難易度
試験終了直後から,SNSや各種掲示板では「直近の試験の中で一番難しかった」という声が散見されました.
合格率ベースで見れば,前回試験(令和6年度秋期)の合格率が15.1%であったのに対し,今回の合格率が19.0%と3.9ポイントほど上昇していることから,一見すると易化したようにも見えます.
合格率だけではアテにならない部分もあるので,続いて得点分布を見てみましょう.
午後試験一本化(令和5年度秋期試験)以降の午後合格率(午後試験60点以上獲得者割合)一覧表を以下に示します.
| 試験回 | 午後合格率 |
| R5秋期 | 約42.2% |
| R6春期 | 約34.6% |
| R6秋期 | 約32.0% |
| R7春期 | 約29.7% |
出典:情報処理安全確保支援士ドットコム 掲載の得点分布表をもとに独自計算
上記の表から,午後試験に限っては回を重ねるごとに合格率が低下していることが分かります. よって,各種SNSや掲示板にもあるように,午後試験は難化傾向が続いていると言えるでしょう.
難化の要因
まず,考えられる点としては,出題傾向の変動幅が大きくなっている点です.これもSNSや掲示板で散見された意見です.また,私自身も実際に受験する中で感じた点でもあります.
| 試験回 | 出題傾向 |
| R5秋期 | システム開発系の問題が目立ち始める 特筆すべきは,問4の自由記述・字数制限なし 「あなたの知見に基づき,答えよ.」という問題 |
| R6春期 | システム開発系が3/4を占める. 引き続き,字数制限無しも出題. ソースコードを記述させる問題 |
| R6秋期 | システム開発系が2/4.(若干従来に戻ったか) 作図(ブラウザ出力を図示させる)問題 引き続き自由度の高い問題(問4) |
| R7春期 | システム開発系が1~2/4(問1のカテゴライズが微妙) CVSSの最新バージョン,KEVのフルスペルを答えさせる問題(問4) |
上記の表からも分かるように,出題傾向の変化が激しくなっています.特に,システム開発系の問題が急激に増えたかと思えば,急激に減ったりと,ヤマを張ることが非常に難しくなっています.
特に,令和6年春季試験辺りから,「認証・認可関係の問題が過去しばらく出題されていないことから,もうそろそろ認証・認可関係の問題(SAML,OAuth2.0,FIDO等)が出題されるのではないか?」と予想する声が多くなっていますが,令和7年度春期試験に至るまで出題されていません.(令和6年度春期試験でJWT(Json Web Token)に関する問題は出題されています.)
このように,IPAの公式シラバスにある試験範囲の中から,ヤマを張るのは厳しいものがあります.(もちろん,「一発合格を狙わずに,相性の良い回に巡り合うまで受け続ける」という戦略を取るのであれば,ヤマを張るという作戦も然りでしょう.)
共通してできる対策
これまで,情報処理安全確保支援士の午後問題が難化しており,出題テーマの予想が難しくなっていることをご紹介しました.一方で,共通してできる対策もまだまだ残されていると私は考えます.
システム(Webアプリ)開発系問題の出題固定化
結局,ここでヤマを張ることになりますが,令和5年度春期試験から令和7年度春期試験に至るまで,出題数の増減はあるものの,毎回システム(Webアプリ)開発系問題が出題されていることから,今後もしばらくこの傾向が続く可能性は高いと考えられます.
特に近年では,Webアプリケーション(SaaS)も一種の社会インフラになっていること,問題構成上システム(Webアプリ)開発系の問題は作問しやすい(シナリオの作りやすさ,深掘りのしやすさ,技術的作問のしやすさ)ことを踏まえると,単にこれまでの出題傾向からだけでなく,社会情勢や作問の観点からも,継続的に出題されやすいテーマであると考えられます.
IPA公式・関連文書の重要性
ある意味当たり前のことではありますが,「試験の主催団体であるIPAの公式・関連文書はよく読むべき」ということです.中学や高校の定期考査では,実際に作問する先生の板書や口頭説明からよく出題されていたかと思います.これは,情報処理安全確保支援士試験にも当てはまる話です.
有名どころとしては,以下の2文書が挙げられます.
・安全なウェブサイトの作り方:直近では,令和6年度秋期試験において,Webアプリケーションに含まれる脆弱性の名称を答えさせる問題が出題.
・中核人材育成プログラム 卒業プロジェクト:IPAの著作物ではなく,中核人材育成プログラムにおける各卒業プロジェクトチームの著作物ですが,IPAの公式ホームページに掲載されています.
令和7年度春期試験では,この中の「脆弱性対応におけるリスク評価手法のまとめ(脆弱性対応管理PJ)」(第7期生)を読んでいれば,難なく解ける問題(CVSSのバージョン,KEVのフルスペル,KEV記載要件)が出題されました.
解答欄(だけ)を見て選ぶのは危険
問題選択に際して,一つの指標にされるのが解答用紙の解答欄です.解答用紙を見れば,問題を見ずとも,「長文論述問題が何問ありそうか? 記号・短答問題が何問ありそうか?」といった見当をつけることができるためです.
長文論述のハコが多かったり,やけに広い解答スペースがあったりすると,ついついその大問を避けたくなりますが,それだけをもって判断するのは非常に危険です.
顕著な例としては,令和6年度秋期試験の問3にあった作図スペースです.思わず問3を回避したくなるような解答欄の広さでしたが,逆にそれ以外の問題はクセの少ない大問でした.
結局のところ王道的な方法に回帰しますが,各大問の設問と図,冒頭説明に着目し,「自分が詳しそうなテーマか? (読解が得意な人であれば)読解力で太刀打ちできそうな問題か?」という視点から,問題選択をするのが良いと考えています.
情報処理安全確保支援士試験は,数ある高度試験の中でも,比較的国語要素が強く,問題(説明)文の中にヒント(解答の根拠)が散りばめられていることが多いです.
私自身,「CVSSのバージョン,KEVのフルスペル,KEV記載要件」といった知識問題は正答できませんでしたが,他の知識問題や読解問題で何とかカバーし,最終的に令和7年度春期試験で合格することができました.
午後問題の対策本
午後問題の対策でネックになるのは,まとまった時間と自己採点(IPAの公式解答と異なる言い回しの記述について,正誤の判別)ではないでしょうか.
そこで,オススメしたいのが 村山直紀 さんの著書である「うかる! 情報処理安全確保支援士 午後問題集[第2版]」です.
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/2014217d.98ada033.2014217e.3d4f191f/?me_id=1213310&item_id=20939747&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F7598%2F9784296117598_1_6.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
本来であれば,午後問題を解くにあたり,1時間以上のまとまった学習時間を確保する必要がありますが,上記の書籍では午後の論述問題が一問一答形式になっているため,ちょっとしたスキマ時間に取り組むことができます.
また,学習者が気になる別解や言い回し,論述に含める必要のあるキーワード等についても細かく補足されているため,午後問題の対策にオススメの一冊です.
さらに,類題ごとにまとめられているため,頻出問題をカテゴライズして落とし込みやすく,「こう問われたら,こう答える」というパターンを自然に習得することができます.
まとめ
・令和5年度秋期以降のSC午後試験は難化傾向が継続.
・要因としては,出題傾向の大幅な変化(受験者からは,「過去問があてにならない」という声も)
・出題テーマを予想することは難しいが,直近の傾向と社会情勢・作問事情を踏まえると,今後も多かれ少なかれシステム開発系の出題があると予想.
・知識については,IPA公式・関連文書を読んでいれば解ける問題の出題が目立つ
