！

しかし、参考書やネット上の記事含め、いったいどのように対策を行ったら良いかの情報はほぼ皆無である。
また、市販の全ての「支援士用参考書」では、「webセキュリティ」対策の内容が不十分で、これらを用いて対策することは絶望的である。
私個人の体験だが、参考書の情報を全て暗記しても、過去問で見知らぬ知識やより細かい知識が求められることもあり、参考書は信用できなかった。

そこで、私はweb開発に全く携わったことのない素人だが、独自に戦略を立ててR6秋試験に合格できたため、攻略情報を受験者に提示したいと考えた。
本稿は、ネット上や参考書含め、現状は世にほぼ存在しない記事だと思う。
（存在していたらごめんなさい。筆者は受験期に出会えず困りました！）

筆者のスペック

---

・私立文系大卒。
・事務系総合職。
・中規模企業の「なんちゃって情シス」部署を約５年。SE業務は全委託。
・苦手科目：数学、物理
・嫌い科目：国語
・取得資格：ＳＣ【R6秋・未登録】、ＮＷ、ＡＰ、ＦＥ。全て、近年一発合格。

記事の対象者

---

・支援士受験者
・web開発に全く携わったことがない方（非SE想定）

webセキュリティの学習方法

---

(1) 基礎知識の学習

・webセキュリティは「市販の参考書」に十分な解説がない。「ＩＰＡ本」をサラッと読もう。このたった１００ページ超が、問われる範囲だ。しかも、プログラミングでしか問われない「バッファオーバフロー」は飛ばして良い。
・ＨＴＭＬに自信がなければ、youtubeにある初歩の動画や入門書を流しても良い。ＣＳＳはほぼ出ないので細かく覚えなくて良い。
だが、基本的には「過去問がなぜその解答になるか」を調べたり、「得丸本」のスクリプトを読解したりすることでスキルは身につくので、時間は掛けない方が良い。

(2) 過去問

IPA午後対策は過去問が命という。過去問でどう問われるか身をもって知る必要がある。
過去問を解く上で、以下の「得丸本」は心強い味方となるので用意すべし。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

具体的な過去問の回し方は、次の流れになる。
①後述の過去問を解く（１７問）
②参考書等の解説がある場合は読む
③理解を深めるため、問題解説やHTML等の基礎知識をググる、youtube検索
④ＩＰＡ本の該当箇所を参照
⑤（余力があれば）得丸本の該当箇所を参照
⑥過去問を理解したら、「過去問」「ＩＰＡ本」（余力があれば「得丸本」も）を用いて、周辺知識を含めた独自の解説ノートを作成

過去問は、以下１７問を解くと良い。webセキュリティが主な出題となっているものを厳選。これ以外の問題でも、部分的な出題はある点に留意。

R6秋4、R6春3、R5秋1（※）、R5春2-1、R4秋1-1、R4春1-2、R4春2-1、R3秋2-1、31春1-1、30春2-2、29春1-2、28秋2-2、27春1-1、24秋1-1、24秋2-1、23春1-4、21春1-2
※JSのプログラミング問題だが、他の問題ほど難しくない。非常に良問なので、少しでもJSが読めればオススメ。

nanchaneの集計結果

過去問は最低３週。１週目の途中から、以下の「(3) 「ＩＰＡ本」「得丸本」で更に深める」と交互にやると良いかも。直近の過去問は取って置き、力がついたら取り組んでみると簡単に感じるはず。

(3) 「ＩＰＡ本」「得丸本」で更に深める

「ＩＰＡ本」をノートにまとめ、全暗記していく。
余裕ができたら、「得丸本」のうち試験で問われる範囲を読み解き、ノートにまとめて暗記する。

以下の記事の優先順位で取り組むと良い。こちらも唯一無二の情報のはずだ。

「得丸本」の活用法は次の記事にまとめている。同様に唯一無二の情報だと思う。

私は、ノートは最終的に合計２０枚程度（裏表あり）になった。
記述回答対策として、重要な説明をピンクのペンで書き、赤シートで隠して覚えた。以下、頻出事項の例。太字をピンクとして暗記。

Content-Security-Policy：XSSの対策。スクリプト・CSS・画像など全メディアをサイト自身のオリジンからのみ読み込む。HTMLページ内のJSも禁止される（これは同一オリジンだが例外的に禁止される）。HTTPレスポンス出力方法→Content-Security-Policy:default-src 'self'

nanchane個人のノートより

この工程が８割終わる頃には、以前は絶望的に感じた過去問も、「なんだ、ワンパターンじゃん」「またこれか」という感想になる。同じ人間が同じ思考で同じ問題を作り続けていることに気付くので、出題予想も容易になり、ヤマを張ることもできる。

なお、「得丸本のうち試験で問われる範囲」がどの部分か、どのように活用したら良いかについては、ニーズがあればまた記事にしようと思う。
ググれば分かるが、現時点で世に存在しない情報であるため、私は受験当時にとても困った。

おわりに

---

以上の内容は、私が受験に際し独自に分析し、戦略を立てたものだ。そのため、最終的には受験者ご自身の目で過去問を確かめ、ご自身にあったより優れた対策にアレンジし、確実な合格に繋げてほしい。

受験者の方に少しでもお役に立てれば幸いです。お気軽に高評価やコメントを頂ければと思います。攻略のための独自データ等々、更なる執筆に繋げる力になります。

※20250201　具体的な推奨過去問を明示するよう改変。その他、微修正。

★関連記事は次のとおり

支援士関係では、こんな記事を書いてます。