情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

令和6年春期試験 試験全体についての投稿を受け付けるスレッドです。

おはよう御座います。ついに試験日になりました。お互いベストを尽くして合格しましょう！

今日は全国的に天気が悪いので試験会場までは余裕を持って気を付けてくださいね
あと私は今回午前１だけ受けて帰りますんで、私の代わりに誰かが合格してもらえると幸いです🌸

12分前にでましたが、3と4にセキュアプログラミングの要素があり、秋とはだいぶ傾向が違いました。

午後難しすぎる

午後は問2しかまともに解けなかった。

時間足りなかった

問一と問二を選択しました。
問一：普通（かやや難より）
問二：簡単

って感じでした

むず過ぎだろ。

午後がまさかのアプリより問題が3つ。
問2は確定したが、結局問1を選択せざることになり想定外でしたね、なかなかですね。

セキュアプログラミング2問は泣きそうになった。。

開発エンジニアですが、まさかの3/4開発寄りの問題で解く問題初めて悩みました

問1も意味不明。
単なる組織のシステム担当者じゃわからないような問題

1と2選びましたが1に1時間30分かかり、2を書き切ったのが1分前でした。
1は問題文10ページだし登場する会社やサービスが多くて何回も読み直して時間を食いました。

令和5年秋57点落ちで、あと一歩と思ったら何これ……問34セキュアプログラミング、問1も前半はWEBサイト構築未経験者は未知の問題だらけ。ふるまい検知も限界です。

選択の幅広まってないですよ……
単にIPAが作問の労力減らしたかっただけなの？

社内SEのようなマネジメント人材お断りならそう断り書きしてほしい。

時間配分ミスって文章読みとくのにかなり時間をかけてしまった結果解答ちゃんと埋められず、無事さようなら.......次頑張ります！

1と3解こうと思ったけどあかんかった
全く意味わからん

やらかした
問題選択迷いすぎてパニックって時間使い過ぎた結果問題特時間なくなって問一ほぼ白紙になってしまった。
内容的には解けない問題じゃなかったんだ…

技術を学ぶ方に時間をかけるんじゃなくて
問題選択の基準をちゃんと考えて置くべきだった。

午前1だけ受けて帰っても午前1ちゃんと採点されんの？知らんかった…午前2以降一分も勉強してない俺の5時間の虚無返して

1.3に比べて文章量が少ない4選んで空白提出しちゃいました、、。どんな対策をしたら良かったのか。

問3はセキュアプログラミングというより攻撃手法の把握に近いと思いました

いつもは2.3あたりを選ぶけど、3がセキュアプログラミング色強そうで4を選択
4もソースコードの結構問題がふくまれていたから、今回はプソースコード多少読めないときつい試験でした

出るとは思ってたけどセキュアプログラミング多めで驚いた。とはいえ実装から離れてるから得意でも無く2.4選択しました。

アイテック模試B、TAC模試Aで、今度こそ取れると思ったのに。合格点にプログラミング問題必須なら社内SEの私はもう受けません。理不尽さが先に来ました。

セキスペの立ち位置的にマネジメント系の問題があるべきだと思うけどなぁ、、、

攻め方の具体的な方法考えるのは楽しかったけどセキュアは苦手だからきつかったなぁ

個人的には勉強しないと合格ラインいかないから午前の方が難しいんですよね。。

午後は自分の読解力と知識を組み合わせるゲームだから、勉強するのではなく、ちゃんと読んで解けるかなので、勉強の必要がないのはいいんですよねえ

次回セキュアプログラミングバッチリやって挑んだら、
マネジメント系3問出て爆死する未来が見えます。

最初に4決めて、そのあと1,2で悩んで1にしたんだけどやっぱ1はきつかった。
2,3が記述多そうで逃げてしまったけど、反応見る限り2が簡単だったのかねえ
ただ個人的には開発寄りでマネジメントが苦手だから、今回の傾向は助かった。
体感はぎりぎりだったんだけど、受かってるといいなあ、、、

以前の午後一、二形式のがよかったなぁ
チャレンジし始めが試験変更なった後からだからつらい

午後問4わかるようでわからない。。。。無事爆死

むずすぎ。
2はすぐ解き始めたけど、1、3、4のどの問題見ても解けそうになく、それぞれ10分ほど挑戦してはあきらめ、を繰り返し結局3を選択。
もういいや。

今回2回目。非IT職なりにも認証認可やNWをそれなりに勉強しましたが、3/4コーディングで解けず。
非エンジニアは情報処理支援者を目指すなというIPAからのメッセージだと思いました。（言われてみれば確かに過ぎる笑）
今回で諦めます。。

前回59点。
今度こそと思って、蓋を開けたらこの偏りよう。
自分には安全確保できそうにないです。

難しいようで読んでいけば、意外と簡単だった午後問題。
しかしながらコード読ますの多すぎ問題。普段からwebサーバ立てて脆弱性の仕組み理解してないと厳しいね

途中で咳が止まらなくなり敗北しました。
ロバートソン自律神経学を読んで出直します。

シラバス変更で次回からAIの分野が入ってくるので完璧に詰んでて草
もうデータベーススペシャリストにしますw

新形式です！と発表して、令和5年秋問4のような論述問題を出して、マネジメント受験者集めて壊滅。

酷すぎです。マネジメント人材は開発経験者の噛ませ犬ですか？


問2で出来なかった問題は自分の不明を反省しますが、他はクソゲーやらされた心境です。
応用情報のように科目別で作問してください。

今回の１，３，４とかって、プログラミング分かっている人にとって逆に楽勝、、、位のレベルなんでしょうか？

あまりにも傾向違ってびっくりだったのですが、今後の勉強量の参考にと、、、

問3パスワードそのままでワロタ

午後は酷かった。
今回受かるのは開発やってる人だけかなぁ

よくよく考えたら情報セキュリティマネジメント試験があるんだからそら開発者よりの問題にもなりますわなw
次回の半年までにセキュアプログラミング+AIでも勉強しますかな

問3の会社攻撃したいなあってニヤニヤしてたら試験終わったンゴ

みんなブチギレてて草

秋の試験は大幅に受験者減りそうだな

DMARC周辺出るかなと思ったけど、多分次かその次やな

DMarcは、すでに出てるからでないみたいなことをとあるセキュリティイベントで言っていた人いたな。
それより、AI出ないことにびっくり。

午後難しかた〜。。また落ちたかなこりゃ
受験料も値上げしたままだし、そろそろ引退しようかしら

「セキュリティ関連業務、及びそのタスクは、経営層及び戦略マネジメント層寄りのものから実務者・技術者層寄りのものまで、多岐にわたってきています。近年は、DXの取組を通じたクラウド化、DevSecOps等の動きの中、各分野の境界は曖昧化の傾向にあります。SC受験者が従事するセキュリティ関連業務の多様性の高まり、境界の曖昧化の傾向等を踏まえ、今回、午後Ⅰ試験と午後Ⅱ試験を統合して問題選択の幅と時間配分の自由度を拡大しました。」
という経緯で午後試験の変更を行ったのはなんだったのかってぐらいプログラミングに偏ってましたね。
一生懸命勉強したのはなんだったのかって感じでした…。疲れました…。

令和５年秋季と比べて難易度はどうでしょうか？

むずすぎわろた
推理問題もっと出してほしかったわ

問題の難易度的には変わらないとは、思うけど、いかせん出題範囲がね

キーワード答えさす系が一気に減って草

紙面の都合上難しいのかもしれないが昔みたいなインシデントハンドリングはもう出てこないんだろうか。思ってたのとあまりにも違い過ぎて撃沈。。。

セキュアコーディング減少傾向って言った人誰？
緑本も村山本もセキュア以外ほぼ効力なかったよ。
私たちは買われた。

確かにキーワード系とか選択系はほぼ皆無でしたね。
いつもなら最後の方に配置されてる系の問題が、満遍なく配置されていた感。。

個人的な文句
・会場入室前にスマホをバッグに入れろと張り紙があるのに入室後に過去問道場かなんかを見てるやつ
・試験の説明が始まってるのにスマホいじってるやつをみても注意しないスタッフ
・受験票には駅から会場（大学）まで徒歩5分とかいてあるが、実際の会場までは10分以上かかる
・めちゃくちゃ香水臭いやつ
・試験中貧乏ゆすりで机揺らすやつ
・何かあったら手をあげて合図しろと言うのに、あげても全然気づかないスタッフ
・トイレの数が受験人に対して少なすぎる

web開発者以外受かるの今回？(笑)
むりでしょ
偏りすぎ

ホント、緑本も村上本も通用しませんでしたね。
アイテックの総仕上げ問題集もダメでした（ネットワークやインシデント対応）

アイテックとTACの模試も受けましたけど、どっちもコーディング回避できるようになっていました（TACはそもそもコーディング出ていなかった）

使える参考書や模試すら無いって、IPAの「学習を進めてほしい」は、実務でやれってことですかね。

「SC受験者が従事するセキュリティ関連業務の多様性の高まり、境界の曖昧化の傾向等を踏まえ、午後Ⅰ試験と午後Ⅱ試験を統合して問題選択の幅と時間配分の自由度を拡大しました」

多様性ゼロ。

ほんと参考書役立たない国家試験ってなんなんだろう。道を間違えた。税理士や司法試験、医療が良かったなー

傷のなめ合いじゃないけど、同じ様な感想の人がいて少し留飲を下げました。

問題の選択に何分かけました？
私は、問題を2回変えて、30分ほど無駄な時間を使いました。これは正しい判断だったのか。6割取れないと判断するまで1問10分はかかる気がするのですが。

3と4選んだけど、もしかしてミスった？
受かってる気がせんわ

問2、問3はとっつきやすい気がしました

問4の例外処理問題、とりあえず知ってる例外……！！ってIOException入れたけど普通に間違えてたわ
実務でコーディングやってないとわからんわ

例外処理を書けって無理！実務でやっててもいちいち覚えてない！eclipseがやってくれるから！！！

午後、まず問２、その後問４しかし無理と分かって問１に変更
１０分ロスした。。。
全部埋めたがとりあえず埋めました的だし
応用持っているしそれで十分かも。高みを目指すといっても今の実力ではさすがに現実とかけ離れすぎだわ。。。

今回はあまりにも偏りがありましたね…
情報処理確保支援士は欲しいけど、Web系をやってない人間は要らねっていうメッセージなんですかねぇ…？

前回から傾向変わりすぎて草
前回は簡単すぎたのかねえ
知識より文章読解して脆弱性をどう悪用するか、どう対処するかの問題多かったような

セキュアプログラミングを選択したエンジニアは簡単から普通の難易度という感想なので、システムアーキテクトやエンデベッドみたいに開発者向けの資格になってきましたね。
文系出身のエンジニアは、高度区分の資格が欲しければプロマネや監査の論文を頑張るのが近道なのかもしれません。

同じ意見の人ばっかで助かる
解答用紙見た段階でハズレ回だなぁとは思ってたけど
大ハズレすぎでは？
IPAの判断基準が脆弱だわ
お問い合わせフォーム行きだな

新制度初年度の昨年の荒れ方も大概だったけど、今年はそれ以上で草

今日は涙で枕を濡らします。

私の場合は、選択した問については一応全て回答はできたので、そこは前回から成長できた部分かと思います。
後は天命を待ちます。それに加えて、たった今から次回の試験のために勉強を続けていきます。

管理人様へ、
このスレですが、結構罵詈雑言に近い書き込みが見受けられます。
内容の削除などの対応をお願いできますでしょうか？

会場で頭まっしろになってたのがワイだけじゃなくて良かったわ…

前回失敗したから今回に賭けてたのにな
どうすっかなこれからー

今回はハズレ。
午後でこの問題の傾向が続くようなら確実に受験者は減る。

ただでさえバカ高い金払って登録するやつなんて少ないのに何がしたいんだ

・社内SEのようなマネジメント人材お断りならそう断り書きしろ
・合格点にプログラミング問題必須ならもう受けない。理不尽さが先に来た。
・非エンジニアは情報処理支援者を目指すなというIPAからのメッセージ
・クソゲーやらされた心境
・……という経緯で午後試験の変更を行ったのはなんだったのかってぐらいプログラミングに偏ってた

みたいなことを書かれている諸姉諸兄に言わせて下さい。

あなた方の書き込みでちょっと救われました。

ここのみんな大好き。

他の受験者様の解答を見てきて今回も落ちたなと絶望してたけど、ちょっとだけ救われました。

今日のネスペを受けた者ですが、ルーティングプロトコル知識なくとも、DKIM、SPFなどのメール関連が分かってればpassできる内容でした。
もうIPAは曖昧な出題範囲で『運ゲー』化するのは辞めてほしいです。

問３、多分２点とかｗｗｗｗｗｗｗ

午後の内容、ネットワークインフラ系のエンジニアにとってあまりに不利すぎない？
6割届くか怪しいし、こんなことならネスペの方受けるべきだったわ、時間無駄にしたかも

今回ネスぺがやや簡単＆支援士のようなマネジメント寄りの大問もあったから
支援士→開発系
ネスぺ→マネジメント系
のように住み分けされていく可能性もありそうですね。

次回の支援士午後は4問オール開発系(セキュアプログラミング)もあり得る気がします。

午前２できた～からの午後の落とし具合、えぐすぎです！
IPAは全体的構成をきちんと考えて作問してください！

午後2過去問の勉強量が足りてなくて厳しいなとは思ってましたが、
ここまで出題内容が変わって、傾向も偏っているとある意味吹っ切れましたね

セキスペ合格済みですがリスキリングを兼ねて久しぶりに受験しました。

勉強はしましたが結果は不合格だと思います。
そして二度と受験しないと心に決めました。

今回は出題が偏りすぎていて驚きました。
国家試験ならば一貫性を持つべきと思います。

こうしてみると昨年秋の問4が神問題に思えてきた

午後受けたときの俺
開始直後:ざっと問１から問4まで見て、コード見て答えさせる大問多すぎという感想。こりゃ今回落ちたと思ったけど、もったいないから問2は行けそうだからやる。問１は設問1のキーワードわからないから捨てる。問4は数字多くて計算させられそうな感じだったので捨てる。問3は定番且つ玉が残ってないから問3やらざるを得ない。

問2は75分かけて、納得がいく内容(合ってるとは言ってない)で埋められたのでちょっと安心。
問3は２ページ目の構成と概要をよく読むとガバ構成なので、行けるんじゃね？と思い解いてみると案外注釈に助けられて60かけて空欄はなく回答(合ってるとは言ってない)。

残り時間は試験番号と生年月日に間違えがないことを確認して試験終了！
天気も悪いので居酒屋にも行けず、疲労感だけ残って帰路につく

今回の問題は簡単とは言いませんが、難しくはないですよ。
「コードが読めないから無理ゲー」と運営を責め立てるのはお門違いですね。
今までコードが全く読めないのに、情報安全確保支援士に合格できるようになっていたのが問題です。
その点では、今回の試験は是正してくれた訳です。

現に問４のコメント欄見てください。
平均点は高めな印象で、６割はだいたい皆さんいけてますからね。
問２に至っては、皆さん実は高得点っぽく７割が平均点でしょうか。
問１・問３であっても、やはり５割はありそうです。

得点調整はあるのでしょうが、せいぜい数点上がるかでしょうかね。
問２にいたっては、点数下がるかもしれないですね。
問題ごとに不公平にならないように得点調整されるんで。

応用で免除もらってたので受けてたのですが午後むずいですね、次から午前1も受けないといけないのがだるいです…

経験はないけどセキュリティをどうしても学びたくて、APを飛び級して受験し続けて3回目、、、1,2回目も50点台後半というあと少しの感じ)
もう諦めてAPをちゃんと受けた方がいいのかなと思うけどセキュリティは興味があるからやりたいというモヤモヤした気持ちです。。。

ネスペの午後Ⅱでは、セキュリティのメールの分野が出たそうです。中身ちゃんと見てませんが、SCの過去問をちゃんと演習してた人は、おそらくこちらの方が皆さん解けたのではという印象でした。

ネスペもいつかとりたいなぁ

＞今までコードが全く読めないのに、情報安全確保支援士に合格できるようになっていたのが問題です。

その意見はわからぬでもありません。
たぶん、はっきりそういう方針を打ち出されていれば、私を含めここでブーたれてる人もコードの勉強するなり諦めるなりしたでしょう。

しかし「う～ん。厳しい」さんの書き込みを引用しますが

＞「セキュリティ関連業務、及びそのタスクは、経営層及び戦略マネジメント層寄りのものから実務者・技術者層寄りのものまで、多岐にわたってきています。近年は、DXの取組を通じたクラウド化、DevSecOps等の動きの中、各分野の境界は曖昧化の傾向にあります。SC受験者が従事するセキュリティ関連業務の多様性の高まり、境界の曖昧化の傾向等を踏まえ、今回、午後Ⅰ試験と午後Ⅱ試験を統合して問題選択の幅と時間配分の自由度を拡大しました。」
＞という経緯で午後試験の変更を行ったのはなんだったのか

という疑問がわくわけですよ。

「コードを読めないセキスペは問題がある。コード読めないなら情報セキュリティマネジメントで満足しておけ」とはっきり言ってくれなかったことが不満なわけです。

過去問全然解かずに諦めモードで挑んだweb屋だけど午後問1,3選んで楽勝だった
実務経験あるなしで全然違うねこれ
マネジメントとインフラの人はどんまい

憶測の行きでしかないんだけど採点調整がされる場合って片方満点片方0点の様な取り方をした人って望み無しですかね💦
両方ずつ半々くらい取った人だと、それらがどっちも難しい問題だったら両方底上がってギリ６０あるかもしれないですが各問の満点が50点である以上、全体を見て偏った得点の仕方をしてしまったら可能性無しって感じなんですかね？
採点ロジックは公開されてないし、憶測の話なのを前提、承知の上で見解や意見をお聞かせください

IPAさん、せめて4問中1問くらいはリスクアセスメントかインシデントハンドリングの問題にしませんか？
2問/4問がセキュアプログラミングは偏り過ぎ。

＞採点調整さん(No.111)  
さすがに０点は０点のままですが、
例えば問１：４０点、問２：１０点稼げてたとして、
平均点が問１：３０点、問２：２０点だったとします。
平均点を３０点になるように得点調整したら、
問１：４０点、問２：２０点で６０点のラインを突破できる可能性があります。

数点でも稼げていたら救われる可能性があります。
ただし、０点と満点は得点調整しませんので、逆下駄も下駄もありません。

＞採点調整さん 

勝手な憶測ですが、問題毎に6割超えが20%くらいになるよう調整されるんじゃないでしょうか。

１問完答１問白紙で、完答問題だけで下駄履かされて6割超え、みたいな調整はしないんじゃないかと……

ヘタレマネジメント系ですが、何となく手ごたえは感じています。
問2はすぐ解けました。
残り1問をどうするか迷いながら、問3と問4は難しそうなので、問1にしました。
最初、訳わからんと思いながらも文章と設問とを照合していったら何となく解けた、と思っています。
気落ちするほどでもないので、落ちてもまた秋にアタックしようと思っています。

今回セキュアプログラミングが多いということは答えも一意に定まりやすく部分点もあまり期待できないんじゃないですかね…

秋季でも引き続きコード中心の問題になると思うので、まだ午後問としては出ていないSQL絡みのDBシステムの問、メールシステム系の問、webアプリ系のXSSCSRF問題は続投で出そうですね。

>  ルーキーさん
>  過去問全然解かずに諦めモードで挑んだweb屋だけど


今後の参考までに聞きたいんだけど、実務経験なしの場合、何勉強すればいいですかね？
応用とかコーディングを避けてきたけど、向き合ってみますわ。

「コード読めないセキスペに問題あり」って意見も、厳しくて悔しいけど、そのとおりだと思うし

コードを読む能力を求めるならば別の試験区分を設けるべきです。

何年の試験に合格しても同じ情報処理安全確保支援士なのですから、試験に差があるのはおかしいと思います。

今回午前１だけ受験した民ですが、自己採点した結果80点で通過できました。
次回のシラバスからはAIの分野も追加になり更に荒れそうなので、業務でも扱っているデータベーススペシャリストを受けようと思います。
それでは、ほなまた～

3度目の挑戦で問1と2を解きましたが、個人的には前回よりも解けた印象です。
（前回は問2と4を選択。おそらく4で点が稼げず落ちた。）

問3はSSRFの話がちらっと見えて、あまり詳しくないので選択せず。
問4は実務で使っているJavaではあるが、問1のほうが解きやすそうだった。

各社の解答速報待ちではありますが、問1と2両方とも6割は超えたのではないかという予想をしてます。
前回のほうが難しかったと思っています。
受かってたらいいなあ。

問4のように、プログラミング問題は3言語出来ないと事故るので厳しいですが、

HTTPリクエストやレスポンスについてより学習できてれば、問3を選べたのでまだマシだったかなと思いました

HTTPに関してこういったリクエストやレスポンスを含めて学習できる本とか無いんですかね…？

問２はやはり皆さん高得点のようですが、問題の選択による不公平を防止するために得点調整が行われます。
問２は逆下駄が発動しそうですね。
５０点（満点）、０点の人はそのままでしょうが、
４０点だと３５点や３０点に引き下げられたりはあるかもしれないです。

Aさん「情報処理安全確保支援士です！」
B部長「Aさん、このWebサイトの脆弱性診断についてご相談が」
Aさん「セキュアプログラミングは選択していないので無理です」

B部長はAさんの代わりにBさん情報処理安全確保支援士（登録セキスペ）に相談することにした。

問１と問３は若干の下駄ありで５点くらい加点がありそうですね。
問４は標準的な問題なので下駄は無しかと。

ちょっと今回は酷すぎますね。汚い言葉を使う方の気持ちも分かります。私含め心が少しだけ救われている方もいるようで。
応用の時から思っていましたが、市販の参考書で対応できない出題に何の意味があるんでしょうか。

問４はプログラミングで避けた人いるかと思いますが、
try catch finallyが分かっているだけで解けてしまう超基本問題が入っていたり、開発やってなくてもそれなりには解けてしまう問題でした。
問１や問３は答え割れてて結構難しそうですね。
下駄無しよりは有りの可能性が高いかと。

ならセキュアプログラミング必須問題にしてせめて開発言語選ばせろよ…
久しぶりにC言語の問題やりてぇわ

旧基本情報ライクな開発系の問題いいっすね

こんなの運ゲーやん
プログラミング経験なくても受かると思ってたのに。。。

セキュアプログラミングが大事なのはわかるが
だったら午後を1と2にわけたままにして
1は今まで通りで、2はプログラミング必須にしますとか言えばいいのに

有象無象がここで何時間議論したってIPA様の判断で覆るんだから合格発表を待つしかない

冷静になってさんに完全に同意です。
正直、Javaとか基本的な開発言語を知らない人はエンジニアを名乗る資格がないですし、
インフラとかやってる人はプログラミングから逃げてきた人が多い→楽な方に逃げてきた人生を送ってきたんだなぁって思います。
Javaならjspやサーブレット当たりまでやればJavaの文法もわかるようになりますし、Web系の知識もついて一石二鳥です。
今回落ちそうな人はJavaをマスターしましょう！

やぱ問２簡単だったのか
問３の書く文章量多すぎてもはや内容覚えてないけど

すみません支援士を受けたつもりが、実はJava検定だったみたいですね。出直してきます。。。

そこなんですよ

特定の言語を出すならIPA推奨！とか発信してくれないと。バックエンドのSQLとpythonしか書かないので、、こんなテストのために別の言語を学ぶ気はないのでもう受験辞めます。

SQLとpythonもワンチャン次回からAIの分野が追加されるので可能性としてはありそうなんですよね…w

＞エンジニアを名乗る資格がないですし

エンジニアじゃなくて情報処理安全確保支援士を名乗る資格なわけですよ。

別にプログラミングやらないと言っているわけじゃない。必須ならば必須と要項に謳えば、誰も文句は言わないでしょう。
ですが資格試験である以上、まずは受かることを重視するわけで、わざわざ苦手な分野で試験受ける理由もないし得意分野でも満点必須なわけじゃない。
楽に生きてきたとかじゃなく、出題が偏った時にたまたま得意分野だった人とそうでない人がいただけでしょう。

そもそもこういう抜き打ち的な出題傾向のブレが、官民共に不足している情報セキュリティ人材の育成とか、目標数に届かない情報処理安全確保支援士の登録者数増に寄与するんですかね？

IOSでACL編集してネットワークセキュリティ担保しろって問題だったら喜んで解くのに
出たらブーイングどころの話じゃないでしょうけど

Java silverは独学で取りました。支援士の前にベンダー資格から基礎固めが必要な時代に突入したのかもしれません。

そもそもコーディングなんて今時自動生成の時代だしこれからAIが活用されれば…でしょ？
数年も経てばセキュアプログラミングなんて出題されなくなるでしょ！

認証系が出ると踏んで勉強しましたが、ほぼ出ませんでしたね。何だったんだ…
プログラミングはCの経験（個人的な趣味）がありますが解けないと思い問2と3に逃げました。
元々プログラミングの経験がある人は高みの見物でしょうが。
しかしセキュリティでやってくならプログラミングは必須とは思いますけども マルウェアの解析とかどうするつもりなのでしょうか？
もっとWeb系の勉強をすべきでしたねー

問1から問3で選べば言語とか関係なかったと思います。
個人的には結構良問だと感じました。
そもそも試験範囲として明示されている以上アプリとインフラは両方理解しておくべきで、片方に問題が偏るのは試験的に致し方なしかと。
毎年確定で全分野だすと片方切り捨てる戦略でも合格できてしまうので。

AIが範囲になるってことは
午前の過去問にあったAdversarialExamples攻撃とかいうやつみたいなのを午後に解くのか
Pythonもやらないといけない

PythonやJavaすら読めない書けない人間は業界から淘汰されると、、

IPA様は苦手なこと(セキュアプログラミング)でも合格のためなら克服せんとする真の精神力を持った技術者が社会にとって必要だと判断したんでしょうね。
これは社会に出たら当たり前のことですし「心・技・体」を兼ね備えたエンジニアになれるように皆さん頑張りましょうよ！！

国家試験にも関わらず、試験回によって開発知識必須orスルー可。
受験者の公平性はもちろん、有資格者の同等性が確保できますか？

問題自体に文句言ってる人はいないでしょう。
出題構成が、インフラエンジニアには太刀打ちできないにも関わらず、
IPAは多様な人材Welcomeのような告知を出しているから不満が噴出するわけで。

物議を醸した令和5年秋（の問4）でも、一応は問2と問4でインフラ・マネジメント出身者も挑戦できる試験になっていました。

支援士がセキュアプログラミング解答必須にするならそれでもいいです。
ただ試験要項にはちゃんと明記してほしい。
事前にわかっていたら申し込まなかった、という人が憤激しているのです（私もその一人）

今回は午後爆沈でしたｗ

あと午後の解答用紙、記述式のマス目と上下の回答の間隔が狭いから消しゴムとか消すといつも汚くなるorz

セキュアプログラミングって独学でどこまで身に付けられるのかな。。

今回落ちてそう
→プログラミング選択しなくても良さそうと思って手薄にしてたから
→秋季受けるならプログラムもできるように今から対策しよう
と思えば良さそうなきがするけども。

昨年度と今回足して2で割ったくらいが次の秋季の難易度だと思いますよ

私は基本・応用情報でもプログラミングから逃げてきたので今回の試験は厳しいなと思いました。応用はそれでも受かりましたが…支援士は昇給のため受けましたが、自分の実力のなさを痛感しました。私も解いてる最中はなんだこの午後問題と思いましたし、ここで言われている支援士ならプログラミングある程度理解しないとと言う意見もわかります。私はプログラミングに向き合うときが来たようです。この悔しさを原動力にしてプログラミングを勉強したいと思います。javaとPython平行で勉強したいと考えていますが他に学んだほうがいい言語はありますか？またおすすめの教材などあればご教示頂きたいです。

これを機に市販対策本も内容を刷新すべき

Web系でTypeScript、Java
AI系でPython、SQL
組み込み系でC、C++
といったところでしょうか。
組み込み系はここ数年出題されていないですしIoTブームも過ぎてるのでWeb系かAI系を勉強するのがありかと…

高校数学の試験で数2と数Bのどちらか片方が多めに出たくらいなようなもので、得意な分野が多めに出たらその人は受かりやすくなるのはまあ試験ってそんなもんだよねとしか。
問4必答ならセキュアプログラミング必須にしていないと話が違うってなりますけどね。

>IPAは多様な人材Welcomeのような告知を出しているから不満が噴出するわけで。
確かにこれは多少文言変えた方が良いかもしれないですね。不満を持つ人も出る。

どうせAIはPythonなんだし、Web問題もPythonにしてほしい

独占業務があるわけじゃないのに資格維持に講座代とるから
てっきり応用に毛が生えたくらいかと思って舐めてました
前回の秋季受けられなかったのが痛すぎる……
出直しですね～

すみません、舐めたこと言ってて午前Iの採点したら17問で足切りでした泣泣泣泣

IT経験とプログラム経験2か月（c言語のみ）でプログラミング問題完全に捨てるつもりだったからつらかった。
Cで組込みだからHTTPのGETもPOSTも使わないし、HTMLやJAVAスクリプトなんて全く分からない。
ただ、午後２は技術的はほとんどわかったし、問1もパニックって時間を浪費しなくて、ちゃんと時間をかけられたならある程度解けた気がするから、そこが致命的なミスだった。

問1って結局解くためにはどんな知識や経験が必要だったの？

もういいよ、どうもありがとうございました

趣旨からは脱線して申し訳ないですが、

Javaマスターさんの
インフラとかやってる人はプログラミングから逃げてきた人が多い→楽な方に逃げてきた人生を送ってきたって
インフラやってる人に対して失礼すぎません？

今までセキュアプログラミング避けて他知識固め打ちで通ってたのに
いきなり今日から突然通しませんって言われたらね
そりゃこうなるでしょうとしか

らいたさん、プログラミングの勉強なんてやめた方がいい。実務でプログラミングができるといっても、変えがきくから理不尽な要求をされるだけ。会社によって違うかもしれないが。。また、時間が経てば他人のソースになっている。
つまり、どうせ忘れるのだから。英語の勉強してた方がいいと思う。

市販の参考書で網羅できるのは５割
参考書で網羅できないのはダメだとかうんぬんは
情報処理安全確保支援士が資格のために存在していると思っているふしがある。
実業務で使用する前提の資格。

webアプリ業務からにげていては、実務で使い物にならない
別にDjango とかVue・reactとかの実装方法を聞いているわけでもないし
知識だけあります！コーディングはわからないのでそこらへんは対応できません！ってのがRISS名乗ってたら存在意義に疑問が持たれるわけで

そういう方は無理せずSGで十分なのでは。
実務で使用しない趣味なら割り切ってもらうしか

>Javaマスターさんの
インフラとかやってる人はプログラミングから逃げてきた人が多い→楽な方に逃げてきた人生を送ってきたって
インフラやってる人に対して失礼すぎません？

便所の落書きは気にしない方がいいですよ♪
何かすごいコンプレックスを抱えてるのでしょう！
もちろんインフラは大切な仕事です！

GETとPOSTの違いやクラスや継承、try catchの例外処理くらいは分かりますが、午後問題に太刀打ちできるレベルはどれくらいなんだろう

reactとかvueの問題であれば解ける気がする。
サーバサイドではなく、フロントエンドの問題を出しましょう。

> ていくさん
> 今後の参考までに聞きたいんだけど、実務経験なしの場合、何勉強すればいいですかね？

書籍に関して言うと、有名どころは徳丸本ですね
「体系的に学ぶ 安全なWebアプリケーションの作り方」で検索してみてください
アプリ開発者は一読すべしと推奨されています

でも、そんなん無理！って言われるかもしれないですが
やっぱり一度自分でwebアプリ作るのが一番学びになるかと
文字だけの知識と実際に手を動かした経験から得られるものってかなり差があると思っています
（自分はネットワークの勉強はCiscoのPacket Tracerにとてもお世話になりました）
ローカルでMAMPやDockerでPHPの環境構築して、わざと脆弱性のあるサイト作って攻撃してみるとかですかね

ネットワークスペシャリストの問題を眺めていたところ「JavaScript」の問題が出題されていたみたいなので情報処理安全確保支援士だけでなく今回の試験全体でソースコードを読む力が求められた傾向があったのではないかと考えます。

応用情報技術者試験もプログラミングを必須にすべき

大きめの会社で専任CSIRTやってるけど問2以外意味不明で草
インシデント対応とかリスクアセスメントが回ってくるまでガチャ回すかー

問２の
dとeに入れる処理自体は分かったんだけど、どういう風に分けて入れるべきかよく分からなかったんだけど、みんなはどうした？

>Javaマスターさんの
インフラとかやってる人はプログラミングから逃げてきた人が多い→楽な方に逃げてきた人生を送ってきたって
インフラやってる人に対して失礼すぎません？
もうね…お前がこうして掲示板に書きこみできているのは誰のお陰なんだと問いただしたくなりますよね😡

たぶんプログラミングが～と言っている人はすべてコードを理解しなければと思っているのだろう。でもSCで要求されているのはHTTPのリクエストからレスポンスの流れやコンテナの思想だけであって、コーディングは要求してないように思う。
今回の問１，２は非開発者科目だろう。
問３もプログラムの皮をかぶった攻撃手法だし、プログラマーからしたらこんなのをプログラムと呼ぶなと言われそう

はじめて高度区分の試験を受けましたが、これまでと傾向が違いびっくりしました。

他の高度区分（論文試験）も傾向と対策は難しい試験なのでしょうか？

ローカルのLinuxにApacheとtomcatとJavaとMySQLで構成した3層構造のアプリを実装してみるとよいかも

問1はともかく、問3はジャバスクリプトかHTML理解してないといけないからプログラミングの問題では？
HTTPのGETリクエストやPOSTリクエスト知ってるだけじゃ厳しいでしょ。

Apache...うっ、頭が

令和6年度の参考書は既に出揃っているので軒並み使い物にならないかも知れませんね
どの参考書もセキュアプログラミングにさほどページ数割いてないですから

凄い基本的な質問かもしれないけど、今までセキュアプログラミング避けてたからよく分からないんだけど普通のプログラミングと何が違うの？  IPA的には

普通のプログラムをするとCSRFトークン使わなくていいやとかクッキーの属性どうでもいいやになります。

インフラの人ってプログラムやらないの？
Goとかでコード書いてるイメージだけど

>論文試験についてさん(No.160)
プロマネしか受けたことがないので一般的な話ではなく限定的ですが、論述という意味では書き方にもよりますが変わっていません。アジャイルのプロジェクトを普段やっていると書きやすいかなあ、という設問にやや変わりつつありますが、ウォーターフォールでもまあ書けなくはない、みたいな感じの傾向ではあります。支援士ほどの実験的変化は見られません。
対策はシンプルで、ネタをいくつか用意して書けるように練習する、それだけです（三好本の作者とかの本だともう少しまじめにいってますが、実際そういうことです）

インフラでコードも書くけど、今回の問題が解けるレベルの知識あるかと言われたら完全にNo

インフラ屋だけど書くコードなんてshell/python/go/ps1くらいやから今回出題されたセキュアプログラミング的なところはやらんな・・・
やる必要あるってのはわかるんやけどなかなか実務でもやらんからな。

>ご参考までにさん(No.154) 
そうなんですよね。プロキシのPACとして書いてあったんですが、なんと右にスクリプトのブロック単位で日本語訳が書いてあったのです。もはや日本語の文章と変わらねえな、と内心思いながら今日解いてきました。

＞インフラとかやってる人はプログラミングから逃げてきた人が多い→楽な方に逃げてきた人生を送ってきたって

アプリインフラ持ってる会社だとプログラム書けない人がインフラ送りになるというのは業界ではよくある話で。

この掲示板に書き込むのは客観性に欠けてますけどね。

IP→FE→AP→FE→SGと、トントン拍子で来たので半年くらい勉強してSCチャレンジしてみました。
午前はなんとかなりそうな手ごたえ。
午後はR5秋の自由記述的な問題は避ける戦略で、設問選びに入りました。
ぱっとみて問4に行って粗々の答えを30分で埋めて、もう1問どれにするか迷いました。
掲示板に村上予想 REST, HTTP/3, IaCとあったので、大体どんなものか前夜に見てたので、問1にするかと思ったら、1問目と2問目がわからなくて挫折。
問3はIaCからみ？と思たけど、R5秋のリポジトリに関する問題で苦手意識があったのでパス。（村上予想 すごいです）
残った問2を選んでみたけど、設問2が自由記述的な問題で心が折れそうになりましたが、自分なりに筋の通った内容を書きました。
問4で70%、問2で50%、合計60%、、、、だったらいいなと思ってます。
受けてみての反省点は、事前準備では個々の過去問題を反復練習しただけでしたが、設問選びや2.5hの試験時間で2問解くことを含めて、訓練するべきだったと思いました。
今は憔悴して問題を振り返りたくもないけど、気持ちが落ち着いたら模範解答をこたえられるように一通り再勉強したいです。

IPAの中の人、部分点をつけてくださいますように。
みんなだと思いますが、ひたすら勉強して、苦しんで回答した答えだと思うので、少しでも救ってほしいです。

プログラミングなど実務経験なく趣味で受けてるので問2、問3選びましたが、特に問3は直近の過去問の応用なだけでそんな大変でしたっけ

試験直後はセキュアプログラミング頑張るぞ！と思ってたけど、業務で使わないし次回受験悩んできた
元に戻したら戻したで荒れるかもだし、今後もセキュアプログラミング必須かな？
あと上司に午後の成績報告するの、すごい嫌だな…

開発してる人、運用してる人などいろいろいるんだから、問題偏らせたらだめでしょ。
そりゃ普段から仕事で開発してる人は、そっちの方が得意なんだからそっち選びますよ。
答えみてても開発よりの考え方がないと、答えに悩むような問だったと思いますよ。

ただでさえ時間の少ないなかあれだけの文章読んで記述するんだし。
それで3問開発寄りの問題っていうのは、どう考えても全体的な作問の統制が取れてないと思います。

実務で使わないという理由で開発系のとこだけノー勉で今回初めて受験しました。午前は余裕でしたが、おそらく午後で落ちました。

後悔した私は受験後に参考書(緑の本等有名どころのやつ数冊）のプログラムの章を初めて開いて読んでみましたが、なんというか、参考書で真面目に勉強してても結果は変わらなかったかなって印象です。

開発系の実務経験ない人が今回みたいな形式の試験で確実に合格するには、やっぱ1からプログラミング勉強しないと駄目なんですかね？

(どうせ実務で使わないし、資格とるためだけに１から勉強するのも無駄だな〜って感じなので、それくらいだったら資格とるの辞めようかなって検討中）

まぁコレクター魂でとるには割に合わない資格かと
やっぱり何かに生かそうということがないと高度系はあまりとる意味はない気がします。

AI系の午後対策も必要なんですよね‥  は〜〜

あと、某氏もおっしゃるように参考書で網羅できるのは５０％でのこりは過去問をいかにやりまくるかと、副読本として挙げられるような本をいかに読み込むかですね
もちろん私も過去１０回分のすべての過去問を１，２回はやりました。

素点で65〜70点は取れたと思う。
あとは配点と得点調整次第、、、、
今年は難化なのか易化なのか

とりあえず、次回の秋試験は受験せずに傾向変わるか様子見しようかな。
次もまた開発系に偏った午後問題の傾向が続くならもう資格とるのやめにしよう。

(流石に資格とるためだけに１から開発の勉強するのは時間の無駄な気がするし、モチベも上がらん）

みなさん、
セキュアプログラミングに偏り過ぎだ！
とIPAに抗議の署名運動をしませんか？

プレスリリースでセキュリティ関連業務の多様化だとか、問題選択の幅を拡大とかで間口を広めたいと言っておいてこの有様だし、受験者を増やしたいんだか減らしたいんだか分からん
今回もし落ちてたら自分はもう受けない

まあ一応試験範囲だし、プログラミングを捨ててた人はセキスペというものを見つめ直したら良いと思う。自分がセキュリティのスペシャリストを名乗れるかね

逆にこんなかから選択できないなら勉強不足と暗に言われているだけ

むしろマネジメント系に寄りすぎて実開発やってる層が無駄だよね～AWSとか受けよってなっているのを引き留めに行く作戦なのではと

セキュリティベンダーでフォレンジックしたり事業会社CSIRTでインシデント手順書作ったりしてたけどセキュリティのスペシャリスト名乗れなさそうです...

前回問４を反省したのか今回は的がないみたいな設問はなかったな
自由記述はあったけど

>プログラミングを捨ててた人はセキスペというものを見つめ直したら良いと思う。自分がセキュリティのスペシャリストを名乗れるかね

一言一句同意します
問2以外答えられなくてセキュリティのスペシャリストと名乗るのは無理がある..と思っちゃうなあ
プログラミングって言ったって、意味のある英単語が並んでいるのだから読めばわかる部分も多い
気持ちはわかるけどね

これ素点でいくら取れてたら良いんだ
点数偏差が分からなすぎて絶望しきれん

裏を返せば開発者だって運用ができなきゃIPAが定義するセキュリティスペシャリストにはなれないことになるが
数ある分野においての偶然の得意・不得意で資格与えてたら公平性がないってこと

みなさんフルスタックエンジニアなんですね。
開発も運用もできるなんですご。
それなら受験資格を見直してもらいたいです。

春といえばNW！だった昨今、
今春は開発、API、コーティングがメインだったらしく大荒れの様相ですね。

でもセキュスペ受験できる皆様はそれだけで充分凄いですよ🌸👏

自分の家族なんぞ全員理系なのに私の仕事の話をしても何かなんだかサッパリわからん！って言いますもん。

秋も嵐になりそうですが、日本でこれほど難解な試験を日々過酷な実務をこなし吐きながらも勉強し、受験し続けるのは立派です。

マジで司法試験より難しくなってきたかも。

どうか自信をお持ちください。皆様は貴重な人材なのです。

人民解放軍がサイバー戦部隊の人員を1万7千人持っているのに自衛隊は千人とか二千人、でも民間も情報セキュリティ人材不足、みたいな報道が出て久しく、日本の情報セキュリティ人材の育成という意味合いでSCも出来たわけですよね。

たしかにセキュアプログラミングの経験が薄い人は情報セキュリティ人材としてはイマイチなのかもしれませんけど、でもそういうのがわかる人しか取れない資格、となると裾野の広がりも限られてしまいます。

士業とはいえ別に業務独占資格というわけでもないのだから、AWSとかCISSPとか他の難関資格と張り合うより多くの人に情報セキュリティ技術への興味を持ってもらえるような方向性の資格にした方が良い気がするんですけどどうでしょうね。

随分放置されていたのにセキュアプログラミングのページが去年の１０月に更新されてる。出るぞ。っていう兆候はあったのかもしれませんね。
次回の受験を最後にして他の資格を取ることにします。
https://www.ipa.go.jp/archive/security/vuln/programming/index.html

＞問2以外答えられなくてセキュリティのスペシャリストと名乗るのは無理がある..と思っちゃうなあ

過去五年の過去問どれを取っても初見で時間内に満点取れる、という人ならばセキュリティのスペシャリストの名に恥じないでしょうが、所詮6割の得点で合格出来る資格ですよ。
なのに今回たまたま得意分野の人だけ合格で良いのか、という話。

合格時点ではみんな不完全。
合格後も勉強を重ねて更新し、スペシャリストの名に恥じない力をつけることを求められる資格でしかないと思うのですが。

https://www.ipa.go.jp/shiken/kubun/sc.html
これ読む限りそんな的外れな問題だったと思えない
コーディングできなくたってセキュリティ知識があれば6割とれる問題だった
偏っていたのはそうだけど、明示されてる試験範囲の問題しか出てない
てかそもそもの話、試験って運要素が強いもので完全な公平さを得られる手段じゃない
たまたま得手不得手分野が出て点数が変わるなんてどの年代のどの分野の試験でも同じでは？
求められるレベルに達していなかったってだけの話でしかないと思う
何度も言うけど、前回と傾向違うじゃんって気持ちはわかるよ、わかるけどね

コードも読めないスペシャリストにコンサルや業務を頼みたいかって言ったらNOでしょ。時間と工数がかかってしょうがないよ。少なくとも今回のレベルの脆弱性診断が出来ないと話にならないね(ツールで手作業の手間を減らすくらいならOKだけども)。

プログラミングが厚くて今回受けた人は気の毒かもしれんが、プログラミングを避けられる今までの試験構成が異常だったんだよ。

流れ無視ですみません教えて欲しいです。
今回初めて高度試験受けました。

自己採点の結果、午前1は受かってましたが午前2は回答覚えてないのがあり丁度合否ライン。
・午前2まで受かってた場合、次回は午後からでしょうか？
・午前1のみ受かってた場合、次回は午前2からでしょうか？
・午前1のみ受けて帰っても、午前1は採点されたのでしょうか？

最低午前1免除のために！と思い今回は午前1だけ勉強して、
それ以降ノー勉で挑戦したのですが、実際に受験したらいけそうだったので悔しい…
皆さん言われてる通り午後は問2しか自信ないですが。

とりあえず午前1は受かってると思うので、秋試験に向けてSCの勉強始めます！

・午前2まで受かってた場合、次回は午後からでしょうか？
→NO
・午前1のみ受かってた場合、次回は午前2からでしょうか？
→YES
・午前1のみ受けて帰っても、午前1は採点されたのでしょうか？
→YES

うーん、昨夜まではこの意外な展開にやられた感ありましたが

とはいえ、このSC試験で合格必須の人なら、秋対策でプログラミング、アプリ開発側の
部分も基礎から習熟していくしかないですね。

結局、昨日の問題は変わらないわけで、気持ちの整理が必要ですが、計画的に学習するのみです。今日からまた1週間スタート。お仕事も頑張っていきましょう。

あくまで試験対策用にセキュアプログラミングを勉強するに当たって、おすすめの参考書ご存じの方いらっしゃいますか。
普段はゴリゴリの非I Tで、プログラミングに触れる機会がありません。

今回平均たかい？ひくい？

> ルーキーさん (No.153)
> 書籍に関して言うと、有名どころは徳丸本ですね
「体系的に学ぶ 安全なWebアプリケーションの作り方」で検索してみてください


情報ありがとうございます。
ひとまず読んでみます。

なにかアプリを作ってみようかな

今回合格発表が7/4と例年より遅いですね。もどかしい…。

まんべんなく開発、運用のスキルを測る必要があるというのなら、選択制の問題はやめたほうがいいと思います。
こういう問の分け方をするから不公平感がでるのであって、IPAが幅広い人材を求める方針で午後統一化させた方針にも合致するでしょう。

昨日ネスペ受けたんだけど、SPF、DKIM、S/MIMEと電子署名の仕組み、秘密鍵公開鍵とかが出て支援士受けてるかと思った。

別にコード読む問題を強制させることについてはいい。
それもできないのにスペシャリスト名乗るなってのも分かる。

でもこれまでの合格者でコード読む問題避けて受かってたやつはスペシャリストではないのかってこと。
同じ合格者でも今年度以前と以後で価値が違うね。資格の意味あるのって話。

コード読まなくても試験合格できる構成でしたっけ？
とりあえず片っ端から解いていったので、問題構成忘れました

問1,2,3に関しては、プログラムの処理に関する知識がないと厳しい問題が多数ありますね。

大問３・４はコーディングの知識が求められるのは分かるけど、
大問１・２はアプリケーションの処理の流れとパラメータの問題だから、
１がセキュアプログラミングかって言われると違うと思うのですが、どうなんでしょ？

個人的には問１のヘッダーの引数をNONEにして認証をすり抜ける所なんか
「ハッカーラボの作り方」の本の手口に似てて実践的だなぁと感心してたのですが。

あと問２の注意喚起文も
「クライアントソフトのVPNなのに、
  メールのURL踏んで出てくるダイアログなんてあるわけ無いだろ。
  まさかそれに馬鹿正直にパスワード打ち込む間抜けはいねえよな？
  それ罠だから開いても絶対踏むなよ」
をオブラートに包む実践的技量が問われて解きながらちょっと笑ってました。

昨年の秋の合格率が19％と高くなったからipaも焦って難しくしたのでしょう。今年は平年並みの12％くらいに落ち着くと思いますよ。
なんてったって去年より問題冊子のページ数が7ページも増えてるのが何よりの証拠ですよ。
経験がある人は解ける、ない人は解けない。これは、元からそうだと思います。
でも、年によってこんなに難易度の差を出すのはやめた方がいいと思います。去年合格した人が今回解けるんですかね？

ipaは合格者数を増やそうなんて考えてないです。
合格率を一定にするため、難化させたり、易化させたり、得点を操作するだけですよ。
こんな試験は元々平等じゃないんですよ。答案が集まってから得点調整する試験なんてダメです。
それに、選択式とはいっても、4問とも同じ分野の問題に偏らせることもできちゃいますからね。

今後ほかの試験でも午後の統一が進んでいくと思います。つまり、これまでの対策が通じなくなるということ。どんどん取りづらい資格になっていきますね。

結局、応用までのように問題分野が固定されない限り、確実に合格するには全分野どんな問題がきても対応できるようにするしかないんですよ。
それか、解ける分野出るまで課金していわゆる問題ガチャ回すかです。やっぱ運なんですね。私も今回思い知らされました。

ちなみに、資格試験て胴元は儲かるらしいです。

(私自身今回尽力したつもりでしたが、惨敗でした。転職に必要な資格だったのでこれで人生変わると思います。次回は都合上受けられないので午前1免除も終わりで絶望しかないです。)
以上たまっていたので長文になってしまいました。失礼しました。

話が通じない。。。

問題が的外れとはたぶん誰も思ってない。

そうじゃなくてさ、
「入試は数学と日本史選択出来ます。当日選択してください。当大学は幅広い資質の学生を募集します」とか募集要項で謳いながら、実際には日本史の勉強してないと受からない構成の問題出すのってどうよ？日本史問題やらなければ入学させない大学ならそれはそれでかまわないけどそう書けよ、入学試験料と他の大学受ける機会返してくれよ、
って感じの話。



ところで、もしコード読みが登録セキスペ必須のスキルならば、これまでコード読まない問題中でセキスペがコンサルしてる場面てなんだったんでしょうね。

IPAの試験料は全然理解できるレベルだとは思います
会場や会場運営コストに採点コストであの料金は全然納得です

AWSとか試験料金高くて、資格期限ありのベンダー系資格の料金に文句言うなら理解できますけどね

>らいひさん(No.214) 
昨年秋は21.9％ですね。最近の平年がもはや19％くらいなので、応用かなにかくらいの合格率に近いのは規定路線な気がします。
問4みたいにコードベースの路線にしたのは、解答が発散しづらくて楽なんでしょうね。前回みたいに解答が発散しやすくて採点の調整でボーダーラインが膨れ上がったのがイヤで今回答えがどうやっても限定されそうな感じに絞ってみたような気がします。そういう絞りの試験なら、調整してもそこまで膨れ上がらないので。
ただ、そのなかでも問4のgでセミコロンがあるくせにソースコードまたは具体的な処理で答えよってあたりが、妙な譲歩を感じちゃいましたね。

ネスペやデスペなら午後統一しても全然OKではあります。ただ、デスペの論理設計は午後2みたいにフルで時間を使えないと厳しいから、どうなんでしょうかねえ。
論述区分はムリかもしれない（いっそ午後統一して論述だけにしちゃうとか）けど、エンベに論述を入れたのは間違いなく失策でしたね。誰も幸せになれない。

マネジメント系もエンジニア系も広く人材募集すれば受験者増える。
それを問題傾向偏らせて試験毎にぶらしてバッサリ切ればリピーターも増える。
合格して登録した人からは登録料と講習会料集める。

(ﾟдﾟ)ｳﾏｰ


……とかならないよう祈ってます。

午後の記述問題って、例えばセキュリティマネジメント分野2問、セキュアプログラミング分野2問を出題するのでそこから2問選択してくださいって具体的に問題構成定義されてたの？

マネジメントもプログラムも出来るようにならなきゃ。
今までがインシデント管理多めだっただけで、今回からコードも含めて出題するよってことでしょ。

テキトーに問題眺めてたけど、いうほど難易度高いセキュアプログラミングの要素出ました？

私が解いたのは大問2と4でしたけど、4はJavaの基本構文を理解できるくらいの力はいりますが大体は適切なアクセス権限の設定だったり、システム構成と組み合わせて問題になる部分を指摘するって感じの内容で「インジェクションの余地がどうこう」とか「この処理内容だったらオーバーフローが起こるからダメみたいな内容はほとんどなかったと思います、午前1と2をちゃんと自分で考えて解ける人ならそれなりに点数は取れたんではないでしょうか

セキュアプログラミングばっかりだ！！！って言っている人、言語仕様上の実装の問題とかが出てくるなら言いたいことも分からんでもないですが、本当に問題ちゃんと読み込んだんでしょうか？別にJavaのベンダ資格が取れるような難易度ではないですよコレ？

それな。仮にマネジメント系が難しかったらコードの大問に逃げられるように対策するでしょうに。。

どういう処理を追加するかなどの設問がどの問にもありますよね。
そういう考えって考えられなくもないかもしれませんが、発想としては開発寄りだと思いますよ。

>いうほど難易度高いセキュアプログラミングの要素出ました？
全然出てない

なんでこんなに荒れてるのかわからん
いや正確には、主張は理解してるけど全然理屈通ってないから同意できないなって感じ

インフラ系のエンジニアです。今回は問1,2の問題を選択しました。
(大問3、4はチラ見で内容も確認していません)

ふぶさんも仰っていますが、
>別にJavaのベンダ資格が取れるような難易度ではないですよコレ？

大問3,4は徳丸本などを理解できていれば、対応できるレベルだったのでしょうか。
インフラエンジニアですが、普段の業務でWEB/API周りの概要を理解する
必要性もあるので、勉強すれば何とかなるレベルなのか確認したいです。

(自分でも確認しますが、言語・実装そのものを理解していなくても、WEB/API周りの脆弱性を理解してさえいれば、インフラ寄りのエンジニアでも問題が解けたのでしょうか。)

>そういう考えって考えられなくもないかもしれませんが、発想としては開発寄りだと思いますよ。

支援士なら脆弱性にどう対策するかコンサルできなきゃ無能でしょ

脅威の範囲は広いので、一人で全ての脅威になんて対抗するという前提ではないと思います。
IPAも試験を統合した経緯もそういう経緯と明言していますし。

Aさん「要件定義と違う急な仕様変更はやめてほしい」
Bさん「俺には難しくないから問題ない」

一生噛み合わないと思った

いや、そもそもそんな要件定義されてないよねって話をずっとしてるんだけどな
俺には難しくないじゃなくて、IPAのサイトに載ってる資格に求めているレベルの範囲内なんだから問題ないでしょと

>午後の記述問題って、例えばセキュリティマネジメント分野2問、セキュアプログラミング分野2問を出題するのでそこから2問選択してくださいって具体的に問題構成定義されてたの？

まさにそういうところなんだよね。噛み合わないと思ったの。

>午後の記述問題って、例えばセキュリティマネジメント分野2問、セキュアプログラミング分野2問を出題するのでそこから2問選択してくださいって具体的に問題構成定義されてたの？

されてませんよ？
受けた人ならばわかるでしょう。

出題に問題はない、とみんな言っているのになんでそこばかり問題にしたがるのでしょうか？

これって出題に問題があるって言ってるんじゃないの？

>「入試は数学と日本史選択出来ます。当日選択してください。当大学は幅広い資質の学生を募集します」とか募集要項で謳いながら、実際には日本史の勉強してないと受からない構成の問題出すのってどうよ？日本史問題やらなければ入学させない大学ならそれはそれでかまわないけどそう書けよ、入学試験料と他の大学受ける機会返してくれよ、
って感じの話。

であればIPAは、以下の様なことを言わない方がよかったですね。
https://www.ipa.go.jp/shiken/syllabus/henkou/2022/20221220.html

別スレッドの別のお方のこの表現が秀逸だと思いました。

> IPAは一切忖度しない組織なので、受験者から歩み寄っていかないと、
> SCの合格は難しくなっていくのではと想像します。

歩み寄れないんなら次回から受けなくていいんじゃないですか？

＞これって出題に問題があるって言ってるんじゃないの？

いや例えが悪くて申し訳なかったですが、その例えの問題は「当大学は幅広い資質の学生を募集します」のところです。

出題自体は大学なりIPAなりの勝手で受験者が文句を言うところではありません。
ただ、受験料取って人を集める以上、どんな狙いであるかは明確にすべきなのでは？

「セキュリティ関連業務、及びそのタスクは、経営層及び戦略マネジメント層寄りのものから〜（以下略）」

＞寝るさん

どこに向かって歩み寄るのか示さなければ、歩み寄れるかどうかの判断も難しいのです。

まあ判断難しいなら次回から受けるな、ということでしょうが、実際そうする人は増えるでしょうね。

IPAがミスリードしたと感じた人が一定数いたことは事実だし、自分も共感できる
今回セキュアプログラミングを解けた人は見当違いなマウンティングしてないで、高みの見物しながら合格発表を待っておけばいいじゃないの

> 初受験者さん

その方の上の文も付けたほうがよかったですね。
> 情報処理安全確保支援士と名前は変わりましたが、本質はセキュリティの
> スペシャリストの試験です。
> そのため、セキュリティに対してのオールマイティな知識を要求してきます。
> 言い換えれば、IPAは受験者のスキルセットに対して忖度するようなことは
> ないです。

ようはIPAは受験者の都合なんて見ず、
IPAが今後必要であろうスキルに対して問題を作っているであろうという事です。
（多分）初受験という事でお若いと思われますが、就職試験や転職活動なんてこれの非じゃないくらい理不尽ですよ。
その度に文句言ってても進歩しないので、すっぱり辞めるかほかの試験に切り替えてはいかかでしょう？
ベンダー試験とか基準が分かりやすくておススメですよ。

＞寝るさん

いや若くはないっす。
「第一種情報処理技術者」とかOracle Master Platinum8とか持ってます(笑)


数年前から延命治療やってる進行性の癌患者なんで、次の試験とか他の試験とか受ける機会あるかどうかわかりません。余力あれば検討します。
どうもありがとうございます。

>初受験さん

大先輩だったのですね、失礼しました。
であればこそ、後進の若者には不平不満の姿を見せず
「IPAがなんぼのもんじゃい、次は見とれよ！」くらいの気概を見せて頂きたいです。

今回の問題も出題者が現在のセキュリティ動向をとらえて、
問題発生後の対応よりも先手を打つことの重要性を意識した問題だったと思います。
そしてプログラミングと言われるポイントもそこまで無かったように感じたので
つい言い過ぎてしまいました。申し訳ありません。

＞寝るさん

いやネットの会話に先輩も後輩もないですから。
SE専一でやって来たわけでもないのでSEとしては半端者ですし。

今後の精進の方向性は模索してみます。

コード読ます大問は今まであるんだから、プログラミングの問題の対策して当然でしょう。
SC受ける人ならプログラミングできる環境があって当然なんだから、IPAが脅威と感じている攻撃とその対策はローカル環境で一通り試さないですか？

どうせここで文句言ってる人は全部マネジメント系の大問にしたら、それはそれで文句たれ流すクレーマー体質の人でしょ

この投稿は投稿者により削除されました。(2024.04.22 14:21)

＞どうせここで文句言ってる人は全部マネジメント系の大問にしたら、それはそれで文句たれ流すクレーマー体質の人でしょ

いや私はそっちの方が得意だから、そうなれば文句は言いません。
でも物事に誠実であるならば、自分に有利不利に関わらず文句言うべきのような気がしますが。

もう少し「日本にとって必要な情報セキュリティ人材」的な視点からの意見もあって良いような。
上の方で「人民解放軍のサイバー戦部隊一万七千人」とか書きましたが間違いです。十七万人です。
皆さんあまり関心はないですかね。

意外と難しいっすね。
40店あればいいほうでしたわ

TACの講評が出ましたね

なんか単なるうんこの投げつけ合いにしかなっていないような．．．。

問われているのはIPAの「〜出題構成等の変更について」で示された考えと実際の出題構成に乖離が生じたことでしょう。
私は今回の出題構成は面白かったのでいいですけど（資格を切実に必要としているわけではないので）、ここで愚痴を言いたくなる人がいるのも分からなくもない、とも思います。
まあ、落ちたらまた秋に頑張りましょう。

それはそれとして、今回のような出題傾向にマッチした教本及び問題集が欲しいとは思います。

>>それはそれとして、今回のような出題傾向にマッチした教本及び問題集が欲しいとは思います。

ですね。
今回は難しかったけれど秋にまたがんばりますｗ午後は自信があまりないｗ

TACの講評通りやっぱ難しくなってますよね。空欄無く回答はできたのであとは７月まで待ちます

TACよ、難しいと言ってくれてありがとう。

IPAの狙いは明確で、試験の対象者像として明記されている
>「セキュリティ関連業務、及びそのタスクは、経営層及び戦略マネジメント層寄りのものから〜（以下略）」
を根拠に、マネジメント系だけでもよいっていうのはさすがに拡大解釈としか思えない

>であればIPAは、以下の様なことを言わない方がよかったですね。
>https://www.ipa.go.jp/shiken/syllabus/henkou/2022/20221220.html
このページには下記記載が、しかも赤字でされてるし..
>今回のSCの改訂は、出題構成を変更するもので、試験で問う知識・技能の範囲そのものに変更はありません。

逆にここまで明確に書いてるのにこんなに色んな解釈する人がいることに驚きでした
色んな属性の人に情報を正しく理解してもらうのは本当に骨が折れるのだなと痛感

IPAが午後問題の回答をすぐに出さないのはなぜでしょうか？
問題作成した時点で回答があると思うのですが、
受験者の回答を見てから調整するって事もないと思うのですが

>IPAが午後問題の回答をすぐに出さないのはなぜでしょうか？

私も同じ疑問を持ちました。
少し思ったのは、回答者の回答の中に事前に想定していなかったが正しい回答(別解)があった場合に備えて、後出ししてるのかなと。

この投稿は投稿者により削除されました。(2024.04.22 17:46)

結局「プログラミングなんて全くしたことないし、分からねーよ。今さら新しい知識なんか勉強したくねーし、そんな時間もねーよ。プログラミングの知識ゼロで、ＳＣ合格させろよ。」って考えてる人が多いんでしょ。

はい。私はそう考えてますw
そんな考えで応用までは合格できたけど、ここが限界ですね＼(^o^)／
いい機会だし、セキュアプログラミングについて知識ゼロから学びます。
インフラエンジニアさんとかから見ると、私は基礎中の基礎も知らないでしょう。
そんな自分が秋にどこまでできるか、実験です

っしゃあ(*^^*)にごろげっと(^^)

TACの講評見てきました。

（前回の試験）「技術者や管理者などいずれの立場の受験者の方でも選択しやすい出題構成」
「今回の試験では、管理面での出題がほとんどなく、技術的な内容の出題ばかり」
「受験者にとっては、問題選択の自由度も狭まってしまい、新形式の試験への移行で謳われていた恩恵はあまり感じられないかもしれません。」

とのことで、TAC的にも想定されていた構成ではなかったようです。なので、難しいと感じるのも無理はないと思います。

とりあえず、合格発表までは私は勉強しなくていいや。合格発表が待ち遠し過ぎる。

この掲示板を見て、セキュアプログラミングは捨てるという発想があることに驚いています。
仕事はバックボーン周りのネットワークですが、プログラミングは何問か過去問で出てたので勉強しました。

最初から捨てる人はいないでしょうさすがに。
受かろうとするなら過去3年分くらいは午後問題すべてを教材に勉強はするんじゃないかと。

さすがに組込み系のC言語は捨てたけどWeb系のjavaとかTypeScriptは勉強しましたわ。
過去問でも山ほど問われているのに…
セキュアプログラミング捨ててる人は今回のようなリスクを考えてなさすぎ。
そんな人がセキュリティのリスクアセスメントとかできますか？
そもそもネスぺと同じタイミングで受けるなよと言いたい。
ネスぺでもセキュリティの問題出すんだからインフラ寄りの問題はネタ切れで開発寄りになることぐらい想定しておくでしょうに。
以上、体感8.5割近くいった者からのコメントでした。

>最初から捨てる人はいないでしょうさすがに。

うーん、いるんじゃないかな



そう、私です

公開された昨日の午後問題見ました。
未経験でJava資格だけ取った自分のレベルから見ても、コード自体は単純な印象を受けました。
（簡単な代入や例外処理しかないし、一応IPAのコメ付き）

でもSameSite 属性は初耳ですし、簡単なコードとはいえ限られた時間で読み切るにはそれなりの学習コストが必要かと思います。
（セキュリティの座学知識＋プログラミングの読解で結構ハードル高い）

1つの高度資格のためだけに、そこまで学習リソースを割くのも悩ましいですね。

1つのスレッドでここまで伸びたのって今回が初めてなんじゃないですか？
記念コメントしとこw
Byデスペ民より

この資格持ってる人って、
セキリティスペシャリストって書きたがるよね

文句言いたくなる気持ちは分かるけど、試験範囲内の特定分野捨てるor捨てなくても苦手分野放置は自己責任だから、ipaに責任転嫁して文句言っても正直どうしようもない

今回は捨てた時や苦手分野放置のリスクを身を持って知る良い機会だったとでも思って、気持ちを切り替えよう

＞苦手分野放置は自己責任
これに尽きる
ただ、マネジメントを出しまくって幻想を抱かせたIPAに文句を言いたくなるのも気持ちはわかる。
応用より簡単！とかネットで言われるような問題ばっかりだしてたから、アプリでもインフラでも誰でも簡単に取れる資格という印象でしかなかった。

支援士？え？あぁ応用の次にみんなが取ってるやつね、みたいな印象をIPAが変えようとしてるんじゃないの。

統合して問題選択の幅(笑)を拡大させるとか言っときながらこの偏りようじゃ幅もあったもんじゃないから、ブチギレるのも無理ないですよ
TAC的にもそのような認識らしいですし

前回の試験がすごくバランス取れてたと思う

問題選択の幅を拡大させるんならそのまま拡大させとけ、フラフラすんなって話

IPA「だって簡単に合格されたら悔しいじゃないですか(笑)」

>反AIさん(No.126) 
新たな脆弱性はディープラーニングでは発見できないと思いますよ。
しかし、試験用に新たな脆弱性を見つけても出題した瞬間に既知の脆弱性になりますから、技術者の守備範囲から外れるジレンマに陥ります。

>左利きさん(No.133)
私が合格した回ではピンポイントで消せる消しゴムを用意しました。
消しゴムとしては極少量で高額ですが安心して消し書きできるようになりました。
ただし、不合格になった回が午後通過率28.9%の難関だったので消しゴムの効能ではないでしょう。

橙色文書さんの書き込みを見ると何だか安心するよね
いつも優しく詳しく丁寧に教えていただいたみんなにとっての恩師みたいなもんだし
また、半年間お世話になりそうです。
よろしくお願いします、先生！

支援士ではなくPMやPMPは受けないのでしょうか？それとも難易度が跳ね上がるのかな？

PMの場合現実を見ないウソくさいことばかり午後1といい午後2といい、いけしゃあしゃあと書かされるので、精神的に悪い意味でツラい区分です。おれはこんなに性格のいいヤツじゃねえんだ！と思いながら都合のいいことばっかり去年の秋に書いてました。そのかし、暗記する項目はほぼありません。
そういう意味では、暗記はイヤだがデマカセがなぜかスラスラ出てくるタイプにはおすすめできます。

今回の試験は開発者有利だったので、恩恵受けた人が結構いそう

マネジメント支援士の方々は恐らくですがITの現場に携わっている人たちではないのでPMやPMPは厳しいのでは。
「現役CSIRTですが」みたいな書き込みもありましたが、今回の問題がプログラミングに見えてしまう人がセキュリティに携わっている現場....

まぁどこのSierもそんなものだけれど

コンサル系や法曹界の方々も受けているみたいですしその方達からしたら今回の試験は難しかったみたいですね

今回、正直面を喰らったのが試験構成だったな〜。私は結局問2.3を選びましたが、最初の問題どれにしようかの段階で問1の文章全部読んじゃったりしました。

予想・見当していた問題が出なかったことに焦ってしまい、パッとみどの問題解くべきか悩み、問題選定に結構時間使い、結局最終的に時間が足りなかったです。

過去問道場（ネットワーク）の掲示板を拝見すると「NWではなくSCかと思うような午後問題だった」とあります。
転換期にあるのかもしれませんね。

確かにNWとSCは微妙に似たような分野になっていた傾向がある。

SCはSGとNWとの差別化により、セキュアプログラミング路線に行ったのだろう
前回問４はSGと被った。
SCとNW以外は差別化明確にできているし

素点で50点くらいなんですがワンチャンありそうですか？

得点調整の制度はあるのでしょうか？多分ないと思うのですがどうでしょうか？

新規スレ制限されているので、こちらで質問させていただきたく

次回の秋試験での受験を考えており、今勉強中です。
今回のような開発寄り(web系??)の、問題を解けるようになるための
おすすめの書籍や資料、(遠回りかもですが)ベンダー資格がございましたら
ご教授いただきたく存じます。

受験された方々お疲れさまでした。

過去回帰かもしれませんね。
情報セキュリティアドミニストレータ                →  SG
テクニカルスペシャリスト（情報セキュリティ）      →  SC

更新制度は講義だけではなくて受験再合格も認めたらと思い始めたこの頃。
試験も年1回でいいような。
春NW  秋SC

体系的に学ぶ 安全なWebアプリケーションの作り方 -脆弱性が生まれる原理と対策の実践 第2版 |徳丸浩
上記の書籍ってどうですか？
最新版が2018年と若干古い、使用言語がPHPなのでちょっと尻込みしています。
PHPも新しく覚えるか…

PHP楽しいですよ！

有能なCMSでもあるWordPressもPHPなので、SCの勉強の進捗具合を記録するのもありかと！
インプレッション制に変わりましたが、WordPressにアドセンスの広告を貼ってプチ収益も得られますよ！
webアプリケーションなら、個人的にはLaravelってフレームワークをおすすめします！

昔お遊びでPHP触ってたとき買って積んでたの思い出した
パラパラ見てみたら代表的な攻撃手法の対策（具体的なコード例）載ってるから理解深めるのに良いかも

自分もセキュアプログラミング捨ててたので、
今回の問題は辛かったですが、
だからといってipaとかtacに過剰な文句を言うのは何だかなぁと思います。。

私は次もセキュアプログラミングは捨てて受験しようと思います。
なんだかこれで開発系ガッツリ勉強すると、
それはそれでまた予想を外されそうで。。
もちろん結果また開発よりでも自己責任です。

samesite属性とかLaxとかnoneって一般的な知識？初耳の自分が無知すぎる？

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf

問3の内容は令和4年春季午後2と出題構成は類似になっている。
令和4年春季の注釈でSame-Site属性について触れられている(直接の設問には関わってこないない)ので、過去問で対策しているときに、Same-Site属性含めてわからない用語と脆弱性の仕組みを理解していれば6-7割は堅い設問だったのだ。


ちなみにSame-Site属性はRFC6265で規定されている。

南の島のSE以外で解答速報出しているサイトご存知ないですか？

>心が浄化されるさん(No.271) 
午前全体の通過率によっては午後採点対象者の半数近くが合格する可能性もありますけど、IPA解答例の発表までゆっくり午前の不正解や午後の疑問点を潰していきましょう。
合格だったとしても無駄にはならないはずです。逆に非公式の「解答速報」「自己採点」は避けるべきです。

また、受験者に占めるプログラマーさんの比率はかなり低いかもしれません。
前回R5秋の結果報告スレッドで問1を選択したという自己申告は、全77件のうち3件しかありませんでした。

>夜間清掃員さん(No.285) 
CMSやフレームワークのシェアではPHPが圧倒的なようですので、あえてPython製を選んだことがあります。
数が多ければクラッカーの標的になりやすいでしょうし、PHPに大きな脆弱性があった場合は大惨事になるでしょうから。
WordPressの自己アップデートはメンテナンスを放置しがちな素人さんにとってはセキュアですが、OSのアクセス制御でCMSを保護する構成が組めなくなるデメリットもあります。

参考程度にお聞きしたいのですが、皆さん大体何割くらい取れましたか？
私は問一が5から6割、問二が7から8割くらいで、素点は6割超えててほしい程度です。。
前回より採点の幅は少なそうなので、平均点上がるのかなって思ってます（泣）

問3が7割で、問4が3~4割、合計で5割くらいなので不合格だと思っています。
午前2が簡単だったのでかさ上げは期待していないです。

問２が９割、問３が１割でトータル５割ですね

問3が7割、問4が5割くらいで6割ボーダーラインかなって感じです。

甘めに採点してくれたら問1が6割、問2が6割でギリギリ合格できるんじゃないかと思いますが、、高度試験を受けるのが今回初めてなので配点感覚なども全然わからず。落ちたらまた秋にリベンジします。
問題文も日本語の揺らぎが多い印象だったので、それなら採点も多少下駄を履かせて欲しいものですね。試験制度が変わった直後は問題も安定しないのでしょうか。

問1, 2ともに4割くらいです。
みなさん優秀すぎ...

問２が7〜８割、問３が甘く見て５割。
まー厳しいね。

問1 3-5割
問4 5-7割
トータル 4-6割という感じですかね
得点調整次第で運良ければ合格かなと

問1のheaderを2問両方間違えて、入力規則の()を4箇所つけ忘れたこと
問4の5行目を勢いで7行目にしてしまったこと

この辺が悔やまれますが、あとは今問題見返しても実力的に無理でしたね

今回は素点で6割いきそうな人がほぼいないですね
5割台の戦いですね

解答速報とここの掲示板の解答を照らし合わせて
問2:8.5割、問3:7.5割
解答欄にちゃんと試験番号書いて、午前もマークミスなければ無事受かるはず。。

問2は逆下駄がありそうですね。

問1 プラス10点
問2 マイナス5点
問3 プラス5点
問4 プラス5点

このくらい下駄ありそう
当然問2は簡単なので逆下駄

逆下駄なんてないと思ってる派です。
下駄はあると思いますが、簡単な問題を見極めるのにも試験時間をかけているので、逆下駄があるなら、選択問題4つも出さないでしょう。

大問ごとに加点減点するような面倒なことするんでしょうか。
採点を甘くするとかはあると思います。

個人的には得点調整は無いと思っています。
仮に春季が難化したとしたら春季の合格率が下がって次の秋季が簡単になると考えてます。

午後の採点方法はブラックボックスです。
ですが、いままでの統計情報やさまざまな方の経験則から推測するに、
特殊な偏差値を用いて、最終的に得点を決定しているのではと想定しています。
言い換えれば、採点中は素点計算で、最終的に偏差値を得点に変換していると
推測しています。

合格率についてですが、最近の傾向として、合格率の目安は約20%±1%くらいに
収まるように調整しているように見受けられます。

以上を信じるか信じないかはそれぞれの方で判断してください。

その通り統計的処理してる
だから問2のように平均点が7割近い簡単な問題の場合逆下駄ありかと
5点以上下がることを覚悟しなされ

アイテックに午後の解答速報でてますね
ワンチャンある気がしてきました

>今回のような開発寄り(web系??)の、問題を解けるようになるための
おすすめの書籍

試験対策本では思い当たらないのでご参考になれば幸いです。
WEB+DB PRESS 総集編1-136
※そしてDBに目覚めてしまったらミック本

アイテック解答だったら
問1 5割
問2 7割
ぐらいでギリギリ引っかかってくれるかも…

アイテック採点で、
問一6割、問二7割だったので微妙です、、

公式解答無いのにみんな何割取れたかもって発表できるの凄すぎる…

毎年そんなもんだよ
NWとDB持ってるけど、午後は各社の回答速報から計算した素点とほぼ変わんなかった

解答速報みたら全然違ってたわ！
萎えた

午後は難しかった。午前２は楽勝だったけど

問3が6〜7割、問4が4割
他の受験者が大問選択忘れしまくってたら勝てる

ITECの速報見ましたけど、
問1：5割、問2：7割切るくらい  でギリギリアウトっぽいですorz=3

ITEC採点
問3 6～7割
問4 4～5割

TAC採点
問3 7～8割
問4 6～7割

TAC採点だと受かってそうだけど、ITEC採点だと落ちてそう。

TAC速報の採点だと65点くらい
もやもやするから早く7月になって欲しい

大問3.4選んだ人には偏差で加点とマジでないかな〜

TAC採点で7割取れてるから受かってそう

問3と問4で事故採点してみた。
TAC:64点
iTEC:17問/26問
ギリギリすぎて当日までわからん。

elseって書いちゃった
finallyなんてpgm書かなくなって忘れたわ
これで落ちたら悲しい68点

皆様お疲れ様でございます。
解答速報見てみましたら、涙目で解いた問1は悲惨でしたが、
半分はなんとな～く近いような解答でした。
超甘甘採点でギリ60！？
下駄っていうのがあるならば履かせてください....

自己採点より良かった試しがないが、やっぱり祈り続ける。

左門先生（ネスペR3）のコラムに、下駄・逆下駄についての考察があります。
受験者の復元解答をどう甘く採点しても50点台前半にしかならなかった（空欄や記号問題の間違いは0点にしかならない）が、実際の得点は60点を超えていた。
疑問を確かめるべく、左門先生も再受験してみたら、意外と間違えたものの、点数自体は高得点だったそう。
このことから、左門先生はIPAは偏差値のような手法で配点しているのでは？と推測しているそうです。

R1秋合格者の下駄・逆下駄体験
よくて5割だった午後Ⅰは63点、7割後半～8割以上できた自信のあった午後Ⅱは67点。
※「情報処理安全確保支援士 配点調整」でグーグルで検索するとトップに出てきます

私の個人的な推測。
正答率の低い問題に加重配点するのではなく、まず素点で点数を出す。
その後、受験者全体の平均点からの偏差で調整しているんじゃないでしょうか。

IPAの公式見解「謎の点数調整はしていない」

これとも符合しますし。

同感です。
合格率がある程度のレンジに毎回収まっているところを見ると、素点を調整しているというのが合理的かと
素点の段階で「やっぱりあの問題は5点から7点に変更」とかやっちゃうと、採点が大変なことになりますから
素点はあくまでも当初の配点通りに採点することでしょうね

ここから今回の話
TACの採点基準で各問で皆さんがどれくらい取れてるかざっくりと見てみました
あくまでも素点ベースです

問1 15-20点
問2 30-35点
問3 15-20点
問4 25-30点

プログラミング苦手な人がこぞって問2を選んでおり、問2は良心的な問題だったので6割行ってる方が多かった印象です。
問2が高得点、他がズタボロのケースが散見されますね。

得点調整がされると、前回の得点分布からおそらく各設問が28点前後に平均点となるように調整してるように見えました。

よって、得点調整分は下記の通りと予想します。
問1 プラス8-13点
問2 マイナス2-7点
問3 プラス8-13点
問4 マイナス2点-プラス3点

問2と問4を選ぶと、体感少し点数下がるかもしれませんね
一方で問1と問3を選ぶと、4割くらいの出来でもワンチャンスありそうかなという印象です。
問1と問4ならプラス6-16点なので、6割少し届かないくらいはまあ合格でしょうね。

得点調整分は下記の通りと予想します。
問1 +8〜+13点
問2 −7〜−2点
問3 +8〜+13点
問4 −2点〜+3点

ふと思いました。
SCの突然の試験傾向の変更は、まさに
『IPAのゼロデイ攻撃』
です。
これに迅速かつ柔軟に対応できなければ、RISSにはなれないのでしょう。

こんなに投稿数が伸びたスレッドもないですね…
すごい回に初挑戦してしまった

セキュアプログラミング3題でただでさえどうしようと3題行ったり来たりして焦り、ページ数も多く書く量も多く、また焦り…。
辛い闘いでした。一年セキュア意外コツコツやってたのが粉砕されて…。
また半年後に向けて頑張ろう…。

ほんとに気になるんですが下駄ってあるんですか笑

下駄なんてないです。
そんなことより合格点を取れるように過去問道場と午後対策すべき。

過去問10年3週やればなんとかなりましたよ。今回の試験は確かに偏ってたのはありますが、午後問もこれ過去問のあそこから流用してるなとかよくよくみるとありますよ。途中まで溶けなさすぎて焦りましたが、演習しまくったかいがありました。

試験当日夜にやった午前Ⅱのおさらいを済ませて、ようやく午後問を眺めてみました。
試験会場で紙の冊子を見るのとは違う感覚でしょうが、ファーストインプレッションでは問2と問4を選択したくなります。

UNIXアクセス制御の具体的な値が提示されたのは初めてかと思います。
受験した皆さんは7月まで答え合わせできませんから、この機会にLinuxマシンを構築してアクセス制御を理解してみましょう。
ただし、知識の習得とは異なり基礎技術の理解は時間をかけても成果がないこともあります。

OSのアクセス制御は機密性に関する実装の基本中の基本ですが理解している人は極少数かと思います。
一般的なプログラマーさんでさえ「プログラムの実行を妨害する邪魔者」という認識でしょう。

下駄というか、得点偏差による調整はある

大問一つが50点であることは決まっており、また春の試験が開発寄りになっているのは今に始まったことではなく、昨年の午後試験統合前と比べれば、今回は問題選択の幅が広くなったことには変わりないので、大問単位での得点調整の線は薄いように思えます。

合格率調整のための手段として考えられるのは、配点操作による調整か、いつぞやのＳＧ試験のような合格点の引き下げくらいかと思われます。
ＩＰＡ側も、もしも情報公開請求攻めにあって拒否しきれなくなるような事態に備えて、試験要綱と矛盾のない説明ができないといけないでしょうし。

何にしてもNo.306のpix氏のコメントにあるように、午後採点の真実はＩＰＡにしか知りえないブラックボックスですね。

回答速報が出たの自己採点…結果は54〜58あたりで凡ミス無ければ……はぁ……。

私のような経験なし勢にはこれまでの過去問題と比べると正直難しかった！
…という気持ちでいっぱいですが、問題的にめちゃめちゃいい問題だったと思います！！

問3は視点が攻撃者になってて試験中は頭爆発してましたが、落ち着いて解き直すとかなり面白い問題です！

もっと基礎力があれば30点はギリ確保できたかなぁ…